Kritik altyapı güvenliği, siber savaş / ulus-devlet saldırıları, sahtekarlık yönetimi ve siber suç
Tehdit Oyuncusu uzun vadeli gizli erişimi sürdürüyor
Prajeet Nair (@prajeaetspeaks) •
4 Ağustos 2025
Güvenlik araştırmacıları, Çin ulus-devlet hackerlarının bireylerin yerini izlemek için Güneydoğu Asya’daki mobil telekom ağlarına nüfuz ettiğini söylüyor.
Palo Alto Networks ‘Birimi 42 Gruptan gelen bilgisayar korsanları, CL-Sta-0969 olarak izliyor veya mobil cihazlarla iletişim kurmuş gibi görünmüyor.
Kampanya Şubat ve Kasım 2024 arasında gerçekleşti ve bir dizi özel arka kapıyı ve halka açık araçları kullanarak mobil operatörleri hedef aldı.
Bilgisayar korsanlarının niyetleri hakkında bir bilgi, CordScan olarak izlenen özel bir ağ taraması ve paket yakalama yardımcı programının dağıtılmasıydı. Siber güvenlik firması Crowdstrike, bunu mobil cihazların yerini takip etmek için kullanılan bir protokol olan SGSN de dahil olmak üzere ortak mobil telekom iletişim protokollerini yakalayabilen bir araç olarak tanımlıyor.
CL-Sta-0969, Crowdstrike aktivitesiyle ağır bir şekilde örtüşüyor 2024’te liminal panda olarak izlemeye başladı. Tehdit oyuncusu, CrowdStrike’ın açıkladığı gibi, telekomiklerle bağlantıları olan ve bilgisayar korsanlarının mobil protokolleri derinlemesine anladığı düşük güvenlikli kuruluşları arar.
Crowdstrike, Liminal Panda’nın CL-Sta-0969’u Pekin’e yüksek güvenle bağlayan Palo Alto tarafından paylaşılmayan bir yeterlilik olan resmi Çin hackleme operasyonlarıyla bir bağlantısı olduğunu güvenle değerlendiriyor.
Ünite 42, saldırganların telekomünikasyon ekipmanı için tasarlanmış kullanıcı adları ve şifreler sözlüğü kullanarak, SSH kimlik bilgileri ile ilk erişim sağladığını söyledi. İçeri girdikten sonra backdoors konuşlandırdılar. Bunların arasında, kötü niyetli iletişim yoluyla tünel için genellikle DNS için bağlantı noktası olarak tanınan 53 numaralı bağlantı noktasını kullandığı için adlandırılan Nodepdns adlı yeni bir arka kapı vardı.
Varlıklarını gizlemek için, tehdit aktörleri kötü amaçlı yazılımları meşru telekom veya sistem süreçlerini taklit eden isimlerle gizledi. Ayrıca, ikili dosyaların zaman damgasını – zamanlama olarak bilinen bir teknik olan zaman damgasını ve güvenlik güçlendirilmiş linux’un devre dışı özelliklerini, işletim sistemlerinin kendisini politika uygulamak yerine günlüğe kaydetme olaylarıyla sınırladığı “izinli” mod olarak ayarlayarak manipüle ettiler. Aktivite izlerini kimlik doğrulama günlüklerinden kaldırmak için araçlar kullandılar.
Ünite 42, grubun “kötü amaçlı yazılım, araçlar ve teknikler kalıcı, gizli erişimi sürdürmek için hesaplanmış bir çaba gösteriyor” diye yazdı.
Çin, ABD telekomlarına karşı tuz tayfası olarak izlenen ulus devlet grubunun saldırıları da dahil olmak üzere iletişim altyapısına karşı yüksek profilli saldırıların kaynağı olmuştur (bkz:: Çin veri sızıntısı tuz tayfun müteahhitlerini ortaya çıkarıyor).
Kasım Senatosu duruşması sırasında, Crowdstrike yöneticisi Adam Meyers, Çin’in toplu veri toplama üzerinde artan bir vurgu yaptığını ve iletişim ağlarını bariz hedefler haline getirdiğini söyledi. “Niyetleri, ister siyasi bilgi, askeri bilgi veya fikri mülkiyet olsun, daha sonra yararlanabilecekleri büyük miktarda bilgi toplamaktır.” Dedi.
Meyers, “Son on yılda Çinlileri yaptıklarını önemli ölçüde yükselttik.”