Sophos, son beş yılda, Çin merkezli, Sophos Güvenlik Duvarları da dahil olmak üzere çevre cihazlarını hedef alan birbiriyle bağlantılı çok sayıda ulus devlet düşmanıyla savunma ve karşı saldırı operasyonu yürüttü.
Casusluk kampanyaları Çinli bilgisayar korsanlığı gruplarıyla bağlantılı
Saldırganlar, aralarında Volt Typhoon, APT31 ve APT31’in de bulunduğu tanınmış Çin ulus devlet gruplarıyla örtüşen taktiklerin, araçların ve prosedürlerin (TTP’lerin) yanı sıra gözetleme, sabotaj ve siber casusluk gerçekleştirmek için araçlar yerleştirmek üzere yeni açıklardan yararlanan ve özelleştirilmiş kötü amaçlı yazılımlar içeren bir dizi kampanya kullandı. APT41. Düşmanlar, nükleer enerji tedarikçileri, ulusal başkentin havaalanı, askeri hastane, devlet güvenlik aygıtları ve merkezi hükümet bakanlıkları dahil olmak üzere, öncelikle Güney ve Güneydoğu Asya’da bulunan hem küçük hem de büyük kritik altyapıyı ve hükümet hedeflerini hedef aldı.
Pacific Rim raporu boyunca şirketin siber güvenlik ve tehdit istihbarat birimi Sophos X-Ops, düşmanların hareketlerini etkisiz hale getirmek için çalıştı ve savunma ve karşı saldırıları sürekli olarak geliştirdi. Düşmanlar, ilk saldırılara başarılı bir şekilde yanıt verdikten sonra çabalarını artırdı ve daha deneyimli operatörleri işe aldı. Sophos daha sonra geniş bir düşman ekosistemini ortaya çıkardı.
Şirket, Cloud Snooper ve Asnarök de dahil olmak üzere ilgili kampanyalara ilişkin ayrıntıları 2020’den başlayarak yayınlarken, Çin ulus devleti düşmanlarının ısrarı ve çevreyi, yamasız ve sonu tehlikeye atmaya aşırı odaklanmaları konusunda farkındalığı artırmak için genel soruşturma analizini paylaşıyor. -life (EOL) cihazları, genellikle bu cihazlar için oluşturdukları sıfır gün açıklarından yararlanma yoluyla.
Sophos ayrıca tüm kuruluşları, internete bakan herhangi bir cihazında keşfedilen güvenlik açıklarına yönelik yamaları acilen uygulamaya ve desteklenmeyen eski cihazları mevcut modellere geçirmeye teşvik ediyor.
“Gerçek şu ki, faaliyetlerini gizlemek ve desteklemek için operasyonel röle kutuları (ORB’ler) inşa etmeye çalışan Volt Typhoon ve diğerleri gibi Çin ulus devlet grupları için uç cihazlar son derece çekici hedefler haline geldi. Bu, casusluk amacıyla bir organizasyonun doğrudan hedef alınmasını veya ileri saldırılar için zayıf noktalardan dolaylı olarak yararlanılmasını (esasen ikincil hasara dönüşmesini) içerir. Hedef olmayan kuruluşlar bile darbe alıyor. Sophos’un CISO’su Ross McKerchar, “İşletmeler için tasarlanan ağ cihazları bu amaçlar için doğal hedeflerdir; güçlüdürler, her zaman açıktırlar ve sürekli bağlantıya sahiptirler” dedi.
“ORB’lerden oluşan küresel bir ağ oluşturmak isteyen bir grup cihazlarımızdan bazılarını hedef aldığında, kurumsal uç noktalarımızı ve ağ cihazlarımızı savunmak için kullandığımız tespit ve müdahale tekniklerinin aynısını uygulayarak karşılık verdik. Bu, birden fazla operasyonu yakmamıza ve müşterilerimizi hem gelecekteki yaygın saldırılara hem de yüksek hedefli operasyonlara karşı korumak için uyguladığımız değerli bir tehdit istihbaratı akışından yararlanmamıza olanak sağladı” diye ekledi McKerchar.
Raporun öne çıkanları
4 Aralık 2018’de, baş üstü ekrana bağlı düşük ayrıcalıklı bir bilgisayar, Sophos’un 2014 yılında satın aldığı Cyberoam şirketinin Hindistan genel merkezinde Sophos ağını -görünüşe göre kendi başına- taramaya başladı. Bilgisayarda yeni bir tür arka kapı ve karmaşık bir rootkit (Bulut Snooper) içeren özel gelen internet trafiği.
