Bu ses otomatik olarak oluşturulur. Geri bildiriminiz varsa lütfen bize bildirin.
Dalış Kılavuzu:
- Çin hükümet destekli bilgisayar korsanları, Sunucularından birini gözetleyerek ve BT satıcılarından birini hackleyerek güvenlik firması Sentinelone’u ihlal etmeye çalıştı ve başarısız oldular, Sentinelone Pazartesi günü yayınlanan bir raporda.
- Sistemlerini ihlal etmek için başarısız girişimleri araştırırken Sentinelone, Çin bağlantılı bilgisayar korsanlarının dünyadaki çok çeşitli hükümet ve kritik altyapı örgütlerini hedef aldığını keşfetti.
- Yeni yayınlanan araştırmalar, güvenlik firmalarının kendilerinin genellikle en iyi hedefler olduklarını vurgulamaktadır.
Dalış içgörü:
Sentinelone’un raporu iki faaliyet kümesine odaklanıyor: şirketin Purplehaze tehdit oyuncusuna atfedilen İnternet’e dönük sunucularından birine karşı Ekim 2024 keşif kampanyası Nisan ayında ortaya çıktıve 2025’in başlarında, şirketin atfettiği Sentinelone donanımını yöneten bir BT hizmetleri firmasına giriş Çin bağlantılı Shadowpad kötü amaçlı yazılım.
Sentinelone araştırmacıları, “Purplehaze ve Shadowpad etkinlik kümeleri, kısmen ilişkili müdahaleleri Temmuz 2024 ile Mart 2025 arasında meydana gelen farklı hedeflere yayıyor” diye yazdı. “Mağdur, bir Güney Asya hükümet kuruluşu, bir Avrupa medya kuruluşu ve çok çeşitli sektörlerde 70’den fazla kuruluşu içeriyor.” Şirkete göre bu sektörler üretim, hükümet, finans, telekomünikasyon ve araştırmayı içerir.
Sentinelone, Çin’in Purplehaze ve Shadowpad aktivitesinden sorumlu olduğuna güven duyduğunu söyledi. Şirket, “Bazı Moralhaze müdahalelerini, şüpheli Çin siber boyama gruplarıyla örtüşen aktörlerle APT15 ve UNC5174 olarak rapor ediyoruz” dedi.
Güney Asya Devlet Ajansı’nı ihlal etme girişimi, bilgisayar korsanlarının takip saldırıları için keşif yapmak için Sentinelone’un İnternet’e bakan sunucusuna bağlandığı Ekim 2024’te geldi. Sentinelone, bu müdahaleleri aynı aktöre (veya ayrı aktörler tedarik eden üçüncü tarafa) “altyapı yönetiminde önemli çakışmaların yanı sıra etki alanı oluşturma ve adlandırma uygulamalarına” bağlı olduğunu söyledi.
Bu iki saldırıdan birkaç hafta önce Sentinelone, Çin bağlantılı operatörlerin bir Avrupa medya şirketini hacklediğini gözlemledi. Bu işlemlerin üçü de Goreshell arka kapı ve Hacker’s Choice (THC) adlı bir kolektif tarafından sağlanan açık kaynaklı araçlar da dahil olmak üzere benzer araçlar içeriyordu. Sentinelone, bu saldırıların THC araçlarını kullanarak ulus devlet operatörlerini ilk kez gördüklerini temsil ettiğini söyledi.
Avrupa medya firmasını ihlal eden operatörler kullandı Çin ile ilişkili altyapı ve iki Ivanti güvenlik açığını bir araya getirdi – CVE-2024-8963 Ve CVE-2024-8190 – Bu henüz açıklanmamıştı. Sentinelone, taktiğin Çin Devlet Güvenliği Bakanlığı için bir yüklenici olan UNC5174’ün ilk erişim ve kırılganlık sömürüsü konusunda uzmanlaşmasını önerdiğini söyledi. Ocak ayında CISA tehdit aktörleri hakkında uyarıldı İki Ivanti kusurunu bir araya getiriyor.
Sentinelone, bilgisayar korsanlarının güvenlik satıcılarını ne sıklıkta hedeflediğine dair farkındalığı artırmak için Purlehaze ve Shadowpad etkinliğini vurguladığını söyledi.
Araştırmacılar, “Siber güvenlik şirketleri, koruyucu rolleri, müşteri ortamlarına derin görünürlük ve düşman operasyonlarını bozma yeteneği nedeniyle tehdit aktörleri için yüksek değerli hedeflerdir” diye yazdı. “Bu yazıda detaylandırılan bulgular, Çin-Nexus aktörlerinin bu kuruluşlardaki kalıcı ilgisini vurgulamaktadır.