‘Dijital Göz Operasyonu’ adı verilen karmaşık bir siber casusluk kampanyasında, Çin devleti destekli olduğundan şüphelenilen bilgisayar korsanları, 2024 yılının Haziran sonu ile Temmuz ortası arasında Güney Avrupa’daki büyük işletmeler arası BT hizmet sağlayıcılarını hedef aldı.
Saldırganlar, komuta ve kontrol amacıyla Visual Studio Code Tunnels ve Azure altyapısından yararlanarak akıllı bir teknik kullandı.
Visual Studio Code (VS Code) Tünelleri, uzaktaki bir makineye veya ortama güvenli bir şekilde bağlanmanıza ve onunla doğrudan VS Code üzerinden etkileşim kurmanıza olanak tanıyan bir özelliktir.
Araştırmacılar bunun, bu yöntemi kullanan şüpheli bir Çinli APT (Gelişmiş Kalıcı Tehdit) grubunun belgelenen ilk örneği olduğunu söylüyor.
Tehdit aktörleri başlangıçta internete bakan sunuculara SQL enjeksiyon saldırıları yoluyla erişim sağladılar ve “PHPsert” lakaplı özel PHP tabanlı bir web kabuğu dağıttılar.
Daha sonra Uzak Masaüstü Protokolü (RDP) bağlantılarını ve karmaşık parola karma çalma tekniklerini kullanarak güvenliği ihlal edilmiş ağlar arasında yatay olarak hareket ettiler.
Saldırganların Visual Studio Code’un Uzak Tüneller özelliğini kötüye kullanması özellikle endişe vericiydi. Bu özellik, meşru bir geliştirme faaliyeti olarak görünürken, tehlikeye atılmış sistemlere kalıcı arka kapı erişimini sürdürmelerine olanak tanıdı.
Kötü niyetli trafik, Avrupa lokasyonlarındaki Microsoft Azure altyapısı üzerinden yönlendirildi ve bu da tespit edilmesini zorlaştırdı.
Araştırmacılar raporlarında, “Hedeflenen kuruluşlar, çeşitli sektörlerdeki müşterilere veri, altyapı ve siber güvenliği yönetmeye yönelik çözümler sunarak onları siber casusluk aktörlerinin ana hedefleri haline getiriyor” dedi. Başarılı bir ihlal, saldırganlara alt müşterilerden ödün vermek için stratejik dayanak noktası sağlayabilirdi.
Saldırganların operasyonel kalıplarının analizi, faaliyetin esas olarak hafta içi Çin iş saatlerinde (Çin Standart Saati ile 09.00 – 21.00) olduğunu ortaya çıkardı ve bu da katılımın devlet destekli olduğunu gösteriyor.
Kullanılan kötü amaçlı yazılım, Çince yorumlar içeriyordu ve daha önce Çin APT operasyonlarıyla bağlantılı araçlarla ortak özellikler içeriyordu.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın
Saldırganlar aşağıdakileri içeren çok aşamalı bir strateji kullandı:
- İlk Erişim: Web veritabanlarına karşı SQL enjeksiyon saldırıları kullanarak sistemlere sızdılar ve PHP tabanlı özel bir web kabuğu dağıttılar. PHP sertifikalıtespit edilmekten kaçınmak için tasarlandı.
- Kimlik Bilgisi Hırsızlığı: Kimlik bilgilerini çıkarmak için CreateDump gibi yerleşik yardımcı programlara ve araçlara sahip Windows sistemlerini ve ayrıca özel olarak değiştirilmiş Mimikatz araçlarını hedef aldılar. karma geçişi saldırılar.
- Yanal Hareket: Saldırganlar içeri girdikten sonra Uzak Masaüstü Protokolü (RDP) ve Visual Studio Code tabanlı tünelleri kullanarak dahili ağlar üzerinden geçtiler.
- Özel Kötü Amaçlı Yazılım: Kampanya, gelişmiş kimlik bilgisi çalma işlevlerini gerçekleştirmek için Mimikatz’ın benzersiz bir sürümü olan bK2o.exe’yi kullandı ve bunu yaparken de statik analizi atlamak için etkinliğini gizledi.
Kampanyanın, kötü amaçlı dosyaları yerel dil terimleriyle gizlemek gibi gelişmiş araçlara ve pratik uyarlamalara dayanması, operasyonel karmaşıklığını daha da vurguluyor.
Diğer Çin Siber Casusluk Kampanyalarına Atıf ve Bağlantılar
Kampanyanın arkasındaki spesifik grup belirsizliğini korusa da araştırmacılar, Dijital Göz Operasyonu’nda kullanılan kötü amaçlı yazılımlar ve teknikler ile Yumuşak Hücre Operasyonu (2017–2018) ve Tainted Love Operasyonu (2023) dahil olmak üzere daha önceki Çin APT kampanyalarında görülenlerle örtüştüğünü belirtti.
Bu kampanyalar telekomünikasyon ve diğer endüstrileri hedef alıyordu. mimCN koleksiyonundaki benzer araçları kullanmak; Çin siber casusluğu kapsamında ortak bir satıcı veya “dijital malzeme sorumlusu” tarafından sürdürüldüğüne inanılan gelişmiş araçlardan oluşan bir paket ekosistem.
I-Soon sızıntısı, Çin’in siber casusluk faaliyetlerini detaylandıran bir ihbar raporu, çeşitli gruplar için bu araçların oluşturulmasından ve bakımından sorumlu merkezi birimlerin teorisini desteklemektedir.
Saldırganlar altyapılarını dikkatli bir şekilde Avrupa hedefleriyle uyumlu hale getirdi. Polonya ve İtalya’daki M247 sunucularından ve Microsoft’un Avrupa’daki Azure hizmetlerinden yararlanarak yerel kuruluşlar arasında şüphe uyandırmaktan kaçındılar. Özellikle faaliyet zaman damgaları, Çin’in normal çalışma saatleri sırasında gerçekleştirilen operasyonları yansıtıyordu ve bu durum, devlet destekli müdahale şüphelerini güçlendiriyordu.
Bu kampanya, Çinli siber casusluk gruplarının Avrupalı kuruluşlara yönelik oluşturduğu artan tehdidin altını çiziyor. Saldırganlar, meşru teknoloji istismarını gelişmiş tekniklerle harmanlayarak geleneksel savunmaları aşmaya çalıştı. Visual Studio Code gibi güvenilir araçların kullanımı meşru bulut altyapısının kullanımıyla birleştiğinde, bu tür saldırıların tespit edilmesi özellikle zorlaşıyor.
Dijital Göz Operasyonu kuruluşların özellikle Visual Studio Code gibi yaygın olarak güvenilen araçların kötüye kullanılması durumunda güçlü tespit mekanizmaları benimsemesi gerektiğini vurguluyor. Siber güvenlik ekipleri geleneksel güvenlik modellerini yeniden değerlendirmeli ve bulut faaliyetlerini ve geliştirici araçlarını daha yakından incelemelidir.
Siber casusluk tehditleri giderek daha karmaşık hale geldikçe, bunun gibi kampanyalar, hükümetlerin ve özel kuruluşların savunma önlemlerini güçlendirme konusunda işbirliği yapmaları için bir uyandırma çağrısı işlevi görüyor. Dijital Göz Operasyonu’ndan alınan dersler, ulus devlet tehdit aktörlerinin sürekli gelişen taktiklerine karşı dikkatli olmanın, yenilikçiliğin ve küresel işbirliğinin önemini vurguluyor.
Investigate Real-World Malicious Links,Malware & Phishing Attacks With ANY.RUN - Try for Free