Silent Push’taki siber güvenlik araştırmacıları, 80’den fazla ülkede hükümeti ve kurumsal ağları hedeflemek için kullanılan daha önce bildirilmemiş altyapıyı ortaya çıkaran Salt Typhoon ve UNC4841 olmak üzere iki önde gelen tehdit aktörünü birbirine bağlayan sofistike bir Çin casusluk operasyonunu ortaya çıkardılar.
2020’ye kadar uzanan 45 kötü niyetli alanın keşfi, devlet destekli Çin İleri Kalıcı Tehdit (APT) gruplarının kapsamlı erişimini ve uzun vadeli kalıcılığını göstermektedir.
Sessiz Push Tehdit Analistleri, etki alanı kayıt kalıplarının ve WHOIS verilerinin ayrıntılı analizi yoluyla kapsamlı bir komuta ve kontrol altyapısı ağı belirledi.
Silent Push’taki siber güvenlik araştırmacıları, Demodex Rootkit, Snappybee ve Ghostsspider Backroors da dahil olmak üzere bir tuz typhoon’un kötü amaçlı yazılım araçlarını ortaya çıkardılar.
Araştırma ekibi, birden çok alan adının ortak kayıt özelliklerini, özellikle protonmail e -posta adreslerinin kullanımını paylaştığını keşfetti.
Bu e -posta adresleri, Miami, Florida’daki “Tommie Arnold” ve California, Los Angeles’taki “Monica Burch” gibi hayali kimlikler de dahil olmak üzere var olmayan ABD adresleriyle sahte kişiler altında alan adlarını kaydetmek için kullanıldı.
Yetki başlangıcı (SOA) kayıt analizi ve çapraz referans WHOIS veritabanları yoluyla, araştırmacılar bulgularını Mayıs 2020’nin başlarında kayıtlı alanları içerecek şekilde genişleterek 2024 telekomünikasyon ihlallerinin çok yıllı bir kampanyanın sadece bir aşamasını temsil ettiğini gösterdi.
Sessiz Push Web tarayıcısındaki WHOIS veri kümemizi kullanarak bu benzersiz e -posta adreslerine başka herhangi bir alan adının kaydedilip kaydedilmediğini görmeye çalışabiliriz.
En eski tanımlanan alan, onlineeylity.com, beş yıl önce “Monica Burch” kişiliği tarafından kaydedildi ve tehdit aktörlerinin uzun vadeli operasyonel güvenliğe olan bağlılığını gösterdi.
Küresel telekomünikasyon infiltrasyonu
“GhosteMempor”, “ünlüsparrow” ve “Dünya Astries” gibi takma adlar tarafından da bilinen tuz tayfası, Çin Devlet Güvenliği Bakanlığı (MSS) yönetiminde faaliyet göstermektedir.
Grup, dünya çapında 80’den fazla ülkede telekom altyapısını hedefleyen benzer operasyonların yanı sıra 2024 yılında en az dokuz büyük ABD telekomünikasyon şirketinin başarılı bir şekilde sızmasının ardından uluslararası ilgi gördü.
Grup, geleneksel sosyal mühendislik taktiklerinden kaçınır, bunun yerine ilk ağ erişimini elde etmek için yazılım güvenlik açıklarının teknik sömürülmesine odaklanır.
Salt Typhoon’un telekomünikasyon ihlalinin kapsamı, tehdit aktörlerine neredeyse her Amerikan cep telefonu kullanıcısını etkileyen meta verilere erişim sağlayan benzeri görülmemişti.
Daha çok, grup, mahkeme yetkili telekleme için kullanılan, potansiyel olarak hassas kolluk kuvvetleri sürveyans operasyonlarını ortaya çıkaran sistemleri başarıyla tehlikeye attı.
İhlal, Amerikan telekomünikasyon altyapısının en önemli yabancı istihbarat penetrasyonlarından birini temsil eden bir milyondan fazla ABD’li mobil kullanıcı için iletişim meta verilerine erişim içeriyordu.
