Güneydoğu Asya’daki telekomünikasyon kuruluşları, devlet destekli bir tehdit aktörü tarafından hedeflendi. CL-969 Meydan okulu ağlar üzerinde uzaktan kumandayı kolaylaştırmak için.
Palo Alto Networks Birimi 42, Şubat ve Kasım 2024 yılları arasında kritik telekomünikasyon altyapısını amaçlayan bölgede birden fazla olay gözlemlediğini söyledi.
Saldırılar, uzaktan erişimi sağlamak için çeşitli araçların ve mobil cihazlardan konum verilerini toplayabilen CordScan’ın dağıtımıyla karakterize edilir.
Bununla birlikte, siber güvenlik şirketi, araştırdığı ağlardan ve sistemlerden veri açığa çıktığına dair hiçbir kanıt bulamadığını söyledi. Saldırganların mobil ağlardaki hedef cihazları izleme veya iletişim kurma çabaları da yoktu.
Güvenlik araştırmacıları Renzon Cruz, Nicolas Bareil ve Navin Thomas, “CL-Sta-0969’un arkasındaki tehdit oyuncusu yüksek operasyonel güvenliği (OPSEC) sürdürdü ve tespitten kaçınmak için çeşitli savunma kaçırma teknikleri kullandı.” Dedi.
CL-Sta-0969, birim 42 başına, istihbarat toplama hedefi ile en az 2020’den beri Güney Asya ve Afrika’daki telekomünikasyon varlıklarına yönelik saldırılara atfedilen bir Çin-nexus casusluk grubu olan Liminal Panda adı altında Crowdstrike tarafından izlenen bir küme ile önemli örtüşmeler paylaşıyor.
Liminal Panda’nın Tradecraft’ın bazı yönlerinin daha önce 2016’dan bu yana telekom sektörünü seçen Lightbasin (diğer adıyla UNC1945) adlı başka bir tehdit aktörüne atfedildiğini belirtmek gerekir. Lightbasin, üçüncü bir küme ile örtüştüğü için, UNC2891 ile örtüşen bir Crew, maddi olarak motive edilen bir Crew, ATM’nin ATM’si olarak bilinir (ATM), otomatik saldırı ile bilinir.
Araştırmacılar, “Bu küme liminal panda ile önemli ölçüde örtüşürken, Işık Havzası, UNC3886, UNC2891 ve UNC1945 dahil olmak üzere diğer bildirilen gruplar ve aktivite kümeleriyle saldırgan takımlarında çakışmalar gözlemledik.”
En az bir durumda, CL-Sta-0969’un ilk uzlaşma için SSH kimlik doğrulama mekanizmalarına karşı kaba kuvvet saldırıları kullandığına inanılıyor ve-
- Authdoorkimlik bilgisi hırsızlığı yapmak ve sabit kodlu sihirli bir şifre aracılığıyla uzlaşmış ana bilgisayara kalıcı erişim sağlamak için şakşağa benzer (başlangıçta UNC1945’e atfedilen) kötü niyetli bir takılabilir kimlik doğrulama modülü (PAM)
- Cordscanbir ağ tarama ve paket yakalama yardımcı programı (daha önce liminal panda atfedilir)
- GtpdoorGPRS dolaşım değişimlerine bitişik telekom ağlarında konuşlandırılacak şekilde tasarlanmış bir kötü amaçlı yazılım
- Echobackdoorkomutu çıkarmak ve şifrelenmemiş bir ICMP Echo Yanıt Paketi aracılığıyla yürütme sonuçlarını sunucuya geri göndermek için komut ve kontrol (C2) talimatları içeren ICMP yankı isteği paketlerini dinleyen pasif bir arka kapı
- Servis GPRS Destek Düğümü (SGSN) Emülatörü (SGSNEMU)telekomünikasyon ağı üzerinden trafiği tünellemek için bir emülasyon yazılımı ve güvenlik duvarı kısıtlamalarını atlayarak (daha önce Liminal Panda’ya atfedilebilir)
- KronosratShellcode yürütme, dosya işlemleri, keyloglama, bağlantı noktası yönlendirme, uzaktan kabuk, ekran görüntüsü yakalama ve proxy özellikleri yapabilen modüler bir ELF ikili
- Nodepdns (dahili olarak MyDN’ler olarak anılıyor), ham bir soket oluşturan ve DNS mesajları aracılığıyla gelen komutları ayırdığı 53 numaralı bağlantı noktasında pasif olarak dinleyen bir Golang arka kapısı
Ünite 42 araştırmacıları, “CL-Sta-0969, diğer işlevlerle birlikte ters SSH tüneli oluşturan farklı kabuk komut dosyalarından yararlandı.” “CL-STA-0969, yüksek derecede OPSEC’i korumak için günlükleri sistematik olarak temizler ve yürütülebilir ürünleri artık ihtiyaç duyulmadıklarında siler.”
