Siber güvenlik savunucuları, tehdit aktörlerinin kampanyalarına yanıt olarak saldırganların IP adreslerinin tanımlanmış IOC’ler aracılığıyla engellenmesine büyük ölçüde güvenmektedir. Ancak Çinli tehdit aktörleri, ORB Ağlarının yaygın şekilde benimsenmesi yoluyla bu olağan stratejiyi hızla geçersiz kılıyor.
ORB’ler, genellikle Çin hükümeti içindeki özel şirketler veya kuruluşlar tarafından yönetilen karmaşık, çok katmanlı ağlardır. Sürekli değişen bir IP adresi havuzuna erişim sunarak birden fazla tehdit aktörünün, görünüşte zararsız trafiğin ardındaki faaliyetlerini maskelemesine olanak tanırlar.
ORB Ağlarının Tehdit Aktörleri Tarafından Kullanımı Savunmacılara Ek Zorluklar Sunuyor
Mandiant’tan araştırmacılar, genellikle yüzbinlerce düğüm derinliğindeki bu ağların boyutunun ve kapsamının büyük bir koruma sağladığını ve savunucuların saldırganlar hakkında daha fazla bilgi edinmesini ve ilişkilendirmesini zorlaştırdığını belirtti.
Ek olarak, ORB’lerin coğrafi yayılımı, Çin’deki bilgisayar korsanlarının coğrafi kısıtlamaları aşmasına veya kendi bölgelerindeki hedeflere bağlanarak daha az şüpheli görünmesine olanak tanıyor. En önemlisi, ORB düğümleri kısa ömürlüdür; yeni cihazlar genellikle her ay veya birkaç ayda bir girip çıkıyor, bu da savunmacıların IP’leri kullanıcılarına belirli bir süre boyunca bağlamasını zorlaştırıyor.
Bu operasyonel aktarma kutusu ağları (ORB’ler), Çin hükümeti içindeki özel şirketler veya unsurlar tarafından sürdürülür ve beş katmandan oluşur: Çin sunucuları, sanal özel sunucular (VPS), geçiş düğümleri, çıkış düğümleri ve kurban sunucuları. ORB’ler iki gruba ayrılabilir: ticari olarak kiralanan VPS’leri kullanan provizyonlu ve güvenliği ihlal edilmiş ve kullanım ömrü sonu yönlendiriciler ve Nesnelerin İnterneti (IoT) cihazları üzerine inşa edilmiş provizyonsuz.
Bu ağlar botnet’lere benzer ve ORB ağ yöneticileri çok az bir çabayla ağlarının boyutunu kolayca büyütebilir ve casusluk operasyonlarını gizlemek için kullanılabilecek, sürekli gelişen bir ağ oluşturabilir.
Araştırmacılar bu ağların karmaşıklığını göstermek için iki önemli örnek verdiler:
- ORB3/SPACEHOP: Kuzey Amerika, Avrupa ve Orta Doğu’daki varlıkları hedefleyen, APT5 ve APT15’e bağlı, tedarik edilmiş bir ağ. CVE-2022-27518 gibi güvenlik açıklarından faydalanmasıyla tanınır.
- ORB2/FLORAHOX: TOR ağ röleleri ve VPS sunucularının yanı sıra güvenliği ihlal edilmiş Cisco, ASUS ve DrayTek yönlendiricilerini kullanan hibrit bir ağ. APT31 ve Zirkonyum ile bağlantılı olup trafik karartma konusunda çok katmanlı bir yaklaşım sergilemektedir.
ORB Ağlarının Tehdidine Uyum Sağlamak
Araştırmacılar, savunmacıların artık rakip altyapıyı engellemek yerine geçiciliği, rakiplerin çokluğunu ve geçiciliği dikkate alması gerektiğini tavsiye etti. Bu ORB ağlarına, etkisiz uzlaşma göstergelerinin kullanılması yerine, farklı taktikler, teknikler ve prosedürler (TTP’ler) içeren ayrı varlıklar olarak yaklaşmayı öneriyorlar.
Savunmacılar, altyapı modelleri, davranışlar ve TTP’ler dahil olmak üzere gelişen özelliklerini analiz ederek, rakibin taktikleri hakkında değerli bilgiler edinebilir ve daha etkili savunmalar geliştirebilir.
Saldırı gizleme için proxy ağlarından yararlanmak yeni olmasa da, Çin’de ORB ağ endüstrisinin yükselişi, siber operatörleri daha karmaşık taktikler ve araçlarla donatmaya yönelik uzun vadeli yatırımlara işaret ediyor.
Bu ORB ağlarının evrimi aynı zamanda statik bir savunmanın kaybedilen bir savunma olabileceğini de vurgulamaktadır. Büyüyen bu tehdide karşı koymak ve eşit şartlar sağlamak için işletmelerin sürekli uyum sağlama zihniyetini benimsemesi ve aynı zamanda gelişmiş tehdit istihbaratına, davranışsal analiz araçlarına ve vasıflı personele yatırım yapması gerekir.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.