Araştırmacılar, Çin ile bağlantısı olan siber casusluk gruplarının, Operasyonel Aktarma Kutusu (ORB) ağları adı verilen karmaşık proxy ağlarını giderek daha fazla kullandığını buldu.
Bu ağlar, saldırıya uğramış cihazlardan ve ticari olarak kiralanan sanal özel sunuculardan (VPS) oluşan örgü ağlardan oluşur.
Geleneksel botnet’lerden farklı olarak ORB’ler, her ikisinin bir melezi olabilir; tehdit aktörlerine, bu ORB’leri haritalandırmak için Mandiant tarafından geliştirilen çerçevenin ayrıntılarını raporlayarak, sürekli gelişen ve takip edilmesi zor bir altyapı sunarak, savunucuların potansiyel sızma girişimlerini belirlemesine olanak tanır.
Böyle bir ağ olan ORB3 (SPACEHOP olarak da bilinir), iyi bilinen Çin APT (Gelişmiş Kalıcı Tehdit) grupları APT5 ve APT15 ile bağlantılıdır.
ANYRUN malware sandbox’s 8th Birthday Special Offer: Grab 6 Months of Free Service
Aynı zamanda SPACEHOP’un ilk keşif ve güvenlik açığından yararlanma gibi görevler için de kullanıldığına inanılıyor.
Casusluk için proxy ağlarının kullanılması yeni olmasa da, Çinli aktörler tarafından kullanılan ORB’lerin ölçeği ve karmaşıklığının önemli bir gelişme olduğu vurgulandı.
Çinli APT grupları, ORB’lerden yararlanarak kötü niyetli trafiğinin kaynağını maskeleyebilir, bu da savunmacıların, saldırganların komuta ve kontrol (C2) altyapısı ile hedeflenen kurbanın ağı arasındaki iletişimi tespit etmesini ve engellemesini zorlaştırır.
Bu, potansiyel olarak sıfır gün güvenlik açıklarından yararlanılanlar da dahil olmak üzere, kurbanın ağının ucundaki güvenliği ihlal edilmiş cihazlara kadar uzanır.
Bu ORB’lerdeki rakip kontrollü operasyon sunucuları (ACOS) ve geçiş düğümleri genellikle Çin ve Hong Kong IP alanlarında barındırılıyor ve bu da ilişkilendirme çabalarını daha da karmaşık hale getiriyor.
Proxy ağının sürekli değişen doğası nedeniyle, kötü amaçlı IP adreslerini tanımlamaya ve engellemeye yönelik geleneksel yöntemler daha az etkili hale geldiğinden, ORB’lerin artan kullanımı, savunucular için çıtayı yükseltiyor.
Mandiant’ın araştırması, savunucuların, ağ trafiğini, görünüşte meşru IP adreslerinden gelseler bile, şüpheli davranış kalıpları ve anormal iletişim akışlarına karşı izlemek de dahil olmak üzere daha kapsamlı bir strateji benimsemeleri gerektiğini öne sürüyor.
Bilinen ORB güvenlik ihlali göstergelerini (IOC’ler) takip eden davranış analizi ve tehdit istihbaratı beslemelerine odaklanmak, savunucuların devam eden siber casusluk girişimlerini tespit etme ve engelleme yeteneklerini geliştirmelerine yardımcı olabilir.
Free Webinar on Live API Attack Simulation: Book Your Seat | Start protecting your APIs from hackers