Siber güvenlik araştırmacıları, hedeflenen kuruluşların “iki önde gelen Çinli APT” grubu tarafından “hala tehlikeye atıldığından” emin.
Palo Alto Networks’ün 42. Birim siber güvenlik araştırmacıları, Çinli APT gruplarının, bulut yedekleme hizmetleri olarak gizlenen altyapıyı kullanarak Kamboçya hükümet kuruluşlarına karşı uzun vadeli bir casusluk kampanyasına dahil olabileceğini keşfetti.
Unit 42 raporuna göre araştırmacılar, özellikle Kamboçya’daki 24 hükümet kuruluşundan gelen ağ bağlantılarının (özellikle gelen bağlantıların) olduğunu kaydetti.
Araştırmacılar ayrıca, altyapının özellikleri ve bu bağlantıların birkaç ay boyunca devam eden kalıcılığı nedeniyle bu kuruluşların ‘iki önde gelen Çinli APT’ aktörü tarafından ‘hala tehlikeye atıldığına’ inanıyor.
İki kişinin katılımıyla ilgili kesinliğin olduğunu belirtmekte fayda var. Çinli APT grupları Bu gruplarla açık bir bağlantı kuran telemetri verilerinin izlenmesinden kaynaklandı.
Kaliforniya merkezli Santa Clara merkezli siber güvenlik devi, “Bu kuruluşların, hükümetin ilgi duyduğu ağlara kalıcı erişim için bu altyapıyı kullanan uzun vadeli siber casusluk faaliyetlerinin büyük olasılıkla hedefi olduğunu değerlendiriyoruz” dedi.
Bu kuruluşlar Eylül ve Ekim 2023 arasında altyapıyla düzenli olarak iletişim halindeydi. Bu kuruluşların birçoğu aşağıdaki sektörlere kritik hizmetler sağladı.
- Siyaset
- Ticaret
- İnsan hakları
- Ulusal Savunma
- Seçim gözetimi
- Doğal Kaynaklar
- Telekomünikasyon
- Ulusal hazine ve finans
Araştırma birkaç gün sonra ortaya çıktı Kanada, Çin’in WeChat uygulamasını yasakladı Casusluk endişeleri nedeniyle tüm devlet cihazlarından, çalışanların uygulamayı derhal kaldırmasına neden oluyor.
Araştırmacılar, bu sektörlerdeki kuruluşların, mali veriler, gizli devlet verileri ve vatandaşlara ait PII (kişisel olarak tanımlanabilir bilgiler) dahil olmak üzere çok büyük miktarda hassas bilginin saklanması nedeniyle ilgi hedefi olabileceğini belirtti. Kampanyada kullanılan ve her biri çok sayıda alt alan adını barındıran en az altı hedefe yönelik IP adresi keşfettiler.
Araştırmacılar, bu alanların bulut depolama hizmetleri olarak maskelendiğini ve bu durumun, sunucunun “kurban ağından veri sızdırma gibi aktörün yüksek aktivite seviyeleri” sırasında gözlemleyebileceği alışılmadık derecede yüksek trafiğe meşruiyet duygusu yaratmak için mükemmel bir mazeret olduğunu yazdı. onların içinde Blog yazısı.
Dahası, bu IP adreslerinin aktör için C2 altyapısı olarak hizmet verdiğine ve Cowrie balküpünü 2222 numaralı bağlantı noktasında çalıştırdığına “yüksek güvenleri” vardı. Büyük ihtimalle bu balküpü, “anormal aktiviteyi” araştıran ağ savunucularını ve güvenlik araştırmacılarını kandırmak için bir kılıftı. .”
Ayrıca bu altyapı üzerinde IP filtrelemeyi gözlemlediler. Palo Alto Networks’ün bilinen birçok Büyük Teknoloji ve siber güvenlik firması ile bir dizi VPS ve bulut barındırma sağlayıcısının IP aralıklarından gelen bağlantıları engellemek için kullanıldı.
Bu C2 bağlantı noktaları yalnızca aktör aktif olduğunda açılır (hafta içi (Pazartesiden Cumaya) 08:30 ile 17:30 UTC +08:00 (Çin Standart Saati) arasında) ve aksi takdirde kapalı kalır. Bu, aktörün IP tarayıcıları tarafından C2 profili oluşturma riskini azaltmak veya tespitten kaçınmak için kötü amaçlı altyapıya olan bağlantıları filtrelediği anlamına gelir.
“Bu model, aktörün UTC +07:00 olan normal Kamboçya çalışma saatlerine uyum sağlayarak tespit edilmekten kaçınmaya çalıştığını gösterebilir.”
Ancak 29 Eylül-8 Ekim 2023 tarihleri arasında Çin’in Altın Haftası ve Özel Çalışma Günleri sırasında APT aktörleri faaliyetlerini durdurdu. Bu, saldırganların burada bulunduğunu gösteriyor. Çin ve ülkenin normal çalışma saatlerini takip ederek Birim 42’nin saldırganlara ilişkin değerlendirmesini doğruluyor.
Kamboçya’nın olduğunu belirtmekte fayda var. arasında Çin Kuşak ve Yol Girişimi’nin imzacıları. Ülkeler güçlü ekonomik ve diplomatik ilişkileri paylaşıyor. Çin önemli ölçüde yüksek yatırımlar yaptı. modernleştirmek Projenin kıvılcımlanmasına rağmen Kamboçya’nın Ream Deniz Üssü endişeler Batı içinde. Tamamlanmasının ardından bu üs, Çin’in Güneydoğu Asya’daki ilk denizaşırı ileri karakolu olacak. Bu Kamboçya’nın Çin’in önemli bir müttefiki olduğunu gösteriyor.
İLGİLİ MAKALELER
- IoT Zombi Mozi Botnet’i Kim Öldürdü – Çin mi Hindistan mı?
- Çinli Dolandırıcılar Kara Para Aklamak İçin Sahte Kredi Uygulamaları Kullanıyor
- Çin’in Sessiz Skimmer Saldırısı APAC ve NALA Bölgelerindeki İşletmeleri Vurdu
- Çinli Hackerlar Microsoft’tan 60.000 ABD Dışişleri Bakanlığı E-postasını Çaldı
- Çinli Smishing Triad Çetesi, Kapsamlı Siber Suç Saldırısında ABD’li Kullanıcıları Vurdu
- Çinli Hackerlar Outlook Hesaplarına Erişmek İçin Microsoft’un İmza Anahtarını Çaldı