Tehdit oyuncusunun konuşlandırdığı zaten geniş kötü amaçlı araç portföyüne ek olarak, Microsocks Proxy, Hızlı Ters Proxy (FRP), FSCAN, Yanıtlayıcı ve Proxychains ve Linux ve UNIX tabanlı sistemlerde (CVE-40-5195, CVVE -21) Kusurları kullanma programlarıdır. tırmanma.
Ismarlama ve halka açık araçların bir kombinasyonunu kullanmanın yanı sıra, tehdit aktörlerinin radarın altında uçmak için bir dizi strateji benimsediği bulunmuştur. Bu, trafiğin DNS tünelini, tehlikeye atılan mobil operatörlerden trafiği yönlendirme, kimlik doğrulama günlüklerini silme, güvenlik geliştirilmiş Linux’u (Selinux) devre dışı bırakma ve işlem adlarını hedef ortamla eşleşen ikna edici adlarla gizlemeyi kapsar.
Ünite 42, “CL-Sta-0969, telekomünikasyon protokolleri ve altyapısı hakkında derin bir anlayış gösteriyor.” Dedi. “Kötü amaçlı yazılımları, araçları ve teknikleri, kalıcı, gizli erişimi sürdürmek için hesaplanmış bir çaba ortaya koyuyor. Bunu, diğer telekom düğümleri aracılığıyla trafiği proxying, daha az scrutinize protokoller kullanarak tünel oluşturarak ve çeşitli savunma kaçakçılığı tekniklerini kullanarak elde etti.”
Çin, ABD ajanslarını askeri ve araştırma kurumlarını hedeflemekle suçluyor
Açıklama, Ulusal Bilgisayar Ağı Acil Müdahale Teknik Ekibi/Koordinasyon Merkezi’nin (CNCERT) ABD istihbarat teşkilatlarını, Savunma ile ilgili bilgileri çalmak ve Temmuz 202 ve Temmuz 2023 yılları arasında “büyük Çin askeri girişimine” ait 50’den fazla cihaza ait bir Microsoft Borsası sıfır gün istismarını silahlandırmakla suçladı.
Ajans ayrıca, üst teknoloji askeri ile ilgili üniversitelerin, bilimsel araştırma enstitülerinin ve ülkedeki işletmelerin, tehlikeye atılan ev sahiplerinden gelen değerli verileri sifonlara yönelik bu saldırıların bir parçası olarak hedeflendiğini söyledi. CNCERT, hedeflenenler arasında, elektronik dosya sistemlerindeki güvenlik açıklarından yararlanarak Temmuz -Kasım 2024 yılına kadar saldırıya uğrayan iletişim ve uydu internet sektörlerinde bir Çin askeri işletmesi vardı.
Atıf çabası, Microsoft SharePoint sunucusunun en son sıfır gün sömürüsünü sayarak, Çin’i büyük siber saldırılar için defalarca suçlayan Batı’dan taktikleri yansıtıyor.
Geçen ay Çin’in ABD telekom sistemlerine hacklenmesi ve Fox News’daki fikri mülkiyet hırsızlığı hakkında soruldu, ABD Başkanı Donald Trump, “Bunu onlara yaptığımızı sanmıyorsun? Yaptık. Çok şey yapıyoruz. Dünya böyle çalışıyor. Bu kötü bir dünya.” Dedi.