Çin ile bağlantılı siber casusluk grupları, en az 2021’den bu yana tek bir Asya ülkesinde bulunan çeşitli telekom operatörlerine sızan uzun süredir devam eden bir kampanyayla bağlantılı.
Broadcom’un bir parçası olan Symantec Tehdit Avcısı Ekibi, The Hacker News ile paylaşılan bir raporda, “Saldırganlar, hedeflenen şirketlerin ağlarına arka kapılar yerleştirdiler ve aynı zamanda kimlik bilgilerini çalmaya çalıştılar.” dedi.
Siber güvenlik firması, hedeflenen ülkeyi açıklamadı ancak kötü amaçlı siber faaliyetlerin 2020 kadar eski bir tarihte başlamış olabileceğini gösteren kanıtlar bulduğunu söyledi.
Saldırıların aynı zamanda telekomünikasyon sektörüne hizmet veren isimsiz bir hizmet şirketini ve başka bir Asya ülkesindeki bir üniversiteyi de hedef aldığı belirtildi.
Bu harekatta kullanılan araçların seçimi, Mustang Panda (diğer adıyla Earth Preta ve Fireant), RedFoxtrot (diğer adıyla Neeedleminer ve Nomad Panda) ve Naikon (diğer adıyla Firefly) gibi Çinli casusluk grupları tarafından son yıllarda gerçekleştirilen diğer görevlerle örtüşüyor.
Buna COOLCLIENT, QuickHeal ve RainyDay olarak takip edilen ve hassas verileri yakalama ve bir komuta ve kontrol (C2) sunucusuyla iletişim kurma yetenekleriyle donatılmış özel arka kapılar da dahildir.
Hedefleri aşmak için kullanılan ilk erişim yolunun tam olarak bilinmemesine rağmen, kampanya aynı zamanda bağlantı noktası tarama araçlarının dağıtılması ve Windows Kayıt Defteri kovanlarının boşaltılması yoluyla kimlik bilgileri hırsızlığının gerçekleştirilmesi açısından da dikkat çekicidir.
Araçların üç farklı düşman kolektifle bağlantısı olması, çeşitli olasılıkları gündeme getirdi: Saldırılar birbirinden bağımsız olarak gerçekleştiriliyor, tek bir tehdit aktörü diğer gruplardan edinilen araçları kullanıyor veya farklı aktörler tek bir kampanya üzerinde iş birliği yapıyor.
Çinli tehdit aktörlerinin dünya çapında telekomünikasyon sektörünü hedef alma geçmişi olmasına rağmen, bu aşamada izinsiz girişlerin ardındaki temel neden de belirsiz.
Kasım 2023’te Kaspersky, Microsoft Exchange Server’daki (CVE-2021-26855, diğer adıyla ProxyLogon) bilinen güvenlik kusurlarından yararlanarak Pakistan’ın ulusal telekom şirketlerinden birini hedef alan bir ShadowPad kötü amaçlı yazılım kampanyasını ortaya çıkardı.
Symantec, “Saldırganlar o ülkedeki telekomünikasyon sektörü hakkında istihbarat topluyor olabilir” dedi. “Kulak dinlemek başka bir olasılık. Alternatif olarak, saldırganlar o ülkedeki kritik altyapıya karşı yıkıcı bir yetenek oluşturmaya çalışıyor olabilir.”