Çin’in Ulusal Bilgisayar Ağı Acil Müdahale Teknik Ekibi/Koordinasyon Merkezi (CNCERT), ABD istihbarat teşkilatlarını, kuzeybatı politeknik üniversitesinde 2022 NSA ihlali üzerine inşa ederek önemli askeri-sanayi varlıklarına karşı sofistike siber saldırıları düzenlemekle suçladı.
Vahiyler, ileri kalıcı tehditler (APT’ler) aracılığıyla Çin savunma sektörünün kalıcı hedeflemesinin altını çizen iki sembolik olayı detaylandırıyor.
Temmuz 2022’den Temmuz 2023’e kadar uzanan ilk dava, Microsoft Exchange’in e-posta altyapısında daha önce açıklanmayan sıfır günlük güvenlik açığının kullanılmasını içeriyordu.
Microsoft Exchange Zero-Day Sustam
Saldırganlar, büyük bir askeri-endüstriyel girişimin e-posta sunucusuna sızdı ve yaklaşık 11 ay boyunca kalıcı kontrol oluşturdu.
Bu ilk ihlal, intranet içindeki yanal hareketi kolaylaştırdı ve alan denetleyicisini 50’den fazla çekirdek cihazdan ödün vermek için bir pivot olarak kullandı.
Gizliliği korumak için, failler WebSocket tabanlı ve SSH tünelleme mekanizmalarını kullandılar ve hassas verileri püskürtmek için çok katmanlı şifreli kanallar oluşturdular.
Operasyon, askeri ürün tasarımı planları ve sistem parametre özellikleri gibi kritik varlıkları çıkardıkları 11 üst düzey yöneticinin e-posta hesapları da dahil olmak üzere yüksek değerli hedeflere sıfırlandı.
Teknik olarak, saldırı aracı seti, Almanya ve Finlandiya gibi ülkelerde aracı atlama noktalarından geçerek, komuta ve kontrol (C2) trafiği ile uç nokta algılama ve yanıt (EDR) sistemlerini atlamak için kod gizleme teknikleri kullandı ve saldırı yaşamı boyunca açık kötü niyetli imzaların saptanamamasını sağladı.
Tedarik zinciri uzlaşması
Temmuz ve Kasım 2024 arasında meydana gelen ikinci olay, saldırganların, kalıcı sırtları implante etmek ve kalıcı kalıcılık için Tomcat Servlet filtrelerini implante etmek için elektronik bir dosya yönetim sistemindeki yetkisiz erişim kusurlarını kullandıkları tedarik zinciri ekosistemlerindeki güvenlik açıklarını vurguladı.
Romanya ve Hollanda’da sıçrama tahtası IP adreslerini kullanan davetsiz misafirler, yasal bir sistem yükseltme paketi olarak kötü niyetli bir yükü taklit ettiler ve intranet boyunca hedeflenen truva atlarını yaydılar.
Bu, stratejik zekayı tanımlamak ve hasat etmek için “Askeri Ağ” ve “Çekirdek Ağ” gibi terimlerle ilgili anahtar kelime tabanlı filtreleme mekanizmaları ile 300’den fazla cihaz üzerinde hassas kontrole izin verdi.
Veriler, ulusal güvenlik varlıklarını zayıflatmayı amaçlayan devlet destekli casusluk gösteren iletişim protokolü spesifikasyonları ve uydu internet mimarlık diyagramları dahil olmak üzere yüksek bahisli malzemelere odaklanmıştır.
Adli analizden kaçınmak için, saldırganlar log sanitizasyon rutinlerini uyguladılar ve savunma duruşlarının gerçek zamanlı izlenmesi, kökenlerini gizlemek ve operasyonel gizliliği korumak için dinamik olarak uyum sağladılar.
Bu taktikler, profesyonel istihbarat operasyonlarının ayırt edici özelliklerini yansıtarak, acil bozulmaya uzun vadeli erişime öncelik verir.
Rapora göre, CNCERT’in açıklamaları, özellikle Çin’in siber uzay yönetimi ile NVIDIA arasındaki yakın tarihli bir diyalogun ardından, H20 CHIP serisinde olduğu iddia edilen belgeler için taleplerin yapıldığı küresel tedarik zinciri risklerinin artan incelemesinin ortasında geliyor.
Bu olay, yabancı satıcılara güvenmek, bu durumlarda kullanılmayan güvenlik açıkları gibi, dış manipülasyon ve kontrollere tekrar tekrar maruz kaldığından, kritik teknolojilerde lokalizasyon zorunluluğunu güçlendirir.
Yerli kalkınmaya öncelik vererek Çin, bu tür saldırılara karşı siber savunmalarını güçlendirmeyi ve rakipler tarafından silahlandırılabilecek bağımlılıkları azaltmayı amaçlıyor.
Bu olaylar sadece ABD’ye bağlı APT gruplarının teknik karmaşıklığını vurgulamakla kalmaz, aynı zamanda askeri-endüstriyel sırların istihbarat hakimiyeti için ana hedefler olarak kaldığı siber alanda daha geniş bir jeopolitik yarışmaya işaret eder.
En son raporlardan itibaren, bu tür agresif siber faaliyetleri engellemek için uluslararası hesap verebilirlik çağrıları ile soruşturmalar devam ediyor.
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!