Sophos bugün, siber güvenlik şirketinin 5 yılı aşkın bir süredir Sophos’unkiler de dahil olmak üzere dünya çapındaki ağ cihazlarını giderek daha fazla hedef alan Çinli tehdit aktörleriyle nasıl tartıştığını ayrıntılarıyla anlatan “Pasifik Savaşı” adlı bir dizi raporu açıkladı.
Yıllardır siber güvenlik firmaları, Çinli tehdit aktörlerinin ağ iletişimlerini izlemelerine, kimlik bilgilerini çalmalarına veya aktarılan saldırılar için proxy sunucu görevi görmelerine olanak tanıyan özel kötü amaçlı yazılımlar yüklemek için uç ağ cihazlarındaki kusurlardan yararlandıkları konusunda işletmeleri uyardı.
Bu saldırılar Fortinet, Barracuda, SonicWall, Check Point, D-Link, Cisco, Juniper, NetGear, Sophos ve daha pek çok tanınmış üreticiyi hedef aldı.
Sophos, bu aktiviteyi Volt Typhoon, APT31 ve APT41/Winnti olarak bilinen ve hepsinin geçmişte ağ cihazlarını hedef aldığı bilinen çok sayıda Çinli tehdit aktörüne bağladı.
Sophos, etkinliğin ana hatlarını çizdiği bir raporda şöyle açıklıyor: “Beş yıldan fazla bir süredir Sophos, Sophos güvenlik duvarlarını hedef alan çok sayıda Çin merkezli grubu botnet’ler, yeni istismarlar ve özel kötü amaçlı yazılımlarla araştırıyor.”
“Diğer siber güvenlik tedarikçilerinin, hükümetlerin ve kolluk kuvvetlerinin yardımıyla, değişen güven düzeyleriyle, gözlemlenen belirli faaliyet kümelerini Volt Typhoon, APT31 ve APT41/Winnti’ye atfetmeyi başardık.”
Sophos, 2018 yılında Hindistan merkezli Sophos yan kuruluşu olan Cyberoam’un genel merkezini hedef alarak tehdit aktörleriyle tartışmaya başladıklarını söyledi. Araştırmacılar bunun, tehdit aktörlerinin ağ cihazlarına yönelik saldırıları araştırmaya başladıkları zaman olduğuna inanıyor.
O tarihten bu yana, tehdit aktörleri uç ağ cihazlarını hedeflemek için giderek artan şekilde sıfır gün ve bilinen güvenlik açıklarını kullandı.
Sophos, sıfır gün güvenlik açıklarının çoğunun, bunları yalnızca satıcılarla değil aynı zamanda Çin hükümeti ve ilgili devlet destekli tehdit aktörleriyle paylaşan Çinli araştırmacılar tarafından geliştirildiğine inanıyor.
“Saldırıların ikisinde (Asnarök ve daha sonra “Kişisel Panda” olarak adlandırılan bir saldırı), X-Ops, güvenlik açıklarını sorumlu bir şekilde ifşa eden hata ödülü araştırmacıları ile bu raporda takip edilen düşman gruplar arasındaki bağlantıları ortaya çıkardı. X-Ops, orta düzeyde bir güvenle değerlendirdi: Bununla birlikte, Chengdu’daki eğitim kurumları etrafında yoğunlaşan bir araştırma topluluğunun varlığı, bu topluluğun güvenlik açığı araştırmaları konusunda işbirliği yaptığına ve bulgularını hem satıcılarla hem de devlet adına saldırı operasyonları yürüten yükleniciler de dahil olmak üzere Çin hükümetiyle ilişkili kuruluşlarla paylaştığına inanılıyor. Bu faaliyetlerin tam kapsamı ve niteliği kesin olarak doğrulanmadı.”
❖ Sophos X-Ops, Ross McKerchar.
Yıllar geçtikçe Çinli tehdit aktörleri, yalnızca belleğe sahip kötü amaçlı yazılımlardan, gelişmiş kalıcılık tekniklerinden ve tehlikeye atılmış ağ cihazlarını, tespit edilmekten kaçınmak için devasa operasyonel aktarma kutusu (ORB’ler) proxy ağları olarak kullanmak üzere taktiklerini geliştirdiler.
Bu saldırıların çoğu siber güvenlik araştırmacılarını savunmaya geçirirken Sophos, güvenliği ihlal edildiği bilinen cihazlara özel implantlar yerleştirerek saldırıya geçme fırsatı da buldu.
Sophos, “Telemetri aracılığıyla araştırma yapan X-Ops analistleri, X-Ops’un yüksek güvenle Double Helix varlığına ait olduğu sonucuna vardığı bir cihazı tespit etti” diye açıkladı.
“Hukuk danışmanına danıştıktan sonra X-Ops hedeflenen implantı yerleştirdi ve saldırganın vim kullanarak basit bir Perl betiği yazıp çalıştırdığını gözlemledi.”
“Düşük değere sahip olmasına rağmen dağıtım, saldırgan tarafından kontrol edilen cihazlarda neredeyse gerçek zamanlı gözlemlenebilirlik sağlayarak istihbarat toplama yeteneğinin değerli bir gösterimi olarak hizmet etti.”
Bu implantlar, Sophos’un, bir ağ cihazına dağıtıldığı gözlemlenen UEFI önyükleme kiti de dahil olmak üzere, tehdit aktörleri hakkında değerli veriler toplamasına olanak tanıdı.
Bu cihaz, Chengdu merkezli ve o bölgedeki bir IP adresine telemetri gönderen bir şirket tarafından satın alındı. Sophos, bu bölgenin ağ cihazlarını hedef alan kötü amaçlı etkinliklerin merkez üssü olduğunu söylüyor.
Sophos’un çok sayıda raporu son derece ayrıntılı olup, olayların zaman çizelgesini ve savunmacıların kendilerini saldırılardan nasıl koruyabilecekleri hakkında ayrıntıları paylaşmaktadır.
“Pasifik Kıyıları” araştırmasına ilgi duyanlar buradan başlamalıdır.