Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Devlet
Kötü Amaçlı Yazılım Komuta ve Kontrol için Sabit Kodlanmış IP Adresi Kullandı
David Perera (@daveperera) •
14 Ocak 2025
ABD federal kolluk kuvvetleri Salı günü yaptığı açıklamada, Avrupalı bir ortağın kötü amaçlı yazılımın komuta ve kontrol sunucusunun kontrolünü ele geçirmesinin ardından Çin siber casusluk operasyonunda kullanılan 4.000’den fazla kötü amaçlı yazılım örneğini sildiğini söyledi.
Ayrıca bakınız: 2024 Dolandırıcılık Analizleri Raporu
Kötü amaçlı yazılım “PlugX”, birden fazla tehdit aktörü tarafından kullanılan bir uzaktan erişim Truva atıdır – bu durumda, Twill Typhoon veya Mustang Panda olarak takip edilen Pekin destekli bir grup tarafından. Adalet Bakanlığı, grubu, otoriter ülkenin yöneticileri tarafından gelişen, kiralık hack piyasasındaki birçok özel sektör şirketinden biri olan bir hükümet yüklenicisi olarak tanımladı (bkz: Sophos, Yarım On Yıldır Devam Eden Çin Saldırısını Açıkladı).
PlugX, virüslü USB sürücüler aracılığıyla yayılır. Önceki araştırmalar, Microsoft Windows’un uygulamaları çalıştırmak için yazılım kitaplıklarını çağırmasından yararlanan bir bilgisayar korsanlığı tekniği olan DLL yan yüklemesine güvenildiğini belirtmişti. Kötü amaçlı yazılım, kendisini silme komutu da dahil olmak üzere bir dizi komutu kabul edecek şekilde tasarlanmıştır. Fransız polisiyle birlikte hareket eden FBI, 2024 yılının Ağustos ayında başlayan operasyonla ABD merkezli 4.258 bilgisayara böyle bir komut gönderdi.
Kötü amaçlı yazılım kendini açığa vurmamak için adımlar atıyor; bu da, FBI’ın internet servis sağlayıcıları aracılığıyla kurbanlara operasyonun bildirilmesinin, kurbanların bilgisayarlarında Çin kötü amaçlı yazılımlarının etkin olduğuna dair ilk ipucu olabileceği anlamına geliyor.
ABD hükümeti, Çinli bilgisayar korsanlarını fikri mülkiyet hırsızlığından ve doğrudan casusluktan uzak tutmak için onlarca yıldır süren bir çabaya bulaşmış durumda; bu mücadele, federal hükümetin Pekin’in Amerikan kritik altyapısına yönelik bilgisayar korsanlığı araçlarını önceden konumlandırdığını söylemesinin ardından kamuoyunda daha acil hale gelen bir mücadele (bkz: Çin Devlet Hacker ‘Volt Typhoon’ Guam ve ABD’yi Hedef Alıyor).
Son zamanlardaki dikkate değer ihlaller arasında Hazine Bakanlığı’nın yabancı yatırımları ulusal güvenlik tehditleri açısından incelemeye ve yaptırım uygulamaya adamış büroları da yer alıyor. Hazine, ağa sızmayı kabul ettikten sadece birkaç gün sonra, Flax Typhoon olarak takip edilen Pekin hack grubunu desteklediği için Çinli bir teknoloji şirketine yaptırım uyguladı (bkz: ABD, Keten Tayfunu Hacklemesi Nedeniyle Pekin Şirketine Yaptırım Yaptı).
PlugX varyantının silinmesi, güvenlik araştırmacılarının PlugX’in bu varyantının Eylül 2023’ten bu yana kullanılmak üzere sabit kodlandığını bulmasının ardından mümkün hale geldi. 45.142.166.112 Komuta ve kontrol sunucusu olarak. Siber güvenlik şirketi Sekoia, 2023 yılında IP adresini ele geçirmeyi başardığını ve kötü amaçlı trafiği engellemeye başladığını duyurdu. FBI, bir beyanında ABD’den sunucuya bağlanan en az 45.000 IP adresi tespit ettiğini söyledi
Sekoia, 26 Aralık’ta Paris Savcılığı ve Fransız Jandarma Ulusal Siber Birimi’nin bu teklifi kabul ettiğini açıklayarak kolluk kuvvetleriyle işbirliği yapmayı teklif etti (bkz: Fransız Hükümeti Şüpheli Çin Casusluğunu Soruşturuyor).
Şirket, toplamda 10 ülkenin PlugX örneklerini silmek için Sekoia ile çalıştığını söyledi. “Kampanya sırasında toplam 59.475 dezenfeksiyon verisi gönderildi; 5.539 IP adresini hedef aldı; bazen yüzlerce kez tek bir IP adresine, muhtemelen VPN çıkış düğümleri veya SAT bağlantılarıyla ilgili.”