Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar
Firma RedHotel, RedAlpha ve Poison Carp ile Birlikte Çalışıyor
Akşaya Asokan (asokan_akshaya) •
26 Mart 2024
Firmaya ait sızdırılmış bir veri hazinesini analiz eden güvenlik araştırmacıları, Çinli bilgisayar korsanlığı yüklenicisi iSoon'un Pekin adına üç ayrı siber casusluk operasyonunu desteklediğini söyledi.
Ayrıca bakınız: İsteğe Bağlı | Hileli URL Hileleriyle Mücadele: En Son Kimlik Avı Saldırılarını Nasıl Hızlı Bir Şekilde Tanımlayabilir ve Araştırabilirsiniz?
Daha önce bilinmeyen Çinli kiralık hackleme firmasının iç işleyişinin ayrıntıları, bilinmeyen bir kişinin, hükümeti destekleyen özel bir şirket olan Şangay merkezli iSoon'a ait e-tablolar, sohbet günlükleri ve pazarlama materyallerini içeren GitHub belgelerini yayınlamasının ardından Şubat ayında ortaya çıktı. hackleme operasyonlarına öncülük etti (bkz: Çinli Hacking Yüklenicisi iSoon Dahili Belgeleri Sızdırdı).
Artık devre dışı bırakılan GitHub deposundaki 500'den fazla dosyayı inceleyen çok sayıda güvenlik araştırmacısı, sızdırılan verileri büyük bir güvenle Çin hükümeti için çalışan birçok özel bilgisayar korsanlığı yüklenicisinden biri olan Çinli firmaya bağladı. Ayrı olarak, kimliği belirlenemeyen bir iSoon çalışanı da verilerin doğruluğunu Associated Press'e doğruladı.
Recorded Future'daki araştırmacılar, iSoon'un sızdırdığı verileri analiz ederken, belgelerin iSoon'u RedHotel, RedAlpha ve Poison Carp olarak takip edilen Çin devlet hackleme gruplarıyla ilişkilendirdiğini söyledi.
Raporda, “iSoon ile belirlenen bağlantılar, bunların muhtemelen aynı şirket içindeki belirli görevlere odaklanan alt ekipler olduğunu gösteriyor” diyor. “Kurbanları en az 22 ülkeyi kapsıyor; hükümet, telekomünikasyon ve eğitim en çok hedef alınan sektörleri temsil ediyor.”
Insikt raporuna göre bu operasyonlar, Çin Kamu Güvenliği Bakanlığı, Devlet Güvenlik Bakanlığı ve Halk Kurtuluş Ordusu'nun Asya genelindeki etnik azınlıkların hedef alınması da dahil olmak üzere faaliyetlerini destekledi.
Araştırmacılar, iSoon'u temel olarak, kötü amaçlı yazılım altyapısındaki örtüşmeye ve 2015 yılına kadar uzanan kampanyaların bir parçası olarak farklı varyantların ortak kullanımına dayalı olarak gelişmiş kalıcı gruplarla ilişkilendirdi.
En belirgin vaka, hem RedAlpha hem de iSoon adlı Çinli ileri düzey kalıcı grup tarafından kullanılan kimlik avı altyapısından kaynaklandı. RedAlpha veya DeepCliff, Tibetli azınlıklara karşı casus yazılım kampanyaları yürüttüğü bilinen gelişmiş bir kalıcı tehdit grubudur.
Araştırmacılar, kötü amaçlı yazılım örtüşmesine ek olarak, iSoon ile kimlik avı alanlarını kaydetmek için kullanılan, Liang Guodong adlı, önceden tanımlanmış RedAlpha bağlantılı bir kişi arasında birden fazla bağlantı buldu.
Araştırmacılar ayrıca iSoon'un IP adreslerini ve daha önce Poison Carp'a bağlanan bir Android uzaktan erişim Truva Atı'na referansları paylaştığına dair kanıtlar da buldu. Insomnia olarak da bilinen Poison Carp, daha önce Tibetli azınlıklara karşı casus yazılım kampanyaları yürütmüştü.
