Birleşik Krallık ve uluslararası müttefikleri, Çin devlet destekli siber aktörlerin gelişen tekniklerine ışık tutan yeni bir uyarı yayınladı. GCHQ’nun bir parçası olan Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC) tarafından öncülük edilen uyarı, Avustralya, ABD, Kanada, Yeni Zelanda, Almanya, Kore Cumhuriyeti ve Japonya’dan siber güvenlik ajanslarıyla iş birliği içinde geliyor.
Tavsiyede, Çin devlet destekli siber aktörü APT40’ın Avustralya ağlarına yönelik saldırılarda kullandığı yöntemlere odaklanılıyor.
APT40: Güvenlik Açığı Olan Cihazların İstismarı
APT40, savunmasız küçük ofis ve ev ofisi (SoHo) cihazlarını istismar etme taktiğini özellikle benimsemiştir. Bu cihazlar genellikle en son yazılımı çalıştırmaz veya son güvenlik güncellemelerinden yoksundur, bu da onları birincil hedefler haline getirir. APT40, bu daha yumuşak hedeflerden yararlanarak kötü amaçlı trafiği etkili bir şekilde gizleyebilir ve daha geniş çaplı saldırılar başlatabilir.
Danışma, ağ savunucularının bu kötü amaçlı etkinliği belirlemesine ve azaltmasına yardımcı olmak için iki teknik vaka çalışması içeriyor. Bu teknikler APT40 ile sınırlı değil; küresel olarak Çin devlet destekli diğer aktörler tarafından da kullanılıyor.
Tarihsel Bağlam ve Önceki Atıflar
Birleşik Krallık daha önce APT40’ı Çin Devlet Güvenlik Bakanlığı’na (MSS) atfetmişti. Kryptonite Panda, GINGHAM TYPHOON, Leviathan ve Bronze Mohawk olarak da bilinen tehdit grubu, Avustralya ve Amerika Birleşik Devletleri dahil olmak üzere çeşitli ülkelerdeki kuruluşları hedef alma geçmişine sahiptir. APT40, keşif ve istismar operasyonları için güvenlik açığı kavram kanıtlarını (POC’ler) hızla uyarlamasıyla bilinir. Log4J, Atlassian Confluence ve Microsoft Exchange gibi yaygın olarak kullanılan yazılımlardaki yeni güvenlik açıklarını istismar ederler.
Uluslararası İşbirliği ve Danışmanlık Ayrıntıları
“PRC MSS Tradecraft in Action” başlıklı tavsiye, NCSC ve uluslararası ortakları tarafından ortaklaşa yayınlandı. Bunlar şunları içerir:
- Avustralya Sinyal Müdürlüğü Avustralya Siber Güvenlik Merkezi (ASD’nin ACSC’si)
- ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA)
- ABD Ulusal Güvenlik Ajansı (NSA)
- ABD Federal Soruşturma Bürosu (FBI)
- Kanada Siber Güvenlik Merkezi (CCCS)
- Yeni Zelanda Ulusal Siber Güvenlik Merkezi (NCSC-NZ)
- Alman Federal İstihbarat Servisi (BND) ve Federal Anayasayı Koruma Dairesi (BfV)
- Kore Cumhuriyeti Ulusal İstihbarat Servisi (NIS) ve NIS Ulusal Siber Güvenlik Merkezi (NCSC)
- Japonya Ulusal Olay Hazırlığı ve Siber Güvenlik Stratejisi Merkezi (NISC) ve Ulusal Polis Teşkilatı (NPA)
Tavsiye, APT40’ın taktikleri, teknikleri ve prosedürleri (TTP’ler) hakkındaki ortak anlayışın yanı sıra ASD’nin ACSC’si tarafından yürütülen mevcut olay müdahale soruşturmalarına dayanmaktadır.
Kalıcı ve Uyarlanabilir Tehditler
APT40’ın yeni genel güvenlik açıklarını hızla istismar etme yeteneği onu kalıcı bir tehdit haline getirir. İlgi duyulan ağlarda düzenli keşifler yaparlar, istismar edilecek savunmasız, kullanım ömrü dolmuş veya yamalanmamış cihazları ararlar. Grup, kimlik avı gibi kullanıcı etkileşimi gerektiren teknikler yerine savunmasız, genele açık altyapıyı istismar etmeyi tercih eder. Bir dizi takip faaliyetini etkinleştirmek için geçerli kimlik bilgileri edinmeye yüksek öncelik verirler.
İlk erişim sağlandıktan sonra, APT40 kurbanın ortamında erişimi sürdürmek için kalıcılık oluşturmaya odaklanır. Bu genellikle saldırı yaşam döngüsünün başlarında kalıcılık için web kabuklarının kullanılmasını içerir.
Tekniklerin Evrimi
APT40, zamanla tekniklerini geliştirerek, tehlikeye atılmış Avustralya web sitelerini komuta ve kontrol (C2) ana bilgisayarları olarak kullanmaktan, tehlikeye atılmış SoHo cihazlarını operasyonel altyapı olarak kullanmaya geçti. Bu cihazlar, saldırılar için bir başlangıç noktası sunar, meşru trafikle harmanlanır ve ağ savunucularına zorluklar sunar. Bu teknik, dünya çapında diğer ÇHC devlet destekli aktörler tarafından da kullanılır ve paylaşılan bir tehdidi vurgular.
Araçlar ve Öneriler
Danışma, VirusTotal’a yüklenen soruşturmalar sırasında tespit edilen bazı kötü amaçlı dosyalarla ilgili ayrıntıları içeriyor. Bu, daha geniş siber güvenlik topluluğunun tehditleri daha iyi anlamasını ve savunmalarını geliştirmesini sağlar.
Tavsiye, tüm kuruluşları ve yazılım üreticilerini APT40 saldırılarını tespit etmek, önlemek ve düzeltmek için sağlanan kılavuzu incelemeye çağırıyor. Ayrıca, yazılım ürünlerinin güvenlik duruşunu güçlendirmek için Güvenli Tasarım ilkelerini dahil etmenin önemini vurguluyor.
Daha Geniş Etkiler ve Süregelen Tehditler
Bu duyurunun yayınlanması, GCHQ Müdürünün Mayıs ayında Çin’in İngiltere için oluşturduğu “gerçek ve artan siber risk” konusunda yaptığı uyarının ardından geldi. APT40 ve benzeri gruplardan gelen tehdit devam ediyor ve çok kapsamlı sonuçlar doğurma potansiyeli var.
APT40’ın güvenlik açıklarını hızla istismar etme yeteneği ve tehlikeye atılmış altyapıyı kullanma tercihleri onları zorlu bir rakip haline getiriyor. Bu danışmada vurgulanan uluslararası iş birliği, tehdidin küresel doğasını ve devlet destekli siber faaliyetlere karşı savunma için koordineli çabalara duyulan ihtiyacı vurguluyor.