Siber güvenlik firması Sygnia, Çin ile bağlantılı olduğu iddia edilen karmaşık bir siber casusluk kampanyası keşfetti. Yayınlanmadan önce Hackread.com ile paylaşılan araştırma, Çin devleti destekli bir grup olan Velvet Ant’ın, yaklaşık üç yıl boyunca tespit edilmeden manevra yaparak büyük bir organizasyonun “karmaşık” ağına kalıcı erişim sağladığını ortaya koyuyor.
Velvet Ant, gizli silah olarak ele geçirilen F5 BIG-IP cihazlarını kullandı. Kuruluşun ağı, güvenlik duvarı, WAF, yük dengeleme ve yerel trafik yönetimi hizmetleri için hem internete açık hem de güvenliği ihlal edilmiş iki F5 BIG-IP cihazına dayanıyordu. Saldırganlar, kalıcılığı korumak, tespit sistemlerinden kaçmak ve daha fazla sızma için bir dayanak oluşturmak amacıyla güncelliğini kaybetmiş işletim sistemlerini kullanarak bunları dahili C2 sunucularına dönüştürdü.
Aktör, kurban organizasyonun sistemlerini tehlikeye atmak ve yürütme akışını ele geçirmek için DLL kaçırma, yan yükleme, hayalet DLL yükleme ve PlugX kötü amaçlı yazılımını ve ShadowPad ailesi kötü amaçlı yazılımını (VELVETSTING, VELVETTAP, SAMRID, diğer adıyla EarthWorm ve ESRDE) her ikisi de (PDF) Çin casusluk gruplarıyla ilişkilendirildi.
PlugX uzaktan erişim truva atı, saldırganların makineler üzerinde kontrol sahibi olmasına olanak tanıdı ve modüler eklenti sistemi, saldırganların kötü amaçlı amaçlara yönelik yeteneklerini daha da geliştirdi. Aktör, PlugX’i kurmadan önce EDR ürününü “tutarlı bir şekilde” kurcaladı ve C2 olarak dahili bir dosya sunucusunu kullanarak, PlugX’in iki sürümünü dağıtmak için bunu meşru trafikle harmanladı.
PlugX kötü amaçlı yazılım yürütme zinciri üç dosyadan oluşuyordu: ‘iviewers.exe’, ‘iviewers.dll’ ve ‘iviewers.dll.ui’. Bu dosyalar, DLL arama sırasının ele geçirilmesi yoluyla kötü amaçlı PlugX DLL yükleyicisi tarafından yüklenen ve bir Windows hizmeti olarak yüklenen yasal uygulamalardır.
Velvet Ant, bu araçlara ek olarak, yanal araç aktarımı için Impacket adlı açık kaynaklı Python sınıfları koleksiyonunu ve güvenliği ihlal edilmiş cihazlarda RCE’yi kullanarak C2 sunucusuna bağlantılar için güvenlik duvarı kuralları oluşturdu.
Grup, kötü amaçlı yazılımın, güvenlik yazılımını devre dışı bırakmayı başaramadığı bir iş istasyonuna yüklenmesinden kaçınarak yüksek operasyonel güvenlik farkındalığı sergiledi. Velvet Ant’ın odak noktası sadece hakimiyet kurmak değil, aynı zamanda casusluk amacıyla hassas verileri elde etmekti.
Sygnia’nın blog yazısında, Sygnia’nın tehdit aktörünü ağdan başarılı bir şekilde kaldırdığı ancak aktörün “izlenmeyen sistemlerdeki hareketsiz kalıcılık mekanizmaları” aracılığıyla tekrar tekrar ortaya çıktığı belirtildi.
Kritik sistemlere düzenli olarak yama uygulamak, ağ erişimini sınırlamak, uç nokta güvenlik çözümlerini dağıtmak, giden internet trafiğini sınırlamak, katı ağ bölümlendirmesini uygulamak ve ağınız içindeki tehditleri aktif olarak aramak, bu tür tehditlere karşı korunmak için önemli adımlardır.
Uzman Yorumları
Sectigo Üründen Sorumlu Kıdemli Başkan Yardımcısı Jason Soroko, eski ekipmanların savunmasız durumunu ve oluşturdukları siber güvenlik tehdidini vurgulayan rapor hakkında yorum yaptı.
”Bir kuruluşun ağındaki eski ekipmanlar önemli bir siber güvenlik riskidir. Bu eski sistemler, modern kimlik doğrulama yeteneklerinden yoksundur ve çoğu zaman yamalanamayan güvenlik açıklarına sahiptir; bu da onları siber saldırıların ana hedefi haline getirmektedir.” Jason, Velvet Ant saldırısında görüldüğü gibi, Eski sistemlerin sıklıkla basit şifrelere dayandığını açıkladı. Bu tehditleri ortadan kaldırmaya yönelik çabalara rağmen eski ekipmanlar, saldırganlara kalıcı yeniden giriş noktaları sağlıyordu.”
Bu tehdidi azaltmak için Jason şunu tavsiye etti: ”Eski sistemlerin oluşturduğu risk ile bunları yükseltmek için gereken yatırımın dengelenmesi çok önemlidir. Bu tür kararların yukarıdan aşağıya bir yaklaşım kullanılarak alınması gerekir; bir organizasyon içinde riske sahip olan yöneticilerin denge noktasının nerede olduğunu anlaması gerekir.”
”Teknik açıdan bakıldığında, altyapının tasarlanması ve modernleştirilmesi, yama yönetiminin geliştirilmesi ve gelişmiş kimlik doğrulamanın uygulanması, bu riskleri azaltmak için gerekli adımlardır. Kariyerlerimizin çoğunun zaman dilimi içinde, kuantum bilişimin ortaya çıkışının, eski sistemlerin kuantum dirençli şifrelemeyi kaldıracak donanıma sahip olmaması nedeniyle yeni tehditler oluşturduğunu belirtmek gerekir.“ ekledi.
İLGİLİ KONULAR
- Çin Bağlantılı Blackwood APT, Gelişmiş NSPX30 Arka Kapısını Dağıtıyor
- Crimson Palace: Çinli Hackerlar 2 Yıl İçinde Askeri Sırları Çaldı
- Google Play Store Uygulamalarında Çin Bağlantılı Casus Yazılım Bulundu, 2 Milyon İndirme
- APT Grubu “Solmayan Deniz Pusu” Güney Çin Denizi’ndeki Askeri Hedefleri Vurdu
- Karışık Meerkat Grubunun Çin Güvenlik Duvarı Aracılığıyla Casusluk Yaptığından Şüpheleniliyor