Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar
Çin Hacking ‘Quartermaster’a İlişkin Kanıtlar Artıyor
Akşaya Asokan (asokan_akshaya) •
11 Aralık 2024
Güvenlik firmaları Tinexta Cyber ve SentinelLabs, olası bir Çin ulus-devlet tehdit aktörünün casusluk amacıyla Batılı teknoloji firmalarını hedef almak için Visual Studio Code ve Microsoft Azure bulut altyapısını tehlikeye attığını söyledi.
Ayrıca bakınız: İsteğe Bağlı | 2024 Kimlik Avı Analizleri: 11,9 Milyon Kullanıcı Davranışı Riskiniz Hakkında Neleri Ortaya Çıkarıyor?
Şirketlerin Dijital Göz Operasyonu adını verdiği kampanya, güney Avrupa’da bulunan isimsiz BT hizmet sağlayıcılarını hacklemek için Haziran’dan Temmuz’a kadar gerçekleştirildi. Şirketler çeşitli sektörler için veri yönetimi, altyapı ve siber güvenlik çözümleri sunuyor.
Bilgisayar korsanları, Visual Studio Code Remote Tunnels uzantısını kötüye kullanarak komut ve kontrol trafiğinde tünel oluşturdu. Altyapıyı yalnızca Avrupa’dan, İngiltere merkezli sağlayıcı M247 ve Microsoft Azure’dan temin ederek faaliyetleri daha da gizlediler. Bilgisayar korsanlarının Microsoft tarafından dijital olarak imzalanmış bir Visual Studio Code yürütülebilir dosyası kullanması ve C2 trafiğinin Avrupa içinde kalması ve meşru kaynaklara akması nedeniyle, “saldırganlar trafiğin meşru görünmesini sağladı; bu da tespit edilmesi zor olabilir ve güvenlik savunmasından kaçabilir.”
Kampanyanın amacı, tehlikeye atılan kuruluşlar içinde “sürekli varlığı” sürdürmekti. Bilgisayar korsanları, servis sağlayıcıları hedef alarak tedarik zincirine yayılabilir ve müşteri şirketlerine sızabilir. İlk saldırı vektörü SQL enjeksiyonuydu ve ardından PHP tabanlı bir web kabuğu geldi. Saldırganlar, sızılan ağa göre uyarlanmış web kabuğu için özel adlar kullanarak faaliyetlerini daha da gizleyerek meşru görünmelerini sağladı.
Bilgisayar korsanlarının bıraktığı, kötü amaçlı yazılım araçlarını bu modeli kullanarak adlandırma eğilimi olduğu söyleniyor do.olduğu gibi do.log Ping komutlarının çıktısını kaydetmek veya do.exekimlik bilgilerini ayıklamak ve dışarı çıkarmak için bir araç.
Araştırmacılar, bilgisayar korsanlarını belirli bir tehdit grubuna atfetmenin imkansız olduğunu, bunun nedeninin kısmen Çin devletinin bilgisayar korsanlığının benzer araçları paylaşan grupları içermesi olduğunu söyledi. Mevcut kanıtlar, Çin hükümeti içindeki veya onunla bağlantılı bir kuruluşun, bilgisayar korsanlığı araçlarını, bazıları özel sektör yüklenicileri olan çok sayıda siber casusluk korsanlığı grubuna dağıttığını gösteriyor (bkz.: ABD, Çinli Sophos Güvenlik Duvarı Hackerını İddia Ediyor ve Yaptırım Yapıyor).
Dijital Göz Operasyonu’nda kullanılan karma geçiş araçlarının, muhtemelen Pekin’e uzanan diğer kampanyalarda görülen Mimikatz’ın özel varyasyonlarının aynı kapalı kaynak yaratıcısından geldiği ortaya çıktı. Sentinel Labs, Mimikatz modifikasyonlarını “minCN” olarak adlandırıyor.
Özel minCN varyantları, Granite Typhoon ve APT41 olarak takip edilen Çinli tehdit aktörlerinin yanı sıra muhtemelen APT10 ve Lucky Mouse ile bağlantılı kampanyaların bir parçasıydı.
Araştırmacıların bilgisayar korsanlığını tek bir gruba atfetmek istememesinin bir başka nedeni de: Yakalanan mimCN örneklerinde ayrı bir operatör ekibine bırakılmış, bir sonraki bilgisayar korsanları dalgasına komut veya IP adresi girme gibi işlevleri gerçekleştirmelerini söyleyen talimatlar buldular.
“Çin-nexus APT gruplarına atfedilen ve yıllar boyunca dağıtılan çeşitli izinsiz girişlerde örtüşen mimCN örneklerinin varlığıyla birleştiğinde, bu, mimCN’nin muhtemelen Çin APT ekosistemindeki birden fazla kümeye araçların bakımı ve sağlanmasından sorumlu bir kuruluşun ürünü olduğunu gösteriyor. “İki siber güvenlik şirketi yazdı.