APT40 olarak takip edilen Çin destekli gelişmiş kalıcı tehdit (APT) aktörü, oyun planını geliştirmekle meşguldü ve son zamanlarda saldırıları sırasında komuta ve kontrol (C2) faaliyetleri için bir hazırlık noktası olarak küçük ofis ve ev ofis (SoHo) ağ cihazlarındaki güvenlik açıklarından yararlanarak yeni kurbanları aktif olarak hedef aldığı gözlemlendi
Bu durum, Avustralya, Kanada, Yeni Zelanda, İngiltere ve ABD’den Five Eyes’a bağlı siber güvenlik kuruluşları ile Almanya, Japonya ve Güney Kore’den ortak kuruluşlar tarafından yayınlanan uluslararası bir uyarıya dayanıyor.
Uyarıda öncü kuruluş olan Avustralya Siber Güvenlik Merkezi’ne (ACSC) göre, APT40 bu yöntemle hem Avustralya’daki hem de dünya genelindeki ağları defalarca hedef aldı.
Avustralyalı yetkililer tarafından yayınlanan iki vaka çalışmasında, APT40’ın saldırıları sırasında operasyonel altyapı ve “son atlama” yönlendiricileri olarak tehlikeye atılmış SoHO cihazlarını kullandığı belirtiliyor; ancak bunun bir sonucu olarak, bunların faaliyetlerinin karakterize edilmesi ve izlenmesi bir nebze daha kolay hale geldi.
Ajanslar, SoHo’daki bu tür ağ cihazlarının, büyük kurumsal eşdeğerlerine kıyasla kötü niyetli kişiler için çok daha kolay hedefler olduğunu belirtti.
Avustralyalılar, “Bu SoHO cihazlarının çoğu kullanım ömrünün sonuna gelmiş veya yamalanmamış ve N günlük istismar için yumuşak bir hedef sunuyor,” dedi. “SoHO cihazları bir kez tehlikeye atıldığında, saldırıların meşru trafikle harmanlanması ve ağ savunucularına meydan okuması için bir başlangıç noktası sunuyor.
“Bu teknik aynı zamanda dünya çapında diğer ÇHC devlet destekli aktörler tarafından da düzenli olarak kullanılıyor ve yazar kuruluşlar bunu ortak bir tehdit olarak değerlendiriyor.
“APT40, operasyonlarında zaman zaman mağdurlara yönelik C2 altyapısı olarak satın alınmış veya kiralanmış altyapıyı kullanıyor; ancak bu zanaatın göreceli olarak gerilediği görülüyor” diye eklediler.
ACSC, Ağustos 2022’de yanıt verdiği bir APT40 siber saldırısının ayrıntılarını paylaştı; bu saldırıda, grupla bağlantılı olduğuna inanılan kötü niyetli bir IP, iki aylık bir süre boyunca hedeflenen kuruluşun ağıyla etkileşime girdi ve bu etkileşim muhtemelen küçük bir işletmeye veya ev kullanıcısına aitti. Bu saldırı, APT40 çok fazla hasar veremeden önce giderildi.
WithSecure’da kıdemli tehdit istihbaratı araştırmacısı olan Mohammed Kazem şunları söyledi: “Çin hükümeti/devlet destekli siber operasyonların hızının veya etkisinin düştüğüne dair hiçbir belirti yok… bunun yerine, ticari becerilerini geliştirmeye ve rafine etmeye devam ettiler. Artık işe yaramayan yöntemleri ve araçları emekliye ayırmaya istekli olduklarını gösterdiler, ancak standart TTP’leri etkili olduğu kanıtlanmış olsa da, bunları memnuniyetle kullanmaya devam ettiler.
