Siber Savaş / Ulus Devlet Saldırıları , Dolandırıcılık Yönetimi ve Siber Suçlar , Yönetişim ve Risk Yönetimi
Hedefler Güneydoğu Asya Dışişleri Bakanlığı, Tayvan’daki Dış Ticaret Ofislerini İçeriyor
Prajeet Nair (@prajeetspeaks) •
15 Haziran 2023
Siber tehdit istihbarat firması Mandiant, devlet tarafından yürütülen bir siber casusluk operasyonundaki Çinli bilgisayar korsanlarının, popüler bir e-posta güvenlik cihazındaki sıfır günlük bir güvenlik açığı yoluyla yüzlerce kuruluşu tehlikeye attığı konusunda uyardı.
Ayrıca bakınız: Yeni Siber Güvenlik Raporlama Gereksinimlerine Hazırlanma
Şirket, kampanyanın yıllardır Çin’in en geniş siber casusluk kampanyası olduğunu belirterek, Pekin bağlantısına ilişkin değerlendirmesini “yüksek güvenirlik” kararı olarak nitelendirdi.
Bilgisayar korsanları, Ekim ayında ve muhtemelen daha önce yararlanmaya başladıkları Barracuda Networks Email Security Gateway cihazlarında sıfır gün güvenlik açığı kullandı. Barracuda Networks, bilgisayar korsanlarını 19 Mayıs’ta tespit ettikten sonra 20 Mayıs’ta ilk güvenlik düzeltme ekini yayınladı.
Cihaz şirketi, bu ayın başlarında bir müşteri alt kümesini, yamayı uygulamış olsunlar olmasın ekipmanlarını derhal değiştirmeye çağırdı. Düzeltmeyle bile, halihazırda saldırıya uğramış cihazlar enfeksiyon belirtileri göstermeye devam etti. Bir şirket sözcüsü, Perşembe günü Information Security Media Group’a gönderdiği bir e-postada, 8 Haziran itibarıyla dünya çapındaki aktif ESG cihazlarının yaklaşık %5’inin bilinen uzlaşma belirtileri gösterdiğini söyledi (bkz:: İhlal Özeti: Barracuda Networks, Saldırıya Uğrayan Cihazları Geri Çağırıyor).
Mandiant, kampanyayı daha önce bilinen bir Çinli tehdit aktörüne atfetmiyor ve ona UNC4841 takma adını veriyor. Çin menşeli olduğuna işaret eden göstergeler arasında altyapı ve kötü amaçlı yazılım kodunun Pekin’deki diğer tehdit aktörleriyle örtüşmesi yer alıyor. Mandiant, “China-nexus siber casusluk operasyonları genellikle araçları ve altyapıyı paylaşır” dedi.
Mandiant, bilgisayar korsanlarının yanal hareket etme kapasitelerinin, kurbanların ağlarında hâlâ gizlenebilecekleri anlamına geldiği konusunda uyardı. Sıfır gün, CVE-2023-2868 olarak izlenen bir uzaktan komut ekleme sıfır gün güvenlik açığıydı.
Bilinen hedefler arasında bir Güneydoğu Asya ülkesinde bir dışişleri bakanlığının yanı sıra Tayvan ve Hong Kong’daki dış ticaret ofisleri ve akademik araştırma kuruluşları yer alıyor. Bilgisayar korsanları, hükümeti diğer ülkelerle üst düzey diplomatik toplantılar yapmış olan yetkililere ait e-posta hesaplarını aradı.
Barracuda’nın müşteri tabanının bir yansıması olsa da, saldırıya uğramış cihazların küçük bir çoğunluğu Amerika’da görünüyordu.
Bilgisayar korsanları, kötü amaçlı içerikler içeren e-postalar yoluyla ilk erişimi elde etti. .tar
ekler. Mandiant tarafından gözlemlenen e-postalar, özel olarak hazırlanmış kimlik avı e-postaları değildi. Bunun yerine, e-postaların istenmeyen e-posta filtreleri tarafından işaretlenmesi veya güvenlik analistlerinin tam bir performans göstermesini engellemek için kasıtlı bir girişim gibi görünen “genel olarak dilbilgisi zayıf olan ve bazı durumlarda hala yer tutucu değerler içeren genel e-posta konusu ve gövdesi cazibeleri içeriyordu”. soruşturma.
Bilgisayar korsanları, uzak komut enjeksiyonunu tarball dosyalarından birinin dosya adına yerleştirerek tetikledi. Kötü amaçlarla oluşturulmuş dosya adının kendisi saldırıyı tetiklediğinden, dosyaların asıl içeriği önemsizdi.
Mandiant ve Barracuda, SeaSpy, Saltwater ve Seaside olarak adlandırdıkları bilgisayar korsanları tarafından kullanılan üç ana arka kapı belirledi. SeaSpy birincil arka kapıdır. Mandiant, Çinli bilgisayar korsanlarının Barracuda’nın yamasına SeaSpy’ı değiştirerek ve onu yeni dosya adlarıyla konuşlandırarak tepki gösterdiğini söylüyor – UNC4841’in yöntemlerini gerçek zamanlı olarak değiştirdiğine ve savunucular onları kökten çıkarmaya çalışırken muhtemelen bunu yapmaya devam edeceğine dair bir uyarı.