Çinli tehdit aktörleri, kötü niyetli faaliyetlerini geniş küresel proxy cihaz ağlarının arkasına gizleyerek, sessizce ve yavaş yavaş anti-analiz tekniklerinde devrim yaratıyor.
Söz konusu olan, sanal özel sunuculardan (VPS) ve güvenliği ihlal edilmiş akıllı cihazlardan ve yönlendiricilerden oluşan geniş bir altyapı olan operasyonel aktarma kutusu ağı (ORB). Sıklıkla anılan ancak nadiren farklı operasyonel yapılar olarak tanımlanır, ORB’ler yıllardır ortalıkta. Ancak yeni analizler, ancak 2020’den bu yana, bugün Çin’de ve daha az ölçüde Rusya gibi diğer önde gelen siber tehdit merkezlerinde olduğu kadar yaygın, katmanlı ve aktif hale geldiklerini gösteriyor.
Mandiant’tan analistler bugün yayınlanan yeni bir raporda, savunucuların on yıllardır tehditleri izlemek ve engellemek için kullandıkları temel yöntemleri artık altüst etmeleri gerektiği konusunda uyarıyor.
Aslında, Çin ORB’leri patronlarını gizleme konusunda çok popüler ve etkili hale geldiğinden, siber savunucuların artık saldırganların IP’leri kavramını statik bir bilgi olarak bir kenara atmaları gerekebilir. uzlaşma göstergesi (IoC) tamamen. Mandiant raporunda, komuta ve kontrol altyapılarının, kendi değişen taktikleri, teknikleri ve prosedürleri olan, başlı başına gelişmiş kalıcı tehditler (APT’ler) olarak düşünülmesi gerektiğini savunuyor.
Google Cloud Mandiant’ın baş analisti Michael Raggi, “Kurumsal olarak uğraştığınız şey, hizmet olarak altyapının profesyonelleştirilmesidir” diyor. “Artık değil [the case that] Tek bir IP kullanan bir tehdit aktörü görürseniz, bu etkinliği tek bir tehdit aktörüne bağlayabiliriz. Bunun yerine gerçekten söyleyebileceğimiz tek şey Bu Tehdit aktörü kullanıyor Bu destek ağı Bu zaman dilimi. ORB ağını aynı anda kullanan, hatta aynı ağ IP’lerinden çıkan başka APT aktörleri de olabilir.”
Çin’in ORB’leri
ORB’ler ya özel şirketler ya da Çin Halk Cumhuriyeti hükümeti içindeki unsurlar tarafından sürdürülmektedir. Her biri herhangi bir zamanda yalnızca bir değil birden fazla tehdit kümesini kolaylaştırır.
Toplamda beş katmandan oluşurlar:
-
Ağdaki düğümleri yönetmek için kullanılan Çin sunucuları
-
Saldırganların ağda kimlik doğrulaması yaptığı ve trafiği dağıttığı VPS’ler (Çin veya Hong Kong merkezli)
-
Çapraz düğümler: ağdaki düğümlerin büyük kısmı
-
ORB ve kurban ortamları arasında köprü kurarak çıkış düğümleri
Mandiant’a göre ORB’ler ayrıca iki gruba ayrılabilir: provizyonlu, çapraz düğümlerin ticari olarak kiralandığı VPS’ler ve provizyonsuz, güvenliği ihlal edilmiş ve kullanım ömrü sonu yönlendiriciler ve nesnelerin interneti (IoT) cihazları üzerine inşa edilmiş. ORB’ler ayrıca iki grubun bir melezi de olabilir. Mandiant’a göre, ORB’lerin bu farklı türlerinin her birini kullanan çok çeşitli tehdit aktörleri gözlemlendi.
Tedarik edilse de edilmese de, geçiş ve çıkış düğümleri dünyanın dört bir yanından toplu olarak toplanır. Çoğu zaman yüzbinlerce düğüm derinliğindeki bu ağların büyüklüğü ve kapsamı, büyük bir koruma sağlayarak, savunucuları, saldırganları ilişkilendirmek ve onlar hakkında daha fazla bilgi edinmek için yoğun sisin içinden geçmeye zorluyor. ORB’lerin coğrafi yayılmasının ek faydaları da var; herhangi bir ülkenin altyapısına maruz kalma ve bu altyapıya bağımlılık azalıyor ve Çin’deki bilgisayar korsanlarının coğrafi kısıtlamaları aşmasına veya kendi bölgelerindeki hedeflere bağlanarak daha az şüpheli görünmesine olanak tanıyor.
Türlerinden, hacimlerinden ve yayılmalarından daha önemlisi, ORB düğümlerinin kısa ömürlü olmasıdır. Yeni cihazlar genellikle her ay veya birkaç ayda bir girip çıkıyor ve ağ sağlayıcıları, varlıklarını devretme oranları konusunda rekabet ediyor. Buradaki fikir, savunucuların belirli bir süre boyunca IP’leri kullanıcılarına bağlamasını önlemektir.
Tüm bunların sonunda ise ORB2 Florahox ya da ORB3 Spacehop gibi bir şey elde ediyorsunuz. Cisco, ASUS ve diğer popüler yönlendiricileri işe almak ve organize etmek için çeşitli yükleri kullanan birden fazla alt ağdan oluşan hibrit bir ağ olan ilki, geçmişte şunlar tarafından kullanılmıştı: APT 31 (aka Zirkonyum), diğer grupların yanı sıra. Daha düz ve tedarikli bir ORB olan ikincisi, en az 2019’dan beri aktif ve Kuzey Amerika, Avrupa ve Orta Doğu’daki kuruluşları etkileyen kampanyalarda kullanılıyor. Örneğin Çin’in APT 5’i, yüksek profilli 2022 programının bir parçası olarak Spacehop’tan yararlandı Citrix ADC ve Ağ Geçidi cihazlarını hedefleyen kampanya.
Savunmacıların Şimdi Yapmaları Gerekenler
Bu noktaya kadar tüm siber tarih boyunca kuruluşlar, saldırganların IP adreslerini engellemek için güvenlik duvarları kullanmıştır. Mandiant’a göre artık saldırganlar sürekli değişen yüzbinlerce IP’ye aynı anda erişime sahip olduğundan, tüm uygulama tartışmalıdır.
Artık kuruluşların ORB’lerle, onları kullanan saldırganlar gibi analize ve tutarlı izlemeye değer, kendilerine özgü, dinamik varlıklar olarak etkileşime geçmesi gerekiyor.
Raggi, “Her bir IP’yi bir uzlaşma göstergesi olarak engellemek için reaktif veya duyarlı olmayı beklemek yerine, kaydettikleri altyapı modellerine bakmaya çalışıyorsunuz” diyor. Şuna bakıyorsunuz: Hangi türlere bakıyorsunuz? Hangi yönlendiricilerden tehlikeye giriyorlar? Hangi bağlantı noktalarından ve hizmetlerden geldiklerini görüyorum? Ayrıca, aramanız gereken bir etkinlik profiliniz olması için SSL sertifikalarında veya SSH sertifikalarında bulunan belirli modellere de bakmalısınız.”
Şunları ekliyor: “Bağımsız bir varlık olarak ORB ağına aşina olarak, davranışa dayalı imzalar bundan daha az katı olan [static] uzlaşma göstergeleri.”