Çin siber güvenlik kuruluşları, ABD Ulusal Güvenlik Ajansı’nı (NSA) havacılık ve savunma araştırmalarında uzmanlaşmış önde gelen bir Çin kurumu olan Kuzeybatı Politeknik Üniversitesi’nde bir siber saldırı düzenlemekle suçladı.
Qihoo 360 ve Ulusal Bilgisayar Virüsü Acil Müdahale Merkezi (CVERC) gibi kuruluşlar tarafından yayınlanan iddialar, Çin kaynakları tarafından “Apt-C-40” olarak adlandırılan NSA’nın özel erişim operasyonları (TAO) biriminin Gelişmiş kötü amaçlı yazılım ve sömürü çerçeveleri kullanarak 2022’de saldırı.
Üniversite, Haziran 2022’de ihlali açıkladı ve personel ve öğrencileri hedefleyen kimlik avı e -postalarını ilk vektör olarak bildirdi.
Çinli araştırmacılara göre, NSA’nın 40’ın üzerinde kötü amaçlı yazılım suşu kullandığı ve erişim elde etmek için sıfır gün güvenlik açıklarından yararlandığı iddia ediliyor.
Gibi araçlar Durma Ve İkincidatdaha önce sızıntılarda NSA ile bağlantılı olarak, kalıcılık oluşturmak ve ağ trafiğini engellemek için kullanılmıştır.
Atıf ve Kanıt
Çinli siber güvenlik firmaları, adli analiz ve operasyonel kalıplara dayanarak saldırıyı NSA’ya bağlar.
Temel göstergeler şunları içerir:
- Operasyonel Zamanlama: Neredeyse tüm saldırı faaliyetleri ABD çalışma saatlerinde (09:00 – 16:00 EST), hafta sonları veya Anma Günü ve Bağımsızlık Günü gibi ABD tatillerinde herhangi bir etkinlik olmadan meydana geldi.
- Dil ve Sistem Yapılandırması: Saldırganlar, İngilizce olarak yapılandırılmış Amerikan İngiliz klavye ayarlarını ve işletim sistemlerini kullandılar.
- İnsan Hatası: Yanlış yapılandırılmış bir komut dosyası, NSA işlemleriyle ilişkili bir Linux dizini de dahil olmak üzere Tao’nun araçlarıyla bağlantılı dizin yollarını ortaya çıkardı.
Müfettişler ayrıca NSA faaliyetlerini anonimleştirmek için “Jackson Smith Danışmanları” gibi kapak şirketleri aracılığıyla satın alındığı iddia edilen IP adreslerini tespit ettiler.
Bu IP’ler, 17 ülkede atlama sunucularını ve proxy düğümlerini kontrol etmek için kullanıldı.
Saldırı Metodolojisi
İddia edilen saldırı birden fazla aşamada ortaya çıktı:
- İlk Erişim: Saldırganların, komşu ülkelerin sunucularındaki sıfır gün güvenlik açıklarından, kötü amaçlı yazılımlarla gömülü kimlik avı e-postaları aracılığıyla üniversiteyi hedeflemeden önce bir yer kurmak için kullandıkları bildirildi.
- Ağ Penetrasyonu: Gibi araçlar ADA Ve Tilki harici sunuculardan ödün vermek ve tarayıcı sömürüsü için kullanıcı trafiğini yönlendirmek için kullanıldı.
- Kalıcılık: Kötü amaçlı yazılım gibi Durma uzun vadeli erişime izin verirken İkincidat Ağ cihazlarında etkin trafik müdahalesi.
- Yanal hareket: Çalıntı kimlik bilgilerini kullanarak, hassas verileri izlemek için saldırganlar güvenlik duvarları ve telekom ekipmanı dahil olmak üzere dahili sistemlere erişir.
- Veri Defiltrasyonu: Özel araçlar, çalınan araştırma verilerini proxy sunucuları aracılığıyla şifrelemek ve iletmek için operasyonun kökenini maskelemek için kullanıldı.
Çin’in iddiaları, sınırlı kayıt özellikleri nedeniyle siber casusluk hedefleri olarak yönlendiriciler ve güvenlik duvarları gibi kenar cihazlarına giderek artan bir odaklanmayı vurgulamaktadır.
Gölge brokerlerinin açıklamaları gibi önceki sızıntılarda maruz kalanlarla tutarlı araçların kullanılması, devlet destekli siber operasyonlarla ilgili uzun süredir devam eden endişelerin altını çizmektedir.
Bu iddialar bağımsız kaynaklar tarafından doğrulanmamış olsa da, kritik altyapıyı hedefleyen siber faaliyetler üzerindeki küresel güçler arasında yoğun bir anlatıyı yansıtıyorlar.
NSA bu iddialara kamuya açık bir şekilde yanıt vermedi.
Free Webinar: Better SOC with Interactive Malware Sandbox for Incident Response, and Threat Hunting - Register Here