Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC), Çin devlet destekli tehdit aktörleri tarafından hedefli saldırılara maruz kalma riski yüksek olduğu düşünülen bireylere yönelik daha önce yayınlanmış olan kılavuzu yeniden doğruladı; özellikle de bugün hem Birleşik Krallık hem de ABD'de bilgisayar korsanlığı kampanyaları nedeniyle yaptırım uygulanan APT31 on yılı aşkın bir süre öncesine dayanıyor.
NCSC, yıllar boyunca APT31'in faaliyetleriyle ilgili çok sayıda uyarı yayınladı ve Çin'in, Seçim Komisyonu ve diğer kurbanlarının sistemlerinden toplanan verileri istismar etmeye çalışabileceği çeşitli yolları belgeledi.
Büyük ölçekli casusluğun yanı sıra, bunlar arasında Birleşik Krallık'ta Çin'i eleştiren ve muhalif olarak algılanan kişilere yönelik ulusötesi baskı da yer alıyor; bunların çoğu evlerini terk etmeye zorlandıktan sonra Birleşik Krallık'a sığınma talebinde bulunan ve sığınma talebinde bulunan Hong Konglu demokrasi yanlısı aktivistleri de içeriyor .
NCSC operasyon direktörü Paul Chichester, “Bugün açığa çıkardığımız kötü niyetli faaliyetler, Çin devletine bağlı aktörlerin İngiltere'ye ve dünyaya karşı daha geniş kabul edilemez davranış modelinin göstergesidir” dedi.
“Demokratik sistemimizin hedef alınması kabul edilemez ve NCSC, toplumumuzu destekleyen kurumlara ve değerlere tehdit oluşturan siber aktörleri uyarmaya devam edecektir” diye ekledi.
Chichester, “Demokratik süreçlerimizde yer alan kuruluşların ve bireylerin kendilerini siber alanda savunması hayati önem taşıyor ve onları NCSC'nin çevrimiçi ortamda güvende kalma tavsiyelerine uymaya ve uygulamaya davet ediyorum” dedi.
NCSC, yüksek profilli bireylere yönelik çevrimiçi kılavuzunu revize ederek, bu kişilerin kendilerini APT31 benzeri bir tehdit aktörü için daha zor bir hedef haline getirmek için doğal olarak atması gereken önemli adımları özetledi.
Paul Chichester, NCSC
Bu kılavuz yalnızca politikacılar için geçerli değildir, aynı zamanda aktivistler, hukuk uzmanları ve gazetecilerin yanı sıra, kuruluşları endüstriyel casusluk riski altında olabilecek üst düzey iş liderleri, araştırmacılar ve bilim adamları için de aynı derecede faydalıdır.
Güçlü parolalar ve çok faktörlü kimlik doğrulama (MFA) kullanarak çevrimiçi hesapları korumanın önemini vurguluyor ve risk altındaki kişileri genel sosyal medya ve mesajlaşma uygulamaları kullanımlarını ve hesap gizlilik ayarlarını gözden geçirmeye teşvik ediyor.
Yüksek riskli kişiler de cihazlarını güncelleme konusunda çok daha iyi hale gelmelidir. Güvenlik güncellemelerini derhal yüklemek, bir siber saldırıya karşı korunmanın en kolay yollarından biridir ve APT31 gibi gruplar tarafından hedef alınması muhtemel mobil uygulamaların çoğunluğunun bunu otomatik olarak yapması gerekir. Sunulan bu yetenek etkinleştirilmelidir. Kullanıcılar ayrıca uygulamaları nereden indirdiklerine de dikkat etmeli ve yalnızca resmi Google ve Apple mağazalarını kullandıklarından emin olmalıdırlar.
Kullanıcılara ayrıca cihazlarına fiziksel erişimi şifreler ve PIN'lerle korumaları ve eğer iPhone kullanıcısıysalar Apple'ın Kilitleme modunu etkinleştirmeleri tavsiye ediliyor. Ayrıca desteği tükenmiş olabilecek eski cihazları değiştirmeyi de düşünmelidirler.
