Siber savaş / ulus-devlet saldırıları, sahtekarlık yönetimi ve siber suç
Bilgisayar korsanları Fransız hükümet kuruluşlarını hedef aldı, dedi Anssi
Akhabokan Akan (Athokan_akhsha) •
2 Temmuz 2025
Ulusal siber ajans, Çin tehdit aktörleriyle bağlantılı bir hack kampanyasının, Fransız hükümetini, savunma ve medya kuruluşlarını hedeflemek için Ivanti Server yazılımında sıfır günleri zincirlediğini söyledi.
Ayrıca bakınız: Ondemand | Kuzey Kore’nin Gizli It Ordusu ve Nasıl Savaşır
Fransız Ulusal Bilgi Sistemleri Güvenliği Ajansı veya ANSSI, Salı günü yaptığı açıklamada, Utah Company’nin Bulut Services cihaz uygulamalarının ömür boyu sonu versiyonuna girmek için bir dizi güvenlik kusuru kullanarak etkinlikten etkilenen Fransız kuruluşlarının gözlemlediğini söyledi. Kampanya, medya, finans ve ulaşım sektörlerindeki devlet kurumlarını, telekomları ve firmaları etkiledi. ANSII, “Houken” in izinsiz giriş seti olarak adlandırılır (bakınız: yeni sıfır gün saldırılarını hedefleyen Ivanti CSA müşterileri).
Hacker, “çoğunlukla Çince konuşan geliştiriciler tarafından hazırlanmış” çok sayıda açık kaynaklı araç kullandı, Çin çalışma saatlerinde aktifti ve istihbarat toplama ile tutarlı davranışlar sergiledi. Tehdit oyuncusu aynı zamanda bir kurban sistemine bir Cryptominer kurarak kendini zenginleştirdi. Çin ulus-devlet hackleme, istihbarat teşkilatları ve özel sektör şirketlerinin alışılmadık bir kombinasyonudur. Bazı bilgisayar korsanları kendi hedeflerini seçer ve söndürülmüş veriler veya devlet kurumlarına erişim satarlar – veya yan tarafta kar amacı gütmeyen hackleme yapabilirler. Anssi, “Bununla birlikte, kriptominer kullanımı bu tehdit oyuncusu için nadir kalıyor.”
Filelcess Backdoor Vshell ve Gorverse olarak bilinen bir ters kabuk arka kapısı gibi kullanılan araç setlerindeki benzerliklere dayanarak, Houken Hacker muhtemelen Maniant tarafından UNC5174 olarak izlenen bir Çin tehdit oyuncusu ile bağlantılıdır. Google’a ait tehdit Intel firması, UNC5174’ü Çin Devlet Güvenliği Bakanlığı için muhtemelen ilk erişim yüklenicisi olarak hareket eden ve çevrimiçi “Uteus” ile gittiğine inanılan bir birey olarak tanımlıyor (bakınız: Muhtemelen Çin Hacking Yüklenicisi N-Days’ten yararlanmak için hızlıdır).
UNC5174 gibi, Houken operatörü muhtemelen Hacked ağlarına Pekin bağlantılı bilgisayar korsanlarına erişim satıyor – ancak ANSII, Houken operatörünü, isimsiz bir Güney Amerika ülkesinin Dışişleri Bakanlığı’ndan çok sayıda e -postayı doğrudan ortaya çıkardı.
Kampanya, bilgisayar korsanlarının, daha önce görülmemiş bir rootkit varyantını dağıtmak için CVE-2024-8190 ve CVE-2024-9380 olarak izlenen iki Ivanti sıfır gününü zincirlemesiyle başladı.
Kurbanın ortamına girdikten sonra, tehdit grubu GitHub ve daha önce Çince konuşan geliştiricilerle ilişkili web kabuklarında mevcut açık kaynaklı araçlar kullandı. Saldırganlar ayrıca anonimleştirme hizmetleri Nordvpn veya Express Sanal Özel Ağına güveniyorlardı.
Houken operatörü ayrıca, hack’in bir parçası olarak konut veya mobil IP adreslerinden oluşan proxy ağları kullandı. 2024 yılında Paris kamu savcılığı, ağların Houke operatörleriyle bağlantılı olup olmadığı belirsiz olmasına rağmen, Çin ulus devlet gruplarıyla bağlantılı bir “makine zombileri ağı” ile ilgili bir ön soruşturma başlattı (bakınız: bkz: Fransız hükümeti şüpheli Çin casusluğunu araştırıyor).
Fransız ajansı, Houken’in arkasındaki bilgisayar korsanının ve UNC5174’ün aktif olduğunu söyledi. “Her iki saldırı seti de dünya çapında ve fırsatçı güvenlik açığı sömürüsü aracılığıyla uç nokta yöneticileri veya VPN cihazları gibi internete dönük ekipmanı hedeflemek için tekrar çalıştırılacaktır.”