Sophos, üst düzey bir hükümet hedefine karşı oldukça karmaşık, neredeyse iki yıl süren bir casusluk kampanyasını ayrıntılarıyla anlatan “Kızıl Saray Operasyonu: Tehdit Avcılığı, Güneydoğu Asya’yı Hedefleyen Çin Devleti Destekli Çok Sayıda Faaliyet Kümesini Ortaya Çıkarıyor” raporunu yayınladı.
Sophos X-Ops’un 2023’te başlayan araştırması sırasında, yönetilen tespit ve müdahale (MDR) ekibi, aynı kuruluşu hedef alan üç farklı faaliyet kümesi buldu; bunlardan ikisi iyi bilinenlerle örtüşen taktikler, teknikler ve prosedürler (TTP’ler) içeriyordu. Çin ulus devlet grupları biliniyor: BackdoorDiplomacy, APT15 ve APT41 alt grubu Earth Longzhi.
Sophos, Çin devleti destekli faaliyetleri ortaya çıkardı
Saldırganlar, operasyonlarını, Sophos’un o zamandan beri “Kızıl Saray” olarak adlandırdığı kampanya boyunca çok çeşitli kötü amaçlı yazılım ve araçları kullanarak, belirli kullanıcıların yanı sıra hassas siyasi, ekonomik ve askeri bilgiler hakkında keşif toplamak üzere tasarladılar. Buna daha önce görülmemiş kötü amaçlı yazılımlar da dahildir: Sophos’un PocoProxy adını verdiği bir kalıcılık aracı.
“Farklı kümeler, ülkenin Güney Çin Denizi’ndeki stratejileriyle ilgili askeri ve ekonomik istihbarat toplayarak Çin devletinin çıkarlarını desteklemek için çalışıyor gibi görünüyor. Bu özel kampanyada, bu üç kümenin, merkezi bir devlet otoritesinin kapsamlı direktifi altında aynı hedefe karşı paralel olarak çalışan farklı saldırı gruplarını temsil ettiğine inanıyoruz. Belirlediğimiz üç kümeden yalnızca birinde (Alfa Kümesi) kötü amaçlı yazılımların ve TTP’lerin ayrı ayrı bildirilen dört Çinli tehdit grubuyla örtüştüğünü gördük. Çinli saldırganların altyapı ve araçları paylaştığı iyi biliniyor ve bu son kampanya, bu grupların araçlarını ve tekniklerini ne kadar kapsamlı bir şekilde paylaştıklarını hatırlatıyor.
Paul Jaramillo şunları söyledi: “Batılı hükümetler Çin’den gelen siber tehditler konusunda farkındalığı artırırken, Sophos’un ortaya çıkardığı örtüşme, tek bir Çin atıfına çok fazla odaklanmanın, kuruluşları bu grupların operasyonlarını nasıl koordine ettiğine ilişkin eğilimleri kaçırma riskiyle karşı karşıya bırakabileceğinin önemli bir hatırlatıcısıdır.” Direktör, Tehdit Avcılığı ve Tehdit İstihbaratı, Sophos. “Kuruluşlar daha büyük ve daha geniş bir resme sahip olarak savunmaları konusunda daha akıllı olabilirler.”
Sophos X-Ops, hedeflenen kuruluşun ağındaki kötü amaçlı faaliyetleri ilk olarak Aralık 2022’de, daha önce Çinli tehdit grubu Mustang Panda’ya atfedilen bir veri filtreleme aracı bulduğunda öğrendi. Buradan MDR ekibi, kötü amaçlı faaliyetlere yönelik daha geniş bir araştırmaya başladı. Mayıs 2023’te Sophos X-Ops tehdit avcılığı, savunmasız bir VMWare yürütülebilir dosyasını ve analiz sonrasında hedefin ağındaki üç farklı etkinlik kümesini ortaya çıkardı: Cluster Bravo, Cluster Charlie ve Cluster Alpha.
Güney Çin Denizi’nde siber casusluk operasyonlarının agresif gelişimi
Cluster Alpha, Mart başından en az Ağustos 2023’e kadar aktifti ve AV korumalarını devre dışı bırakmaya, ayrıcalıkları yükseltmeye ve keşif gerçekleştirmeye odaklanan çeşitli kötü amaçlı yazılımları dağıttı. Bu, Çin tehdit grubu REF5961 ile ilişkilendirilen EAGERBEE kötü amaçlı yazılımının yükseltilmiş bir sürümünü de içeriyordu. Cluster Alpha ayrıca Çinli tehdit grupları BackdoorDiplomacy, APT15, Worok ve TA428 ile örtüşen TTP’leri ve kötü amaçlı yazılımları da kullandı.
Cluster Bravo, Mart 2023’te hedeflenen ağda yalnızca üç haftalık bir süre boyunca etkindi ve CCoreDoor adı verilen bir arka kapıyı dışarıdan yüklemek için kurbanın ağı boyunca yanal olarak hareket etmeye odaklandı. Bu arka kapı, saldırganlar için harici iletişim yolları kurar, keşif gerçekleştirir ve kimlik bilgilerini sızdırır.
Cluster Charlie, casusluk ve sızmaya odaklanarak Mart 2023’ten en az Nisan 2024’e kadar aktifti. Buna, Microsoft’un çalıştırılabilir bir dosyası gibi görünen ve saldırganların komuta ve kontrol altyapısıyla iletişim kuran bir kalıcılık aracı olan PocoProxy’nin dağıtımı da dahildi. Cluster Charlie, ağ içinde daha fazla erişim için askeri ve siyasi belgeler ve kimlik bilgileri/belirteçler de dahil olmak üzere büyük miktarda hassas veriyi casusluk amacıyla sızdırmak için çalıştı.
Cluster Charlie, APT41’in bildirilen bir alt grubu olan Çinli tehdit grubu Earth Longzhi ile TTP’leri paylaşıyor. Cluster Alpha ve Cluster Bravo’nun aksine Cluster Charlie aktif kalır.
“Bu kampanyada gördüğümüz şey, Güney Çin Denizi’ndeki siber casusluk operasyonlarının agresif gelişimidir. Muhtemelen sınırsız kaynaklara sahip, aynı üst düzey devlet kuruluşunu haftalarca veya aylarca hedefleyen birden fazla tehdit grubumuz var ve bunlar, kamuya açık araçlarla iç içe geçmiş gelişmiş özel kötü amaçlı yazılımlar kullanıyor. Aletlerini sık sık değiştirerek bir organizasyonun içinde istedikleri zaman hareket edebiliyorlardı ve hala da öyleler. Faaliyet kümelerinden en az biri hâlâ oldukça aktif ve daha fazla gözetim gerçekleştirmeye çalışıyor.
“Çinli tehdit gruplarının ne sıklıkla örtüştüğü ve araçları paylaştığı göz önüne alındığında, bu kampanyada gözlemlediğimiz TTP’lerin ve yeni kötü amaçlı yazılımların küresel olarak diğer Çin operasyonlarında yeniden ortaya çıkması mümkün. Jaramillo, “Bu üç kümeye yönelik araştırmalarımıza devam ederken, bulduklarımız hakkında istihbarat camiasını bilgilendireceğiz” dedi.