Bulut Güvenliği, Kritik Altyapı Güvenliği, Siber Savaş/Ulus-Devlet Saldırıları
Mandiant, Pekin’in Takibi Zor Örgü Ağlarının Saldırıya Uğrayan Cihazlar Kullanılarak Oluşturulduğu Uyardı
Mathew J. Schwartz (euroinfosec) •
22 Mayıs 2024
Çok sayıda Çinli siber casusluk grubu, tespit edilmekten kaçınmak ve faaliyetlerini takip etme çabalarını karmaşıklaştırmak için yeni bir taktik benimsedi.
Ayrıca bakınız: ML Destekli NGFW’nin 4 Temel Unsuru: Makine Öğrenimi Ağ Güvenliğini Nasıl Bozuyor?
Bronze Silhouette olarak da bilinen Volt Typhoon gibi Pekin siber casusluk grupları, ORB’ler olarak da bilinen operasyonel aktarma kutusu ağlarını benimsiyor ve çoğu zaman bunları çalıntı veya kiralanan proxy’lerden veya ev veya küçük ofis yönlendiricileri aracılığıyla çalıştırıyor (bkz.: ABD CISA, Volt Tayfunu’na Karşı Önleyici Eylem Çağrısında Bulundu).
ORB’lerin kullanımı uzun süredir Batılı istihbarat teşkilatlarına bağlıydı; Batılı istihbarat teşkilatları onları hedeflerden ve düşmanlardan gelen saldırı faaliyetlerini taramak ve saldırının kaynağını gizlemek için kullanıyordu. Google Cloud Mandiant’tan araştırmacılar, ORB ağlarının ticari versiyonlarının 2016’da ortaya çıktığını ve Çinli casusluk gruplarının 2020 civarında bunları benimseyeceğini söylüyor.
Tehdit istihbaratı firması tarafından hazırlanan yeni bir rapora göre, çok sayıda ulus-devlet saldırganı grubu, saldırganların altyapısı ile kurbanın ortamı arasındaki komuta ve kontrol iletişimini yönetmek için botnet gibi tek bir ORB ağını kullanabilir. Saldırı altyapısı genellikle kiralık sanal özel sunucuların yanı sıra güvenliği ihlal edilmiş veya kullanım ömrü dolmuş SOHO ve diğer uç cihazların, Nesnelerin İnterneti ekipmanlarının veya internete bağlanan herhangi bir “akıllı” cihazın birleşiminden oluşur ve bunların tümü sıklıkla kullanılır. bisiklet sürdü.
Raporda, “Güvenliği aşılmış cihazlardan oluşan ağlar oluşturmak, ORB ağ yöneticilerinin çok az çabayla ORB’lerinin boyutunu kolayca büyütmelerine ve casusluk operasyonlarını gizlemek için kullanılabilecek sürekli gelişen bir ağ oluşturmalarına olanak tanıyor” diyor. Mandiant’ın ORB3 olarak takip ettiği bir ORB ağı, yani Spacehop, birden fazla coğrafyada (özellikle Avrupa, Orta Doğu ve Amerika Birleşik Devletleri’nde) düğümleri barındırıyor; bu da tek bir ağın bile küresel erişime sahip olabileceğini gösteriyor.
Mandiant’ın baş analisti Michael Raggi, “ORB ağları, Çin siber casusluğunda savunucuları zorlayan en büyük yeniliklerden biri” dedi. “Giriş ve çıkışın her 60 ila 90 günde bir labirentten kaybolmasıyla sürekli olarak yeniden şekillenen bir labirent gibiler.”
Saldırıları taramak ve ilişkilendirmeyi karmaşıklaştırmak için ORB ağlarının giderek daha fazla benimsenmesi, savunucuların APT gruplarında olduğu gibi ORB’leri izlemesini gerektirir.
Mandiant, bunun kısmen, çıkış IP adreslerinin, saldırının arkasında kimin olabileceği konusunda güvenilir bir gösterge olmamasından kaynaklandığını, çünkü bunun, ORB ağı üzerinden geçici bir proxy olarak kullanılan meşru bir cihaz olabileceğini söyledi.
