Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Coğrafi Odak: Asya
Casusluk Grubu Hedeflenen Ağlardan Yararlanmak İçin SoftEther VPN İstemcisini Kullandı
Jayant Chakravarti (@JayJay_Tech) •
24 Haziran 2024
RedJuliett olarak takip edilen Çin devleti destekli bir grup, birçok ülkede hükümet, akademik ve teknoloji sektörlerinde faaliyet gösteren yaklaşık 75 kuruluşun altyapısını hedeflemek için açık kaynaklı VPN istemcisi SoftEther’i kullanıyor. Saldırıların çoğunun Tayvan’ı hedef aldığı görülüyor.
Ayrıca bakınız: Banka, Finansal Hizmetlere Yönelik Daha Fazla Hedefli Saldırı Görüyor
Recorded Future’ın tehdit araştırma kolu Insikt Group Pazartesi günü yaptığı açıklamada, siber casusluk grubunun Kasım 2023’e kadar Tayvan’da bir optoelektronik şirketi, bir yüz tanıma şirketi, bir atık ve kirlilik arıtma şirketi, bir yayınevi, üç üniversite ve dört yazılım şirketi dahil olmak üzere 24 kuruluşu ele geçirmeyi başardığını söyledi. ve Nisan 2024.
Grup ayrıca Tayvan ekonomi politikasına odaklananlar da dahil olmak üzere sekiz üniversitede ve 11 devlet kurumunda ağ keşifleri gerçekleştirdi ve istismar girişiminde bulundu; Tayvan, Laos, Kenya ve Ruanda’daki kamu sektörü kuruluşları; ABD ve Cibuti’deki üniversiteler; Tayvanlı bir yarı iletken şirketi; iki Tayvanlı havacılık şirketi; Tayvanlı iki düşünce kuruluşu ekonomi politikasına odaklandı; ve çok uluslu lojistik şirketleri ve havayolları.
Microsoft, Ağustos 2023’te, Flax Typhoon olarak izlediği tehdit grubunun, ağlara sızmak için halka açık sunuculardaki güvenlik açıklarından yararlandığını ve güvenliği ihlal edilmiş sistemlerden kimlik bilgilerini toplamak için tehdit aktörleri tarafından kontrol edilen ağ altyapısına bir VPN bağlantısı kurduğunu söyledi. Bu kampanya aynı zamanda ağırlıklı olarak Tayvanlı kuruluşları da hedef alıyordu (bkz: Çin Devlet Bilgisayar Korsanları ‘Flax Typhoon’ Tayvan’ı Hedef Alıyor).
Microsoft, Flax Typhoon’un hedeflenen ağlarla iletişim kurmak üzere birden fazla TLS sertifikası oluşturmak için açık kaynaklı istemci ve sunucu VPN yazılımı SoftEther’i kullandığını söyledi. Insikt Group araştırmacıları, grubun kurban ağlarıyla iletişim kurmak için Kasım ve Nisan ayları arasında bu sertifikaları kullanmaya devam ettiğini ve IP adreslerini keşif ve istismar girişimi için SoftEther VPN düğümleri olarak kullandığını tespit etti.
RedJuliett operatörleri özellikle güvenlik duvarları, sanal özel ağlar ve yük dengeleyiciler gibi ağ uç cihazlarındaki güvenlik açıklarını aradı ve ilk erişimi elde etmek için bunları kullandı. Araştırmacılar, internete bakan bu cihazların sınırlı görünürlüğe, günlük kaydı yeteneklerine ve mevcut güvenlik çözümlerine sahip olduğunu ve bu durumun onları bilgisayar korsanlığı için birincil hedef haline getirdiğini söyledi.
Grup ayrıca yüklü web uygulamalarındaki güvenlik açıklarını da araştırdı. Savunmasız uygulamaları tanımlamak için Acunetix Web Uygulaması Güvenlik Tarayıcılarını kullandı ve web ve SQL uygulamalarına karşı SQL enjeksiyonu ve dizin geçişi saldırılarını denedi. RedJuliett, ilk erişimi elde ettikten sonra, istismar sonrası faaliyetler için DevilzShell ve AntSword gibi açık kaynaklı araçları kullandı ve ağlara ayrıcalıklı erişim elde etmek için bilinen bir Linux güvenlik açığından (CVE-2016-5195) yararlandı.
Araştırmacılar, grubun faaliyetlerinin Çin’in Tayvan’ın ekonomi politikası, ticareti ve diplomatik ilişkileri hakkında istihbarat toplama hedefiyle tutarlı olduğunu ve RedJuliett’in muhtemelen Tayvan hükümetini ve kritik teknoloji firmalarını hedef almaya devam edeceğini söyledi.