Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Ağ Güvenlik Duvarları, Ağ Erişim Kontrolü
Volt Typhoon, APT31, APT41 Hedefli Sophos Edge Cihazları
Akşaya Asokan (asokan_akshaya), David Perera (@daveperera) •
31 Ekim 2024
Güvenlik duvarı üreticisi Sophos Perşembe günü, çok sayıda ulus-devlet Çinli bilgisayar korsanlığı grubunun cihazlarına sızmak için yarım on yıl süren çabalarını açıkladı ve bu kabulü siber güvenlik endüstrisi için bir uyandırma çağrısı olarak nitelendirdi.
Ayrıca bakınız: Corelight’tan Brian Dye, NDR’nin Fidye Yazılımını Yenmedeki Rolü hakkında konuşuyor
Kampanyalar aynı zamanda Çinli ulus-devlet hackerlarının ortak bir güvenlik açıkları havuzundan yararlandıklarının bir başka kanıtıdır ve Çin hükümeti içindeki merkezi bir örgütün istismarları birden fazla siber casusluk hack grubuna yaydığını öne süren “levazım sorumlusu” teorisi olarak adlandırılan teoriyi destekler.
Sophos, karşı saldırı çabasını “Pasifik Kıyıları” olarak adlandırdı ve Volt Typhoon, APT31 ve APT41 gibi Çinli bilgisayar korsanlığı gruplarının (çeşitli güven düzeyleriyle tanımlanan) erken dönemden itibaren birbiriyle örtüşen taktik, araç ve prosedür setleriyle Sophos güvenlik duvarlarına sızdığını yazdı. 2020.
Görünüşe göre Sophos cihazlarını operasyonel aktarma kutularına dönüştürmeyi amaçlayan gürültülü ve yaygın ancak çoğunlukla engellenen saldırıların ilk dalgasının ardından Çinli bilgisayar korsanları, çoğunlukla Info-Pasifik bölgesinde bulunan yüksek değerli kritik altyapı hedeflerine karşı daha gizli operasyonlara yöneldi. Kurbanlar arasında “nükleer enerji tedarikçileri ve düzenleyicileri, ordu, telekomünikasyon, devlet güvenlik kurumları ve merkezi hükümet” yer alıyor.
2020’den itibaren gruplar, Sophos XG güvenlik duvarı kusuru da dahil olmak üzere sıfır günden yararlanmaya başladıkritik bir RCE hatasının yanı sıra kod ekleme güvenlik açığı.
Güvenlik duvarı cihazlarını hedeflemek, bilgisayar korsanlarının ağ uç cihazlarının siber savunuculara yönelik genel şeffaflığından, her zaman açık durumundan ve kurumsal intranetlerdeki güvenilir konumundan yararlanması nedeniyle bilinen bir ulus devlet taktiğidir. Sophos CISO’su Ross McKerchar, “Bunlar kalıcılık için kullanılabilecek değerli varlıklardır” dedi.
Eylül 2022’de Microsoft’la birlikte tespit edilen bir hack olayında Çinli bilgisayar korsanları, isimsiz bir “Asya’daki büyük finansal hizmetler kuruluşundaki” bir Sophos cihazını arka kapı görevi görecek şekilde değiştirdi. Oradan, şifre verilerini Active Directory’den almak için koklanmış kimlik bilgilerini kullandılar.
Sophos, Hintli bir Sophos yan kuruluşu olan Cyberoam’a yönelik bir saldırı tespit ettikten sonra ilk olarak 2018 yılında Çin’in ağ uç cihazlarına odaklanmasında bir değişiklik tespit etti. 2020 yılında, Sophos’un istismar araştırması yürüten düşman gruplar tarafından kontrol edildiğine inandığı cihazlara dağıtılmak üzere “özel bir çekirdek implantı” kodladı. İmplant, Sophos’un kullanıcı farkına varmadan dosya toplamasına ve günlükleri görmesine olanak tanıyor.
Sophos, Sichuan Silence Information Technology adlı Çinli bir firmaya ait olduğu anlaşılan açıklardan yararlanma çalışmaları için kullanılan bir cihaz tespit etti. Temmuz 2020’de Sophos’un içinde “TStark” olarak takip edilen bir tehdit aktörünü ortaya çıkardı. Telemetri, daha önce Çin Elektronik Bilimi ve Teknolojisi Üniversitesi’ndeki eski bir araştırmacı tarafından kaydedilen Sophos cihazlarına yönelik bir arabellek taşması saldırısına yönelik kötü amaçlı yüklerin ilk örneklerini ortaya çıkardı.
Sichuan Silence Bilgi Teknolojisi ve üniversitenin her biri, gelişen bilgisayar korsanlığı endüstrisi için Çin’in etkin noktası olan Chengdu, Sichuan’da bulunuyor (bkz: Çinli Hacking Yüklenicisi iSoon Dahili Belgeleri Sızdırdı).