RedHotel, Çin hükümetini ilgilendiren kuruluşları hedef alan üretken bir casusluk grubudur. Recorded Future, iSoon tarafından geliştirilen ve satılan özel bir kötü amaçlı yazılım türü olan ShadowPad'in APT grubunun yaygın kullanımına dayanarak iSoon ile bağlar kurdu.
“Son olarak Insikt Group, iSoon sızıntısında atıfta bulunulan belirli mağdur örgütleri ile tarihsel olarak tanımlanmış RedHotel mağdurları arasında çok sayıda örtüşme gözlemledi.” Bunlar arasında Nepal Telekom, Kamboçya Ekonomi ve Maliye Bakanlığı ve Tayland hükümet daireleri de vardı.
Tehdit istihbaratı ve risk yönetimi lideri Mei Danowski, “Çin'de bilgisayar korsanlığının en sıcak noktası olarak bilinen Chengdu'da iSoon gibi birçok özel grup yüklenicisinin faaliyet göstermesiyle, kötü amaçlı yazılımların çakışması muhtemelen yakın çalışma ortamından kaynaklanıyor” dedi. jeopolitik istihbarat konusunda uzmanlaşmıştır. Danowski, Şubat ayındaki veri sızıntısından önce iSoon'u takip ediyordu.
Kendisi, iSoon sızıntısının hoşnutsuz çalışanlardan (bazı işçiler sızdırılan verilerde firmadaki düşük ücretlerden şikayetçi) veya devlet ihaleleri için yarışan firmalar arasındaki sert rekabetten kaynaklanmış olabileceğini söyledi.
Analistler, iSoon'un bir yazılım geliştirme sözleşmesi anlaşmazlığı nedeniyle Chengdu 404 ile fikri mülkiyet mücadelesi içinde olduğunu söylüyor. 2020 yılında ABD Adalet Bakanlığı, Chengdu 404 Ağ Teknolojisi ile bağlantılı yedi bilgisayar korsanını, düzinelerce özel ABD şirketini hedef almak için fidye yazılımı planları kullandıkları ve kripto hırsızlığı yaptıkları iddiasıyla suçladı.
Recorded Future'dan Mark Kelly, kötü amaçlı yazılım ve diğer yeteneklerin paylaşımının yalnızca Chengdu'nun ötesine geçtiğini ve tüm Çin'de yaygın olduğunu söyledi.
Kelly, “Bu muhtemelen Çin'in siber casusluk ekosistemi içindeki karmaşık bir tedarik zincirinin ürünüdür; burada belirli kötü amaçlı yazılım aileleri ve açıklardan yararlanmalar, ticari olarak özel sektör ve devlet destekli siber casusluk faaliyetleriyle uğraşan devlet kurumları arasında ticari olarak satılır ve dağıtılır” dedi. Insikt Group'ta tehdit istihbaratı analisti.
Kelly, Information Security Media Group'a, iSoon sızıntısının medyada geniş yer almasının ardından araştırmacıların RedAlpha ve RedHotel tarafından geliştirilen altyapıda değişiklikler tespit ettiğini söyledi.
“İSoon'un Asya-Pasifik bölgesindeki yüksek öncelikli hükümet hedeflerine karşı Çin hükümeti için tercih edilen bir yüklenici olmaya devam edip etmediğini görmek ilginç olacak.”
Kaydedilen Geleceğin araştırmacıları, sızıntının ABD kolluk kuvvetlerine, şirket personeline karşı gelecekteki olası suçlamaları veya yaptırımları takip etmelerinde yardımcı olacağını öngörüyor.
Danowski, sızıntı olayının iSoon'un itibarını biraz zedeleyebileceğini ve “daha düşük iş anlaşmalarıyla sonuçlanabileceğini, ancak büyük olasılıkla Chengdu 404'te gördüğümüz gibi faaliyetlerine devam edeceklerini” söyledi.