Kazem, “Bu duyuru ayrıca son yıllarda ÇHC aktörleri arasında uç cihazları istismar yoluyla hedef alma ve ağ altyapılarının ve faaliyetlerinin bir parçası olarak tehlikeye atılmış cihazları kullanma yönündeki ortak ve büyüyen bir eğilimi vurguluyor. Bu tekniklerin bu aktörler tarafından izlenmesi ve nitelendirilmesi daha zor olan, ancak aynı zamanda geleneksel güvenlik mekanizmalarına ve denetimine meydan okuyan daha gizli operasyonları sürdürmek için bilinçli olarak kullanıldığına inanıyoruz” dedi.
Dikkat çekici tehdit
Çeşitli tedarikçi matrislerinde Kryptonite Panda, Gingham Typhoon, Leviathan ve Bronze Mohawk olarak da bilinen APT40 grubu, büyük ihtimalle Hong Kong’un yaklaşık 300 mil batısında, Çin’in güney kıyılarındaki bir ada olan Hainan Eyaletindeki Haikou şehrinde konuşlanmış oldukça aktif bir gruptur. Görevlendirmesini Çin Devlet Güvenlik Bakanlığı’nın (MSS) Hainan Devlet Güvenlik Departmanından almaktadır.
Muhtemelen Microsoft Exchange Server’daki uzlaşmalar aracılığıyla düzenlenen 2021 siber saldırı serisine dahil olan bir dizi APT’den biriydi. O yılın Temmuz ayında, grubun dört üyesi havacılık, savunma, eğitim, hükümet, sağlık, biyofarmasötik ve denizcilik sektörlerini hedef alan saldırılar nedeniyle ABD yetkilileri tarafından suçlandı.
Bu kampanyada APT40, su altı ve otonom araçlar, kimyasal formüller, ticari uçak servisleri, genetik dizileme teknolojisi, Ebola, HIV/AIDS ve MERS gibi hastalıklar üzerine araştırmalar ve Çin’in devlet işletmelerinin sözleşme kazanma girişimlerini desteklemek için kullanılan bilgiler gibi fikri mülkiyetleri çaldı.
APT40, gelişmiş yetenekleri sayesinde özellikle dikkat çekici bir tehdit olarak değerlendiriliyor. Yeni güvenlik açıklarının kavram kanıtlarını (PoC) hızla dönüştürüp istismar edebiliyor ve bunları kurbanlara yöneltebiliyor. Ekip üyeleri, bunları kullanma fırsatlarını aramak için ilgi çekici ağlara karşı düzenli keşifler gerçekleştiriyor.
Geçtiğimiz birkaç yılın en yaygın ve dikkat çekici güvenlik açıklarından bazılarını, Log4j gibi, hevesle kullanan bir şirket oldu; hatta 2017’ye kadar uzanan bazı hataları istismar ederek başarıya ulaşmaya devam ediyor.
Grubun, e-posta yoluyla kimlik avı gibi kullanıcı etkileşimi gerektiren teknikler yerine kamuya açık altyapıları hedeflemeyi tercih ettiği ve saldırılarında kullanmak üzere geçerli kimlik bilgileri elde etmeye büyük önem verdiği görülüyor.
APT40 saldırısını azaltma
Savunmacılar için öncelikli önlemler arasında günlüklerin güncel tutulması, yama yönetiminin hızlı bir şekilde yapılması ve ağ segmentasyonunun uygulanması yer alıyor.
Güvenlik ekipleri ayrıca kullanılmayan veya ihtiyaç duyulmayan ağ hizmetlerini, bağlantı noktalarını veya güvenlik duvarlarını devre dışı bırakmak, web uygulama güvenlik duvarlarını (WAF’ler) uygulamak, erişimi sınırlamak için en az ayrıcalıklı politikaları uygulamak, internet üzerinden erişilebilen tüm uzaktan erişim hizmetlerinde çok faktörlü kimlik doğrulamayı (MFA) uygulamak, kullanım ömrü dolan kitleri değiştirmek ve özel uygulamaları potansiyel olarak istismar edilebilir işlevler açısından incelemek için adımlar atmalıdır.