ABD Federal Soruşturma Bürosu (FBI), şirketlere ve devlet kurumlarına ait uç cihazların ve bilgisayar ağlarının ihlalini içeren bir soruşturmayla bağlantılı olarak halktan yardım istedi.
Ajans, “Bir Gelişmiş Kalıcı Tehdit grubunun, hassas verileri dünya çapındaki güvenlik duvarlarından sızdırmak için tasarlanmış yaygın bir dizi gelişigüzel bilgisayar izinsiz girişinin parçası olarak kötü amaçlı yazılım (CVE-2020-12271) oluşturduğu ve dağıttığı iddia ediliyor” dedi.
“FBI, bu siber saldırılardan sorumlu kişilerin kimliklerine ilişkin bilgi arıyor.”
Bu gelişme, siber güvenlik tedarikçisi Sophos tarafından yayınlanan ve 2018 ile 2023 yılları arasında özel kötü amaçlı yazılımları dağıtmak veya bunları radarın altından uçacak proxy’ler olarak yeniden kullanmak için uç altyapı cihazlarından yararlanan bir dizi kampanyayı anlatan bir dizi raporun ardından geldi.
Kod adı Pacific Rim olan ve gözetleme, sabotaj ve siber casusluk yapmak üzere tasarlanan kötü niyetli faaliyetin, APT31, APT41 ve Volt Typhoon da dahil olmak üzere Çin devleti destekli çok sayıda gruba atfedildiği belirtiliyor. En erken saldırı, Sophos’un Hindistan’daki yan kuruluşu Cyberoam’a yönelik bir siber saldırının hedeflendiği 2018’in sonlarına kadar uzanıyor.
Sophos, “Düşmanlar, başta Güney ve Güneydoğu Asya olmak üzere, nükleer enerji tedarikçileri, ulusal başkentin havaalanı, askeri hastane, devlet güvenlik aygıtları ve merkezi hükümet bakanlıkları dahil olmak üzere hem küçük hem de büyük kritik altyapıyı ve hükümet tesislerini hedef aldı” dedi.
Sonraki toplu saldırılardan bazılarının, Sophos güvenlik duvarlarındaki (CVE-2020-12271, CVE-2020-15069, CVE-2020-29574, CVE-2022-1040 ve CVE-2022) birden fazla sıfır gün güvenlik açığından yararlandığı belirlendi. 3236 – Cihazların güvenliğini ihlal etmek ve yükleri hem cihaz yazılımına hem de kuruluşun LAN ağında bulunanlara iletmek için.
“2021’den itibaren düşmanlar, odak noktasını yaygın ve gelişigüzel saldırılardan belirli kuruluşlara (devlet kurumları, kritik altyapı, araştırma ve geliştirme kuruluşları, sağlık hizmeti sağlayıcıları, perakende satış, finans) yönelik yüksek hedefli, ‘klavyede uygulamalı’ dar odaklı saldırılara kaydırmış gibi görünüyor , askeri ve kamu sektörü kuruluşları öncelikle Asya-Pasifik bölgesinde” dedi.
2022 ortalarından itibaren saldırganların çabalarını belirli kuruluşlara daha derin erişim sağlamaya, tespit edilmekten kaçınmaya ve komutları manuel olarak çalıştırarak ve Asnarök, Gh0st RAT ve gelişmiş bir arka kapı kablosu olan Pygmy Goat gibi kötü amaçlı yazılımları dağıtarak daha fazla bilgi toplamaya odakladıkları söyleniyor. Sophos XG Güvenlik Duvarlarına ve muhtemelen diğer Linux cihazlarına kalıcı uzaktan erişim sağlama.
Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC), “Herhangi bir yeni teknik içermemekle birlikte, Pygmy Goat, aktörün normal ağ trafiğine uyum sağlarken talep üzerine onunla etkileşime geçmesini sağlama konusunda oldukça gelişmiş.” dedi.
“Kodun kendisi temiz, gelecekte genişletilebilirliğe yardımcı olan kısa, iyi yapılandırılmış işlevlere sahip ve hatalar baştan sona kontrol ediliyor, bu da kodun yetkin bir geliştirici veya geliştiriciler tarafından yazıldığını gösteriyor.”
Paylaşılan bir nesne (“libsophos.so”) biçimini alan yeni bir rootkit olan arka kapının, CVE-2022-1040’ın kullanılmasının ardından dağıtıldığı tespit edildi. Rootkit’in kullanımı Mart ve Nisan 2022 arasında bir hükümet cihazında ve bir teknoloji ortağında ve yine Mayıs 2022’de Asya merkezli bir askeri hastanedeki bir makinede gözlemlendi.
“Özel hazırlanmış ICMP paketlerini dinleme ve bunlara yanıt verme yeteneği ile birlikte gelir; bu paketler, virüs bulaşmış bir cihaz tarafından alınırsa, saldırganın seçeceği bir IP adresine bir SOCKS proxy’si veya ters kabuk geri bağlantısı açar.”
Pigme Keçi’nin konuşlandırılması, Sophos tarafından dahili olarak takip edilen ve Chengdu’daki Çin Elektronik Bilimi ve Teknolojisi Üniversitesi (UESTC) ile bağlantıları paylaşan Tstark olarak takip edilen Çinli bir tehdit aktörüne atfedildi.