“Bu ağlar, aktörlerin hedeflenen kuruluşlara coğrafi olarak yakınlığı olan cihazlardan çıkış yapmasına olanak tanıyor, bu da trafiğin riske dayalı erişim kararları veren analistler veya operasyonel personel tarafından incelenirken trafiğin içine karışmasına veya başka şekilde anormal olmamasına olanak tanıyor.” Örnek olarak, çalışanlar tarafından düzenli olarak kullanılan hedefle aynı coğrafi konumda bulunan ve manuel inceleme için alınma olasılığı daha düşük olan bir konut İSS’sinden gelen trafik verilebilir.”
Cihaz sahibi veya operatörü, ulus devlet saldırganlarının ekipmanlarını hedefin BT ortamına proxy olarak sızmak için kullandıklarının farkında olmayabilir. Çinli casusluk grupları aynı zamanda operasyonel teknoloji ortamları da dahil olmak üzere kritik altyapıları hedeflemek için ORB ağlarını kullanıyor (bkz: FBI Çin’in Büyük Bir Hackleme Kampanyasını Nasıl Durdurdu?).
Raggi, “Birini hedef almak için bu aktörler caddenin aşağısındaki bir ev yönlendiricisinden geliyor olabilir. Tamamen farkında olmayan bir kişinin ev yönlendiricisinin bir casusluk eylemine bulaşması olağandışı bir durum değil” dedi.
Mandiant, saldırganların kontrol ettiği ORB ağlarının tipik olarak şu temel bileşenlerden oluştuğunu söyledi:
- Düşman tarafından kontrol edilen operasyonlar sunucusu: Bir ORB ağı içindeki düğümleri yönetmek için kullanılır. ACOS genellikle Çin veya Hong Kong IP alanında barındırılır.
- Röle düğümü: Çoğu zaman “büyük bir Çin veya Hong Kong merkezli bulut sağlayıcısından” kiralanan bir VPS, ORB kullanıcılarının “ağda kimlik doğrulaması yapmasına ve trafiği ORB düğümlerindeki daha büyük geçiş havuzu üzerinden aktarmasına” olanak tanır.
- Geçiş düğümleri: Bunlar, bir ORB ağındaki düğümlerin çoğunluğunu oluşturur ve “ağ trafiğinin kaynağını gizleyerek bir ORB ağı üzerinden trafiği aktarmak için kullanılır.” Her düğümün provizyonu, sanal özel sunucular yoluyla yapılabilir veya provizyonu yapılmadan, genellikle güvenliği ihlal edilmiş cihazlar aracılığıyla yapılabilir.
- Çıkış/hazırlama düğümleri: “ORB ağından kurban ortamına çıkış” için kullanılan aktör kontrollü düğümler.
- Kurban sunucusu: Saldırganın ORB ağ düğümüyle iletişim kuran, kurbanın ortamındaki altyapı.
Pekin adına ORB ağlarını kim yönetiyorsa, birden fazla APT grubuna erişim sağlıyor ve aynı zamanda ORB’yi oluşturan altyapıyı düzenli olarak – bazen 31 gün gibi kısa bir sürede – devrediyor gibi görünüyor; bu da bunları takip etme çabalarını daha da karmaşık hale getiriyor. ağlar. Mandiant, “Çin’deki ORB ağ yüklenicileri arasında rekabetçi bir fark yaratan unsur, tehlikeye atılmış veya kiralanmış altyapılarının önemli bir yüzdesini aylık olarak çevrime sokma yetenekleri gibi görünüyor” dedi.
Bütün bunlar daha gizli operasyonlara yol açıyor. Mandiant’ın baş analisti John Hultquist, “Çin’deki siber casusluk bir zamanlar gürültülüydü ve kolayca takip edilebiliyordu. Bu yeni bir düşman türüdür” dedi.