Japonya ve ABD’deki siber güvenlik kurumları, Çin’den gelen devlet destekli bir bilgisayar korsanlığı grubunun, şube yönlendiricilerini gizlice kurcalamak ve bunları iki ülkedeki çeşitli şirketlerin ağlarına erişmek için atlama noktaları olarak kullanmak amacıyla gerçekleştirdiği saldırılar konusunda uyardı.
Saldırıların kötü niyetli bir siber aktörle bağlantılı olduğu belirtildi. Siyah Teknoloji ABD Ulusal Güvenlik Ajansı (NSA), Federal Soruşturma Bürosu (FBI), Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Japonya Ulusal Polis Ajansı (NPA) ve Japonya Ulusal Siber Güvenlik Olaylarına Hazırlık ve Strateji Merkezi (NISC) tarafından .
Ajanslar ortak bir uyarıda, “BlackTech, yönlendirici donanım yazılımını tespit etmeden değiştirme ve yönlendiricilerin etki alanı-güven ilişkilerinden yararlanarak uluslararası yan kuruluşlardan birincil hedefler olan Japonya ve Amerika Birleşik Devletleri’ndeki genel merkezlere yönelme konusunda yeteneklerini gösterdi.” dedi.
Hedeflenen sektörler hükümet, sanayi, teknoloji, medya, elektronik ve telekomünikasyon sektörlerinin yanı sıra ABD ve Japonya ordularını destekleyen kuruluşları kapsamaktadır.
Circuit Panda, HUAPI, Manga Taurus, Palmerworm, Red Djinn ve Temp.Overboard isimleriyle de anılan BlackTech’in Doğu Asya’daki, özellikle Tayvan, Japonya ve Hong Kong’daki hedeflere karşı en az 2007’den bu yana faaliyet gösteren bir geçmişi var.
Trend Micro, Aralık 2015’te tehdit aktörünü, iyi finanse edilmiş ve organize olmuş, bölgede yer alan hükümet, tüketici elektroniği, bilgisayar, sağlık ve finans gibi kilit sektörlere saldıran bir kişi olarak tanımladı.
O zamandan beri BendyBear, BIFROSE (aka Bifrost), Consock, KIVARS, PLEAD, TSCookie (aka FakeDead), XBOW ve Waterbear (aka DBGPRINT) gibi çok çeşitli arka kapılara atfedildi. Siber güvenlik firması tarafından Haziran 2017’de belgelenen PLEAD kampanyaları, savunmasız yönlendiricilerin komuta ve kontrol (C&C) sunucuları olarak kullanılmasına yol açtı.
Trend Micro o dönemde “PLEAD aktörleri, savunmasız yönlendiricileri taramak için bir yönlendirici tarayıcı aracı kullanıyor, ardından saldırganlar yönlendiricinin VPN özelliğini etkinleştirecek ve ardından bir makineyi sanal sunucu olarak kaydedecek” dedi. “Bu sanal sunucu, ya bir C&C sunucusu olarak ya da PLEAD kötü amaçlı yazılımını hedeflerine dağıtan bir HTTP sunucusu olarak kullanılacak.”
PwC’nin Ekim 2021’de açıkladığı üzere, tehdit aktörü tarafından gerçekleştirilen tipik saldırı zincirleri, Flagpro adlı bir indirici ve BTSDoor olarak bilinen bir arka kapı da dahil olmak üzere, hassas verileri toplamak üzere tasarlanmış kötü amaçlı yazılımları dağıtmak için arka kapı yüklü eklere sahip hedef odaklı kimlik avı e-postaları göndermeyi içerir. BlackTech için TTP’lerin temel bir parçası.”
Bu Temmuz ayının başlarında Google’ın sahibi olduğu Mandiant, Çinli tehdit gruplarının “kurban ağlarının hem dışındaki hem de içindeki saldırgan trafiğini iletmek ve gizlemek için yönlendiricileri ve diğer yöntemleri hedeflediğini” vurguladı.
