Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar
Sophos, En Az Mayıs 2023’e Kadar Çıkan 3 Etkinlik Kümesi Buldu
Anviksha Daha Fazla (AnvikshaDevamı) •
5 Haziran 2024
Pekin’in Güney Çin Denizi’ndeki bölgesel hırsları nedeniyle Çin ile defalarca çatışan bir ülkedeki bir hükümet kurumu, daha önce tespit edilmemiş arka kapılar kullanan ve bilinen Çin devleti tehdit aktörleriyle kısmen örtüşen uzun süreli bir siber casusluk kampanyasının konusu oldu.
Ayrıca bakınız: Canlı Web Semineri | Dijital Doppelgängers: Deepfake Teknolojisinin İkili Yüzü
Sophos Yönetilen Tespit ve Müdahale’deki araştırmacılar Çarşamba günü yaptıkları açıklamada, “Kızıl Saray” adını verdikleri karmaşık, çok kümeli Çin devleti destekli bir siber casusluk operasyonunu ortaya çıkardıklarını söyledi. Sophos, büyük bir güvenle, bilgisayar korsanlığı faaliyetini Çin devleti destekli faaliyetlerle ilişkili bilgisayar korsanlığı kümelerine bağlıyor.
Bilgisayar korsanları, Güney Çin Denizi’ndeki stratejilerle ilgili askeri belgeler de dahil olmak üzere, isimsiz teşkilat tarafından tutulan, istihbarat değeri taşıdığını belirten dosya adlarına sahip belgeleri hedef aldı. Kampanya, Çin devletinin çıkarlarına fayda sağlayabilecek bilgilerin toplanmasına odaklandı. Sophos, aktiviteyi ilk olarak Mayıs 2023’te tespit ettiğini ancak soruşturmalarda bir önceki yılın başlarına tarihlenen “ilgili daha önceki izinsiz giriş faaliyeti” olduğuna dair kanıtlar bulunduğunu söyledi.
Sophos üç faaliyet kümesi belirledi ve bunları NATO Fonetik Alfabesinin ilk üç harfinden alan Alpha, Bravo ve Charlie olarak adlandırdı. Telemetri, kümelerin birbirlerinin etrafında faaliyet planladığını gösteriyor ve kümelerdeki tehdit aktörlerinin diğerlerinin faaliyetlerinden haberdar olabileceğine dair kanıt sağlıyor.”
Pekin, siber casusluk yapmak için askeri ve yerel istihbarat korsanlarının yanı sıra özel sektördeki kiralık hükümet müteahhitlerinden oluşan bir ağa güveniyor. Bu yılın başlarında bu yüklenicilerden birinden gelen sızıntılar, Çin hack grupları arasındaki örtüşmenin, en azından kısmen, benzer araçlarla birden fazla kampanyayı destekleyen şirketlere atfedilebileceğini gösteriyor. Sophos, kümelenmelerin “merkezi bir otorite tarafından paralel hedeflerle görevlendirilen” ayrı aktörlerin çalışmalarını temsil ettiğine orta düzeyde bir güvenle inandığını söyledi.
Çin atıfının göstergeleri arasında, tespit edilen bilgisayar korsanlığı faaliyetinin Çin Standart Saati’ne göre sabah 8:00 ile akşam 17:00 arası tipik bir Çin iş gününe karşılık gelmesi yer alıyor.
Sophos, Pekin’i işaret etmek için Güney Çin Denizi müşterilerinin telemetrilerini hackleyen en son siber güvenlik şirketidir. Çin, yoğun ticaret yapılan denizlerin neredeyse üçte ikisine tekabül eden toprak iddialarını ileri sürüyor; Filipinler, Tayvan, Vietnam, Malezya ve Endonezya gibi komşuları bu iddialara karşı çıkıyor. Çin’in bölgesel hakimiyet kampanyası, yapay adalar inşa etmeyi, agresif devriye gezmeyi, tartışmalı bazı adaları işgal etmeyi ve bol miktarda siber casusluk yapmayı içeriyor (bkz: Solmayan Deniz Haze APT, Güney Çin Denizi Hükümetlerini Hedef Alıyor).
Küme Alfa etkinliği, halihazırda BackdoorDiplomacy ve TA428 olarak takip edilen bilinen bir tehdit aktörüyle çakıştı. Cluster Charlie, 2022’de TrendMicro tarafından APT41 olarak bilinen daha büyük bir Pekin tehdit aktörünün alt grubu olarak tanımlanan Earth Longzhi grubuyla örtüşüyordu. Cluster Charlie, bir komuta ve kontrol sunucusuyla sürekli iletişimi sürdürmek için Sophos’un “PocoProxy” adını verdiği bilinmeyen bir arka kapı kullandı.
Daha önce bilinen hiçbir tehdit aktörüyle örtüşmeyen Cluster Bravo, Sophos’un “CCoreDoor” adını verdiği, daha önce bilinmeyen bir arka kapıyı kullandı.
Araştırmacılar ayrıca Eagerbee kötü amaçlı yazılımının güncellenmiş bir versiyonunu da gözlemledi; bu sürüm, virüs bulaşmış sistemler ile antivirüs satıcısının sunucuları veya etki alanları arasındaki iletişimi kesme veya engelleme yeteneğini içeriyordu.
Bilgisayar korsanları, DLL yan yüklemesini bir anahtar saldırı tekniği olarak kapsamlı bir şekilde kullandı. Raporda, kampanyanın 15’ten fazla farklı DLL yan yükleme senaryosu içerdiği ve bunların çoğunun Windows Hizmetlerini, meşru Microsoft ikili dosyalarını ve AV satıcı yazılımlarını kötüye kullandığı belirtiliyor. DLL yan yüklemesi, kötü amaçlı yazılım yazarlarının Windows’un dinamik bağlantı kitaplıklarını yükleme biçimini kötüye kullanmasına olanak tanır ve meşru olanın yerine kötü amaçlı bir DLL’nin yüklenmesine neden olur.
Tehdit aktörleri üzerine yazma gibi kaçamak teknikler kullandı ntdll.dll Sophos AV aracısı işlemini çekirdekten çıkarmak için bellekte. ntdll.dll Windows uygulamalarına sistem hizmetleri ve işlevleri sağlayan meşru bir Windows sistem dosyasıdır. Bellekteki dosyanın üzerine yazılması, saldırganların Sophos AV aracısının tespitinden kaçmasına ve yüklerini tespit edilmeden yürütmesine olanak sağladı.
Sophos, kampanyanın bilinen son implantlarını geçen Ağustos ayında engellemişti. Alpha ve Bravo kümeleri için durum böyle görünüyordu. Cluster Charlie birkaç hafta sonra “daha yüksek bir tempoda ve daha kaçamak bir tavırla” hacklemeye devam etti. Küme korsanları, implantları ağ üzerinde bırakmak yerine, ağa yeniden sızmak için farklı bir web kabuğu örneği kullandılar ve farklı komuta ve kontrol kanalları ile implant yerleştirme yöntemleri arasında geçiş yapmaya başladılar.