Sophos, Sichuan Silence Information Technology’nin Double Helix Araştırma Enstitüsü’ne ait makineler de dahil olmak üzere kötü amaçlı istismar araştırmaları yürütmek üzere Çinli tehdit aktörlerinin sahip olduğu cihazlara kendi özel çekirdek implantını konuşlandırarak kampanyalara erken aşamada karşı çıktığını ve bu sayede görünürlük kazandığını söyledi. Temmuz 2020’de “daha önce bilinmeyen ve gizli bir uzaktan kod yürütme istismarı”.
Şirket, Ağustos 2020’de yapılan bir takip analizinin, bir işletim sistemi bileşeninde daha düşük önem derecesine sahip, kimlik doğrulama sonrası uzaktan kod yürütme güvenlik açığının keşfedilmesine yol açtığını ekledi.
Dahası, Thoma Bravo’ya ait şirket, bağlantıları olan kişilerden en az iki kez (CVE-2020-12271 ve CVE-2022-1040) “aynı anda son derece faydalı ancak şüpheli” hata ödülü raporları alma modeli gözlemlediğini söyledi. kötü niyetli olarak kullanılmadan önce Chengdu merkezli araştırma kurumlarına.
Bulgular önemlidir; özellikle de Sichuan bölgesinde aktif güvenlik açığı araştırması ve geliştirme faaliyetinin yürütüldüğünü ve daha sonra farklı hedeflere, yeteneklere ve sömürü sonrası tekniklere sahip çeşitli Çin devleti destekli ön cephe gruplarına aktarıldığını göstermesi açısından önemlidir.
“Pacific Rim’de şunu gözlemledik: […] Chester Wisniewski, Çin’in Sichuan kentindeki eğitim kurumlarıyla ilişkili sıfır gün istismar geliştirme montaj hattı” dedi. “Bu istismarlar devlet destekli saldırganlarla paylaşılmış gibi görünüyor, bu da bu tür paylaşımın devlet destekli saldırganlarla paylaşıldığını gösteriyor.” güvenlik açığı açıklama yasaları.”
Uç ağ cihazları, hem ilk erişim hem de kalıcılık açısından giderek daha yüksek değerli hedefler haline geliyor; hatta bazı durumlarda ilerideki hedefleri ihlal etmek ve saldırıların gerçek kaynağını karartmak için operasyonel aktarma kutuları (ORB’ler) olarak bile kullanılıyor.
Son aylarda, Volt Typhoon ve Storm-0940 gibi Çin Halk Cumhuriyeti (PRC) tehdit aktörlerinin, keşif ve şifre püskürtme saldırıları gerçekleştirmek için virüslü yönlendiriciler ve diğer uç cihazları içeren KV-Botnet ve Quad7 gibi bot ağlarından yararlandıkları gözlemlendi.
Sophos’un Bilgi Güvenliği Baş Sorumlusu (CISO) Ross McKerchar, The Hacker News’e şirketin bu botnet’lerin Pasifik Savaşı kampanyalarının bir parçası olarak kullanıldığı örnekleri gözlemlemediğini söyledi.
McKerchar, “Uç cihazlar ÇHC merkezli aktörler için önemli bir hedeftir ve hedef alınma oranları artmaktadır” dedi.
“Değerlendirmemiz, Çin Halk Cumhuriyeti merkezli araştırmacıların güvenlik açıklarını, Atlantik Konseyi raporunun APT gruplarıyla bağlantılı olduğunu gösterdiği bir hükümet kuruluşu olan MIIT ile paylaşma zorunluluğunun, bu saldırıları güçlendirmek için temel yakıtı ve güvenlik açıklarını sağlayan önemli bir bileşen olduğu yönündedir. “
Uç ağ cihazlarının hedeflenmesinin artması, aynı zamanda Kanada Siber Güvenlik Merkezi’nin (Siber Merkez), son dört yılda en az 20 Kanada hükümeti ağının Çin devleti destekli bilgisayar korsanları tarafından ele geçirildiğini ortaya koyan bir tehdit değerlendirmesiyle de örtüşüyor. stratejik, ekonomik ve diplomatik çıkarlar.
Ayrıca Çinli tehdit aktörlerini, Uygurları, Tibetlileri, demokrasi yanlısı aktivistleri ve Tayvan’ın bağımsızlığını destekleyenleri hedef alan “ulusötesi baskı” misyonlarını desteklemenin yanı sıra, gizli ve özel bilgileri toplayarak rekabet avantajı elde etmek için özel sektörünü hedef almakla suçladı.
Çinli siber tehdit aktörlerinin “son beş yıl içinde birden fazla hükümet ağına erişim sağladığını ve erişimi koruduğunu, iletişim ve diğer değerli bilgileri topladığını” belirtti. “Tehdit aktörleri, ağ keşiflerini gerçekleştirmek için alıcılara izleme görüntüleri içeren e-posta mesajları gönderdi.”
(Hikaye yayınlandıktan sonra Sophos’un yanıtlarını içerecek şekilde güncellendi.)