ABD’deki devlet kurumları ve sivil toplum kuruluşları, Storm-2077 olarak bilinen yeni ortaya çıkan Çin devleti tehdit aktörünün hedefi haline geldi.
Microsoft, en az Ocak 2024’ten bu yana aktif olduğuna inanılan düşmanın aynı zamanda dünya çapında Savunma Sanayii Üssü’ne (DIB), havacılığa, telekomünikasyona ve finansal ve hukuki hizmetlere karşı siber saldırılar düzenlediğini söyledi.
Şirket, faaliyet kümesinin Recorded Future’ın Insikt Group’un TAG-100 olarak takip ettiği bir tehdit grubuyla örtüştüğünü ekledi.
Siber güvenlik şirketinin Temmuz ayında belirttiğine göre, saldırı zincirleri, ilk erişimi elde etmek ve Cobalt Strike’ın yanı sıra Pantegana ve Spark RAT gibi açık kaynaklı kötü amaçlı yazılımları düşürmek için halka açık açıklardan yararlanarak internete bakan çeşitli uç cihazları hedef almayı içeriyordu.
Microsoft, “Son on yılda, çok sayıda hükümet suçlaması ve tehdit aktörlerinin faaliyetlerinin kamuya açıklanmasının ardından, saldırganlar taktiklerini ayarlarken Çin kaynaklı siber operasyonları takip etmek ve ilişkilendirmek giderek daha zor hale geldi” dedi.
Storm-2077’nin, saldırganların operasyonlarını ilerletmesine olanak sağlayabilecek hassas bilgiler içerebilecek e-postaların daha sonra sızdırılması için eDiscovery uygulamalarıyla ilişkili geçerli kimlik bilgilerini toplamak amacıyla kimlik avı e-postalarını kullanarak istihbarat toplama görevlerini düzenlediği söyleniyor.
Microsoft, “Diğer durumlarda Storm-2077’nin, güvenliği ihlal edilmiş uç noktalardan kimlik bilgileri toplayarak bulut ortamlarına erişim sağladığı gözlemlendi” dedi. “Yönetim erişimi elde edildikten sonra Storm-2077, posta okuma haklarına sahip kendi uygulamasını oluşturdu.”
Açıklama, Google’ın Tehdit İstihbarat Grubu’nun (TAG), ülkenin görüşleri ve küresel siyasi gündemiyle uyumlu anlatıları güçlendirmek için orijinal olmayan haber siteleri ve haber hizmeti hizmetlerinden oluşan bir ağ kullanan GLASSBRIDGE adlı Çin yanlısı bir nüfuz operasyonuna (IO) ışık tutmasıyla geldi. .
Teknoloji devi, 2022’den bu yana GLASSBRIDGE tarafından işletilen binden fazla web sitesinin Google Haberler ve Google Discover ürünlerinde görünmesini engellediğini söyledi.
TAG araştırmacısı Vanessa Molter, “Bu orijinal olmayan haber siteleri, haber yayını, sendikasyon ve pazarlama hizmetleri sunan az sayıda bağımsız dijital PR firması tarafından işletiliyor” dedi. “ÇHC devlet medyasındaki makaleleri, basın bültenlerini ve muhtemelen diğer PR ajansı müşterileri tarafından sipariş edilen diğer içerikleri yeniden yayınlayan bağımsız yayın kuruluşları gibi görünüyorlar.”
Bu, Shanghai Haixun Technology (HaiEnergy kümesini içerir), Times Newswire/Shenzhen Haimai Yunxiang Media (aka PAPERWALL kampanyası), Shenzhen Bowen Media ve sonuncusu Haixun için içerik dağıtan ticari bir firma olan DURINBRIDGE olarak bilinen şirketleri içerir. EJDERHA KÖPRÜSÜ.
Çin merkezli bir pazarlama firması olan Shenzhen Bowen Media’nın, Google’ın Mandiant’ının Temmuz 2023’te ortaya çıkardığı gibi, Haixun tarafından meşru haber kaynaklarının alt alanlarına Pekin yanlısı içerik yerleştirmek için kullanılan aynı basın bülteni hizmeti olan World Newswire’ı da işlettiği söyleniyor.
Tanımlanan alt alanlardan bazıları şunlardı:markets.post-gazette[.]com, marketler.buffalonews[.]com, business.ricentral[.]com, business.thepilotnews[.]com ve finans.azcentral[.]com, diğerleri arasında.
Molter, “GLASSBRIDGE tarafından işletilen orijinal olmayan haber siteleri, bilgi operasyonları aktörlerinin anlatılarını yaymak amacıyla sosyal medyanın ötesindeki yöntemleri nasıl benimsediklerini gösteriyor” dedi. “IO aktörleri, bağımsız ve genellikle yerel haber kaynakları gibi davranarak içeriklerini belirli bölgesel kitlelere göre özelleştirebiliyor ve anlatılarını görünüşte meşru haber ve editoryal içerik olarak sunabiliyor.”