Kullanıcılar bu şekilde hedef alındıklarından şüpheleniyorlarsa, özellikle şüpheli e-postalara karşı dikkatli olmalı ve iletişimin gerçek olduğundan emin olana kadar herhangi bir bağlantıya tıklamaktan veya yanıt vermekten kaçınmalıdır. Ulus devlet gelişmiş kalıcı tehdit (APT) aktörlerinin, hedeflerinden bilgi almak için güvenilir kişileri taklit ettikleri biliniyor; bu nedenle, kişilerin doğrulanması da önemlidir.
Bir kullanıcı bir bağlantıya tıklarsa veya saldırıya uğradığını düşünürse paniğe kapılmaması ve durumu hemen bildirmesi tavsiye edilir.
Arazi dışında yaşamak
Birleşik Krallık'ın son eylemi, NCSC ve ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) da dahil olmak üzere Beş Gözlü meslektaşlarının, Çin devlet destekli APT aktörü Volt Typhoon'un faaliyetleri hakkında güncellenmiş bir uyarı yayınlamasından birkaç gün sonra geldi. Kritik ulusal altyapının operatörlerini hedef alıyor.
Bu, Şubat ayında Five Eyes ajanslarının Volt Typhoon'un ve yalnızca Çin'dekiler değil diğer devlet destekli APT'lerin siber saldırı zincirlerinin bir parçası olarak kurbanların ağlarındaki mevcut, meşru araçları nasıl istismar ettiğini ayrıntılarıyla anlattığı önceki bir uyarının ardından geldi.
Yaygın olarak karadan yaşamak olarak adlandırılan bu denenmiş ve test edilmiş teknik, bir tehdit aktörünün “doğal olarak meydana gelen” trafiğe karışmasına ve tespit edilmeden gizlice çalışmasına olanak tanır. Bu şekilde, kurbanın bu konuda herhangi bir şey yapması için çok geç olana kadar fark edilmeden çalışabilirler.
Darktrace'in küresel tehdit analizi başkanı Toby Lewis, 2023'te Seçim Komisyonu'na yapılan saldırının arazide yaşama olayının iyi bir örneği olduğunu, saldırganların bir süredir komisyonun ağında fark edilmeden bulunduğunu söyledi.
Computer Weekly'ye “Bu son olay, ulus devlet korsanlarının normal ağ faaliyetlerine karışma konusunda ne kadar yetenekli olduğunu gösteriyor” dedi. “İlk gösterge bir dizi şüpheli oturum açma olayıydı; geleneksel algılama yöntemleri kullanılarak yapılan bir siber saldırının başka açık işareti yoktu. Bu, artık yalnızca geçmiş saldırılardan bilinen göstergeleri aramaya güvenemeyeceğimizi gösteren değerli bir hatırlatmadır.”
Secureworks Karşı Tehdit Birimi tehdit istihbaratından sorumlu başkan yardımcısı Don Smith şunları ekledi: “Çin devleti destekli siber casusluk yeni bir tehdit değil. İngiltere ve ABD birkaç yıldır bu gizli operasyonlara sesleniyor. Çin açısından siber casusluğun amacı, Çin Halk Cumhuriyeti'nin gündemini ilerletecek bilgilere erişmektir.
“[However]Geçtiğimiz birkaç yılda, operasyonlarının gürültüyle duyurulması ve kamuoyuna duyurulmasından bıkan Çinliler, siber casusluk saldırılarında gizli ticarete giderek daha fazla önem vermeye başladılar. Bu, MO'nun önceki “parçala ve yakala” itibarına göre bir değişikliğidir, ancak Çinliler tarafından, birincisi yakalanmayı zorlaştırmak ve ikincisi, bir saldırıyı başka bir kişiye atfetmeyi neredeyse imkansız hale getirmek için gerekli bir evrim olarak görülüyor. onlara.
“Bu özellikle dört temel alanda kendini gösterdi: karartılmış ağlar; kenarında yaşayan; arazide yaşamak; ve bulutta yaşamak. Bu taktikler bir araya getirildiğinde kötü niyetli etkinliğin tespitini zorlaştırıyor, ancak daha da önemlisi ilişkilendirmeyi daha karmaşık hale getiriyor” dedi.