Nisan 2020’de, birkaç kuruluş, adında “Sophos” bulunan bir alan adına işaret eden bir kullanıcı arayüzünün rapor edilmesinin ardından. Sophos, Avrupalı kolluk kuvvetleriyle birlikte çalıştı; bu kolluk kuvvetleri, rakiplerin Sophos’un daha sonra Asnarök adını vereceği kötü amaçlı yükleri dağıtmak için kullandıkları sunucuyu takip edip el koydu. Sophos, şirketin Çin’e atfedebildiği Asnarök’ü, kötü amaçlı yazılımın komuta kontrol (C2) kanalını devralarak etkisiz hale getirdi. Ayrıca Sophos’un planlı bir botnet saldırıları dalgasını etkisiz hale getirmesine de olanak tanıdı.
Asnarök’ün ardından Sophos, müşteri ortamlarında konuşlandırılan Sophos cihazlarından yararlanmaya çalışan rakipleri tespit etmeye ve engellemeye odaklanan ek bir tehdit aktörü izleme programı oluşturarak istihbarat operasyonlarını geliştirdi; Program, açık kaynak istihbaratı, web analitiği, telemetri izleme ve saldırganların araştırma cihazlarına yerleştirilen hedefli çekirdek implantlarının bir kombinasyonu kullanılarak oluşturuldu.
Daha sonra saldırganlar giderek artan bir kararlılık sergilediler, taktiklerini yükselttiler ve giderek daha gizli hale gelen kötü amaçlı yazılımları kullandılar. Ancak Sophos, tehdit aktörü izleme programını ve gelişmiş telemetri toplama yeteneklerini kullanarak çeşitli saldırıları önceden engelleyebildi ve geniş çapta dağıtılmadan önce bir UEFI önyükleme kitinin ve özel güvenlik açıklarının bir kopyasını elde edebildi.
Birkaç ay sonra araştırmacılar, Çin ve Sichuan Silence Bilgi Teknolojileri’nin ülkenin Chengdu bölgesindeki Double Helix Araştırma Enstitüsü ile bağlantıları olduğunu gösteren bir düşmana yapılan saldırıların bir kısmını takip etti.
Mart 2022’de, anonim bir güvenlik araştırmacısı, şirketin hata ödül programının bir parçası olarak Sophos’a CVE-2022-1040 olarak adlandırılan sıfır gün uzaktan kod yürütme güvenlik açığını bildirdi. Daha ileri araştırmalar, bu CVE’nin hali hazırda birden fazla operasyonda sömürüldüğünü ortaya çıkardı; bu operasyonlar Sophos’un daha sonra müşterileri etkilemeyi durdurmayı başardığı operasyonlardı. Daha derin bir analizin ardından araştırmacılar, istismarı bildiren kişinin rakiplerle bir bağlantısı olabileceğini belirledi. Bu, kötü niyetli bir şekilde kullanılmadan önce bir istismar hakkında şüpheli zamanlanmış bir “ipucu” aldıkları ikinci seferdi.
McKerchar şöyle devam etti: “CISA’nın son tavsiyeleri, Çin ulus devlet gruplarının ulusların kritik altyapıları için kalıcı bir tehdit haline geldiğini açıkça ortaya koydu.” “Kritik altyapı için tedarik zincirinin büyük kısmını oluşturan küçük ve orta ölçekli işletmelerin genellikle bu tedarik zincirinin zayıf halkaları oldukları için hedef olduklarını unutma eğilimindeyiz. Ne yazık ki, bu işletmelerin bu tür karmaşık tehditlere karşı savunma yapacak kaynakları genellikle daha azdır. İşleri daha da karmaşık hale getiren şey ise, bu düşmanların tutunacak bir yer edinip içeri girme eğilimi, bu da onları tahliye etmeyi zorlaştırıyor. Çin merkezli düşmanların çalışma şekli, uzun vadeli kalıcılık ve karmaşık, karartılmış saldırılar yaratıyor. Bozulana kadar durmayacaklar.”
“JCDC aracılığıyla CISA, Çin Halk Cumhuriyeti’nin (PRC) devlet destekli siber aktörler tarafından kullanılan gelişmiş taktik ve teknikler de dahil olmak üzere, karşılaştığımız siber güvenlik sorunlarına ilişkin önemli istihbaratı elde ediyor ve paylaşıyor. Sophos gibi ortakların uzmanlığı ve Pasifik Savaşı raporu gibi raporlar, küresel siber topluluğa ÇHC’nin gelişen davranışları hakkında daha fazla bilgi sağlıyor. CISA’nın siber güvenlikten sorumlu yönetici yardımcısı Jeff Greene, yan yana çalışarak, siber savunucuların uç ağ cihazlarının ölçeğini ve yaygın kullanımını anlamalarına ve azaltma stratejilerini uygulamalarına yardımcı oluyoruz” dedi.
