Araştırmacılar, kötü şöhretli BlackTech APT grubunu çevreleyen yeni gelişmeler buldu. APT grubu, 2010 yılından bu yana Japon, Tayvanlı ve Hong Kong merkezli kuruluşları hedef alan siber casusluk operasyonları yürütüyor.
Çin devleti destekli gelişmiş kalıcı tehdit (APT) kuruluşu olan BlackTech APT grubu, ABD ve diğer ülkelere yönelik siber saldırılarını kullanarak Çin hükümetine hassas bilgiler sağlıyor.
BlackTech APT bilgisayar korsanları, on yıl önce ortaya çıktıklarından bu yana hükümet, sanayi, teknoloji, medya, elektronik, telekomünikasyon ve savunma dahil olmak üzere çeşitli sektörlerde bir siber saldırı izi bıraktı.
BlackTech APT grubunun taktikleri
Özel yapım kötü amaçlı yazılımların, çok yönlü araçların ve yönlendiricilerdeki veri kaydını devre dışı bırakmak gibi stratejik manevraların karmaşık bir karışımını kullanarak, faaliyetlerini ustaca gizlerler.
Son zamanlarda ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve Japonya Ulusal Polis Ajansı (NPA), BlackTech APT grubuyla ilgili öngörülerini paylaştı.
Rapor, grubun yönlendirici donanım yazılımını gizli bir şekilde yönetme ve ağlar içindeki etki alanı-güven ilişkilerinden yararlanma yeteneğini paylaşıyordu. Bu onların uluslararası yan kuruluşlardan Japonya ve ABD’deki merkez merkezlere geçmelerine olanak sağladı.
BlackTech APT grubunun bir diğer özelliği de tespitten kaçmaya yönelik araçların sürekli olarak geliştirilmesidir. Ayrıca kod imzalama sertifikalarını da çalarak kötü amaçlı yazılımlarına meşruiyet görünümü veriyorlar.
Windows, Linux ve FreeBSD işletim sistemleriyle uyumlu bir dizi özel kötü amaçlı yazılım yükü ve uzaktan erişim aracı (RAT) kullanan grup, off-the-land tekniklerini kullanarak standart ağ etkinlikleri ve işletim sistemleriyle sorunsuz bir şekilde uyum sağlıyor.
Bu başarılı entegrasyon, uç nokta algılama ve yanıt (EDR) ürünleriyle algılamayı ortadan kaldırır.
BlackTech APT grubu: Bir tehdit aktöründen daha fazlası!
BlackTech APT grubu, geleneksel sınırların ötesine geçen zorlu bir siber tehdit olarak ortaya çıktı.
BlackTech, Cisco yönlendiricilerine dikkat çekici bir vurgu yaparak, çeşitli yönlendirici markaları ve versiyonları için ayrı bir tercih sergiliyor.
Cisco’nun altyapısında grup, Gömülü Olay Yöneticisi (EEM) politikaları dahilinde varlığını ustaca gizler. Cisco IOS’un bu ayrılmaz bileşeni, belirli olayların tetiklediği görevlerin otomatikleştirilmesinden sorumludur.
Gelişen bu tehdide karşı koymak için CISA ve NPA bir dizi hafifletme adımının ana hatlarını çizdi. Ağ savunucularının anormal trafik düzenlerine, izinsiz önyükleyici indirmelerine, ürün yazılımı görüntülerine ve olağandışı yeniden başlatmalara karşı dikkatli olmaları şiddetle tavsiye edilir. Bu göstergeler, BlackTech’in bir ağ içindeki varlığına ilişkin erken uyarılar olabilir.
BlackTech’in siber faaliyetleri gözden kaçmadı. 2020’de Tayvan güvenlik otoritesi, yaklaşık 6.000 hükümet yetkilisinin e-posta hesaplarını hedef alan siber saldırılar bildirdi. Hem BlackTech hem de başka bir hack grubu olan Taidoor’un muhtemelen Çin Komünist Partisi tarafından desteklendiği belirlendi. Bu açıklama, BlackTech operasyonlarının kalıcı doğasının altını çiziyor.
ABD-Çin arasında, özellikle Tayvan’la ilgili konularda artan gerilimler karşısında, ABD’li güvenlik yetkilileri, Çin’in müthiş siber yetenekleri hakkındaki uyarılarını güçlendirdi. FBI Şefi Chris Wray geçtiğimiz günlerde Çin’in diğer büyük ulusların ortak çabalarını aşan bir bilgisayar korsanlığı programına sahip olduğunu vurguladı.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.