Ulusal Polis Teşkilatı ve Ulusal Siber Güvenlik Olaylarına Hazırlık ve Strateji Merkezi, Japon kuruluşlarını, teknoloji ve ulusal güvenlik sırlarını çalmaya yönelik “MirrorFace” adı verilen Çin devleti destekli gelişmiş bir siber casusluk çabası konusunda uyardı.
Japon yetkililer, gelişmiş kalıcı tehdit grubu (APT) MirrorFace’in 2019’dan beri faaliyet gösterdiğini söyledi.
“‘MirrorFace’ siber saldırılarının işleyiş biçimini duyurarak, bu uyarının amacı, hedeflenen kuruluşları, işletmecileri ve bireyleri siber uzayda karşılaştıkları tehditler konusunda bilinçlendirmek ve onları, meydana gelen hasarı önlemek için uygun güvenlik önlemlerini almaya teşvik etmektir. Japon polisinden yapılan bir açıklamada, siber saldırıların yayılmasının önlenmesi ve ilk etapta hasar oluşmasının engellenmesi amaçlanıyor.
MirrorFace’in Japonya’ya Siber Saldırısı
Japon kolluk kuvvetleri üç tür MirrorFace saldırısı tespit etti. MirrorFace’in Japon sırlarını çalmak için kullandığı en eski ve en kalıcı taktik, 2019 ile 2023 yılları arasında ülkenin düşünce kuruluşlarına, hükümetlerine ve politikacılarına kötü amaçlı yazılım dağıtmayı amaçlayan ayrıntılı bir kimlik avı kampanyasıydı. uyarı verildi Japonya Ulusal Polis Teşkilatı tarafından İngilizce’ye çevrildi.
Polis, MirrorFace’in 2023 yılında sağlık, üretim, bilgi ve iletişim, eğitim ve havacılık alanlarındaki ağ cihazlarındaki güvenlik açıklarını bulmaya odaklandığını belirtti. MirrorFace, Fortinet FortiOS ve FortiProxy (CVE-2023-28461), Citrix ADC (CVE-2023-27997) ve Citrix Gateway (CVE-2023-3519) dahil cihazlardaki güvenlik açıklarından yararlandı.
Başka bir kimlik avı kampanyası Haziran 2024 civarında başladı ve polise göre medyaya, düşünce kuruluşlarına ve Japon politikacılara karşı temel kimlik avı taktikleri kullanıldı. Şubat 2023’ten Ekim 2023’e kadar grubun, Japon kuruluşlarına erişim sağlamak için harici bir genel sunucuya SQL enjeksiyonundan yararlandığı gözlemlendi.
MirrorFace’in faaliyetleriyle ilgili açıklamalar, Çin’in sponsor olduğu diğer manşetlere çıkan siber saldırıların ortasında geldi. ABD ve küresel telekom şirketlerive hatta ABD Hazine BakanlığıAPT grubu “Salt Typhoon” tarafından gerçekleştirildi.
ExtraHop’un eski FBI özel ajanı ve şu anki baş bilgi güvenliği ve risk sorumlusu Mark Bowling’e göre MirrorFace, Halk Kurtuluş Ordusu’nun (PLA) siber savaş birimi olarak çalışıyor gibi görünüyor.
“2019’dan bu yana MirrorFace APT, sürekli olarak iyi hazırlanmış hedef odaklı kimlik avı kampanyalarından yararlandı ve kimlik bilgilerini çalmak, ayrıcalıkları artırmak ve PLA’yı daha iyi konumlandırmak için kullanılabilecek verileri sızdırmak için LODEINFO ve MirrorStealer gibi silahlı kod/mantık kullandı. Japonya ile düşmanlık olayı” diyor Bowling.
Jeopolitik gerilimler dünya çapında alevlenmeye devam ederken Bowling, özellikle ABD’yi hedef alan ulus devlet aktörleri tarafından yürütülen APT faaliyetlerinde artan bir artış görmeyi bekliyor.
Bowling, “Ukrayna, Tayvan ve İran’ın vekilleri olmasına rağmen İsrail’e karşı süregelen düşmanlığı nedeniyle gergin olan ilişkilerin sonuçları artık giderek agresif ve amansız dijital kampanyalara yayılıyor” diye açıklıyor. “Ulus devlet gruplarından gelen tehditlerin bu yıl hacmi ve kapsamı artarak kamu hizmetleri, telekomünikasyon ve sağlık hizmetleri gibi kritik altyapımızı hedef alacağına şüphe yok.”