Salt Typhoon, halka açık sunucularda öncelikle sıfır gün güvenlik açıklarından ve daha önce bilinmeyen güvenlik kusurlarından yararlanan sofistike saldırı metodolojileri kullanır.
Tarihsel analiz, tuz tayfunun, otelleri, devlet kurumlarını ve küresel olarak özel şirketleri tehlikeye atmak için iş yazılımındaki uzaktan kod yürütme güvenlik açıklarını daha önce kullandığını ortaya koymaktadır.
Çince uygun koordinasyon
Soruşturmada, 2023 yılında Barracuda E-posta Güvenlik Ağacı Aletleri’nde sıfır gün güvenlik açığından yararlanmakla bilinen bir başka Çin devlet destekli tehdit aktörü olan tuz tayfun ve UNC4841 arasındaki önemli altyapı örtüştüğünü ortaya koydu.
UNC4841’in taktikleri, teknikleri ve prosedürleri (TTP’ler), tuz tayfun tarafından istihdam edilenleri yakından yansıtıyor ve operasyonel koordinasyonu veya gruplar arasında paylaşılan kaynakları öneriyor.
Kayıt verilerinin analizi, UNC4841’in hayali “Geralyn Pickens” kimliği dahil olmak üzere benzer sahte kişiler ve protonmail adresleri kullandığını gösterdi.
Altyapı analizi, UNC4841 ile ilişkili dokuz alan ortaya çıkarmıştır; bunların birçoğu daha önce siber güvenlik araştırmalarında bildirilmemiştir.
Bu alanlar, aynı isim sunucularının kullanımı ve benzer kayıt zamanlama modelleri de dahil olmak üzere ortak özellikleri tuz tayfun altyapısı ile paylaştı.
Bu gruplar arasındaki bağlantı, Çin devlet destekli siber operasyonların organizasyonel yapısı hakkında önemli sorular ortaya koymaktadır.
Paylaşılan altyapı, ya ayrı birimler arasındaki doğrudan koordinasyonu ya da her iki atamanın da aynı kapsayıcı Çin istihbarat programının farklı operasyonel aşamalarına atıfta bulunma olasılığını önermektedir.
| Tehdit oyuncusu | Birincil hedef | Bilinen kötü amaçlı yazılım | Altyapı örtüşmesi |
|---|---|---|---|
| Tuz tayfası | Telekomünikasyon, hükümet | Demodex, Snappybee, Hayalet Spider | 45+ alan, paylaşılan ad sunucuları |
| UNC4841 | E -posta Güvenliği, Kurumsal Ağlar | Barracuda istismar araçları | 9+ alan, ortak kayıt kalıpları |
Kapsamlı analiz, operasyonel güvenliği korumak için birçoğu yüksek yoğunluklu IP adresi ve alan park hizmeti kullanan birkaç yıllık operasyonları kapsayan daha önce bildirilmemiş 45 alan tanımladı.
Araştırmacılar, etki alanı kayıt kalıplarını, SOA kayıtlarını ve whois veri korelasyonunu inceleyerek, daha önce bilinmeyen tehdit aktör altyapısını belirleyebilir ve sofistike siber casusluk kampanyalarının kapsamını ve zaman çizelgesini daha iyi anlayabilir.
Düşük yoğunluklu IP adresleri, özellikle endişe verici olarak tanımlanmıştır; çeşitli alanlar, araştırmacılar veya kolluk kuvvetleri tarafından güvenlik düdenlerine yönlendirildiğine dair kanıtlar göstermiştir.
Silent Push’un Araştırma Metodolojisi, ileri kalıcı tehdit gruplarının izlenmesinde sistematik altyapı analizinin değerini göstermektedir.
Keşif, Çin devlet destekli siber operasyonların kalıcı ve gelişen doğasının altını çiziyor ve bireysel güvenlik olaylarının çok ötesine uzanan sonuçlar, kritik altyapı ve telekomünikasyon ağlarının yabancı istihbarat penetrasyonu ile ilgili daha geniş endişeleri kapsamak için.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.