Tehdit istihbarat şirketi ayrıca BlackTech’i, öncelikle Tayvan hükümeti ve teknoloji hedeflerine gönderilen ve “bir kurban ortamında EYEWELL bulaşmış diğer sistemlerden gelen trafiği aktarmak için kullanılabilecek pasif bir proxy yeteneği içeren” EYEWELL adlı bir kötü amaçlı yazılımla ilişkilendirdi.
Kapsamlı araç seti, sürekli gelişen kötü amaçlı yazılım araç seti ile övünen, tespitten kaçma ve çalıntı kod imzalama sertifikalarından ve diğer geçim kaynaklarından yararlanarak uzun süre radar altında kalma çabalarına sahip, son derece becerikli bir bilgisayar korsanlığı ekibine işaret ediyor. arazi (LotL) teknikleri.
Yapay Zeka ile Yapay Zekayla Mücadele Edin — Yeni Nesil Yapay Zeka Araçlarıyla Siber Tehditlerle Mücadele Edin
Yapay zekanın yönlendirdiği yeni siber güvenlik zorluklarının üstesinden gelmeye hazır mısınız? Siber güvenlikte artan üretken yapay zeka tehdidini ele almak için Zscaler ile kapsamlı web seminerimize katılın.
Becerilerinizi Güçlendirin
CISA ve diğerleri, en son tavsiye niteliğindeki raporunda, tehdit aktörünün, uç cihazlara sızmak için özelleştirilmiş kötü amaçlı yazılım ve özel kalıcılık mekanizmaları geliştirme, kalıcılığı korumak için genellikle bellenimi değiştirme, trafiği proxy olarak kullanma, kurumsal ağ trafiğine uyum sağlama ve farklı yönlere dönme yeteneklerine sahip olduğu yönünde çağrıda bulundu. aynı ağdaki diğer kurbanlar.
Başka bir deyişle, donanım yazılımında yapılan hileli değişiklikler, operatörlerin, işlevi etkinleştirmek veya devre dışı bırakmak için sihirli paketlerden yararlanarak yönlendiriciye gizli erişimi sürdürmelerine olanak tanıyan yerleşik bir SSH arka kapısını içerir.
Ajanslar, “BlackTech aktörleri, özelleştirilmiş bir ürün yazılımı arka kapısının varyasyonlarını kullanarak çeşitli Cisco yönlendiricilerini tehlikeye attı” dedi. “Arka kapı işlevi, özel hazırlanmış TCP veya UDP paketleri aracılığıyla etkinleştirilir ve devre dışı bırakılır. Bu TTP yalnızca Cisco yönlendiricileriyle sınırlı değildir ve diğer ağ ekipmanlarında arka kapıları etkinleştirmek için benzer teknikler kullanılabilir.”
Cisco, kendi bülteninde, bu saldırılarda en yaygın ilk erişim vektörünün çalıntı veya zayıf idari kimlik bilgileriyle ilgili olduğunu ve yazılımındaki herhangi bir güvenlik kusurunun aktif olarak kullanıldığına dair bir kanıt bulunmadığını söyledi.
Şirket, “Günlüğe kaydetmenin devre dışı bırakılması ve ürün yazılımının indirilmesi gibi belirli yapılandırma değişiklikleri, yönetici kimlik bilgileri gerektirir” dedi. “Saldırganlar, yönetici düzeyinde yapılandırma ve yazılım değişiklikleri gerçekleştirmek için ele geçirilen kimlik bilgilerini kullandı.”
Azaltıcı bir önlem olarak, ağ savunucularının, önyükleyicilerin ve ürün yazılımı görüntülerinin yetkisiz indirilmesine ve yeniden başlatmalara karşı ağ cihazlarını izlemesi ve SSH dahil, yönlendiriciye yönlendirilen anormal trafiğe karşı tetikte olması önerilir.