“CISA, SQL enjeksiyonları ve bellek güvenliği açıkları da dahil olmak üzere güvenlik açığı sınıflarının toplu olarak nasıl istismar edilmeye devam ettiğini vurgulamaya devam ediyor. Yazılım üreticilerini Tasarımla Güvenli kaynaklarımızı incelemeye ve Sophos’un bu durumda yaptığı gibi ilkelerini uygulamaya koymaya çağırıyoruz. Başkalarını da taahhütte bulunmaya ve yaygın kusur sınıflarının nasıl ortadan kaldırılacağına ilişkin uyarılarımızı gözden geçirmeye teşvik ediyoruz” diye ekledi Greene.
Omdia’daki siber güvenlik araştırma grubunda baş analist olarak görev yapan Eric Parizo, “Birçok siber güvenlik sağlayıcısı rakip araştırma operasyonları yürütüyor, ancak çok azı bu kadar zorlu ulus devlet rakiplerine karşı bu kadar uzun bir süre boyunca başarılı bir şekilde bunu başarabiliyor” dedi. . “Sophos son derece benzersiz bir fırsattan en iyi şekilde yararlandı ve müşterilerini şimdi ve gelecekte daha iyi korumaya yardımcı olacak araştırmaları ve taktiksel çıkarımları sunduğu için övülmeli.”
“NCSC-NL’de görevlerimizden biri bilgi paylaşmak ve kuruluşları birbirine bağlamaktır. Ulusal ve uluslararası kuruluşlar arasındaki iletişim ve işbirliğinin kolaylaştırılması, siber dayanıklılığın geliştirilmesi açısından büyük önem taşıyor. NCSC-NL operasyon başkanı Hielke Bontius, “Sophos ile bu araştırmaya katkıda bulunabildiğimiz için mutluyuz” dedi.
Kritik altyapıdaki internete bakan cihazlar risk altında
Kuruluşlar, internete bakan tüm cihazların, özellikle de kritik altyapıdaki cihazların, ulus devlet düşmanlarının ana hedefi olmasını beklemelidir. Sophos, kuruluşları güvenlik duruşlarını güçlendirmek için aşağıdaki önlemleri almaya teşvik eder.
- Mümkün olduğunda internete bağlı hizmetleri ve cihazları en aza indirin
- İnternete bağlı cihazlar için acilen yama uygulamaya öncelik verin ve bu cihazları izleyin
- Kenar aygıtlarına yönelik düzeltmelere otomatik olarak izin verilmesini ve uygulanmasını etkinleştirin
- İlgili IoC’leri paylaşmak ve bunlara göre hareket etmek için kolluk kuvvetleri, kamu-özel sektör ortakları ve hükümetle işbirliği yapın
- Kuruluşunuzun EOL cihazlarıyla nasıl ilgileneceğine ilişkin bir plan oluşturun
“Bu düşmanca operasyonlar hakkında bildiklerimizi paylaşmak için kamu ve özel sektör, kolluk kuvvetleri ve hükümetler ile güvenlik sektörü arasında işbirliği içinde çalışmamız gerekiyor. Ağları korumak için kullanılan uç cihazların aynısını hedeflemek cesur ve akıllı bir taktiktir. Kuruluşların, kanal iş ortaklarının ve Yönetilen Hizmet Sağlayıcıların, bu cihazların saldırganlar için en büyük hedefler olduğunu anlamaları ve bunların uygun şekilde güçlendirildiğinden ve kritik yamaların yayınlanır yayınlanmaz uygulandığından emin olmaları gerekir. Aslında saldırganların aktif olarak EOL cihazlarını aradıklarını biliyoruz. Burada satıcıların da payı büyük. Güvenilir ve iyi test edilmiş anında düzeltmeyi destekleyerek, EOL platformlarından yükseltmeyi kolaylaştırarak, kalıcı güvenlik açıklarını barındırabilecek eski kodları sistematik olarak yeniden düzenleyerek veya kaldırarak, müşterinin sağlamlaştırma yükünü hafifletmek için varsayılan olarak güvenli tasarımları sürekli geliştirerek müşterilere yardımcı olmaları gerekir. ve konuşlandırılan cihazlarımızın bütünlüğünü izliyoruz,” diye sözlerini McKerchar tamamladı.