McKerchar, Information Security Media Group’a “Silikon Vadisi teknoloji açısından iyi. Shenzhen donanım açısından iyi ve bir güvenlik açığı araştırmacısı olmak istiyorsanız Chgendu da iyi” dedi.
Chengdu’da geliştirilen saldırılar birden fazla siber casusluk grubuna ulaştı. “Açıkçası bu istismara ilişkin ortak bilgiye sahiplerdi, ancak bundan sonra TTP’leri büyük ölçüde farklılık gösterecekti. Bir grup çok karmaşık, gerçekten oldukça, gerçekten üst düzey olacaktı. Bir diğeri ise etrafta dolaşıp çok fazla gürültü çıkaracaktı – ama onlar McKerchar, “aynı istismarı kullandık” dedi.
Daha önce Meta tarafından bir dezenformasyon kampanyasına bağlanan bir şirket olan Sichuan Silence Information Technology için “Değerlendirmemiz büyük olasılıkla istismar geliştirmede yer aldıkları yönünde” dedi.
Eylül 2021’de yürürlüğe giren bir Çin yasası, Çinli araştırmacıların güvenlik açıklarını hükümete açıklamasını gerektiriyor; bu, birçok Batılı şirketin devlet bağlantılı bilgisayar korsanlığı için temettü ödemesi gerektiğini söylediği bir gerekliliktir (bkz.: Çin Devlet Hackerları Yeteneklerini Yükseltiyor: CrowdStrike).
Çinli hackerlar yine de araştırmalarından resmi kanal hackleme yoluyla elde edebileceklerinden daha fazla para elde etmeye çalışıyor olabilirler. Sophos, Asnarök Truva Atlarını kullanan saldırı dalgasından sadece bir gün önce kritik bir SQL enjeksiyon güvenlik açığına ilişkin hata ödülü raporu aldığını bildirdi. McKerchar, Çin Halk Cumhuriyeti’ne atıfta bulunarak, “Her iki tarafı da oynayan, oradaki yasa olan ÇHC’deki güvenlik açıklarını açıklayan ve aynı zamanda biraz para kazanmaya çalışan bir araştırmacı olması beni şaşırtmaz” dedi. Çin, komünist hükümetin resmi adı. Kendisi, Çinli bilgisayar korsanlarının Chengdu bilgisayar korsanlığı firması iSoon’un Şubat ayında şirket içi belgeleri sızdırmasıyla ortaya çıkan şikayetlerinden birinin düşük ücret olduğunu belirtti.
Ağ Kenarı Cihazları Bu Şekilde Devam Edemez
McKerchar, Sophos’un ağ uç cihazlarının hacklenmesi konusunda “sektör çapında bir tartışmayı” başlatmayı umduğunu söyledi.
Haziran ayında bilgisayar korsanlığı firması Rapid7 tarafından yayınlanan bir araştırma, ağ cihazlarını istismar eden büyük ölçekli saldırıların yaygınlığının, istismar edilecek çok sayıda güvenlik açığı nedeniyle geçen yıl neredeyse iki katına çıktığını ortaya çıkardı. Raporda, “İzlediğimiz geniş çapta istismar edilen güvenlik açıklarının %36’sının ağ uç teknolojisinde meydana geldiğini tespit ettik. Bunların %60’ı sıfır gün açıklarından kaynaklanıyor” dedi. “Bu teknolojiler kolektif savunmamızdaki zayıf noktayı temsil ediyor” (bkz: Uç ve Altyapı Cihazlarına Yönelik Saldırılarda Artış).
Pek çok endişe verici sorundan biri de Sophos’un cihazlarını Çin saldırılarına karşı güçlendirmesinin ardından bilgisayar korsanlarının dikkatlerini artık yama almayan eski cihazlara yöneltmesiydi.
Özellikle orta ölçekli şirketler, cihazları kullanım ömrü boyunca çalıştırma eğilimindedir. Yeni cihazlar pahalıdır ancak yazılımlar daha yeni, daha hızlı donanımlar (amansız bir koşu bandı) üzerinde çalışacak şekilde durmaksızın optimize edilmiştir. McKerchar, şirketlerin bir çıkıştan kurtulmanın daha iyi olup olmayacağı sorulduğunda şöyle yanıt verdi: “Doğru şekilde sağlamlaştırma becerisine sahipseniz, hiç güvenlik duvarı olmamasından daha iyi olabilir, ancak yoksa olmayabilir.” bağlı tutmaktan ziyade yaşam döngüsü güvenlik duvarıdır. “Genelleme yapabileceğinizi sanmıyorum.”
Kötü korunan güvenlik duvarlarının herkes için bir sorun olduğunu vurguladı. Sophos’un, bilgisayar korsanlığı kalıplarını tespit etmek için cihazlarında daha geniş ölçekte tehdit avcılığı yaptığını ve güvenli tasarım ilkelerine sahip ürün geliştirme taahhüdüne uyduğunu söyledi. Ağ cihazlarını üçüncü taraf taramasına açmak şimdilik olası bir çözüm değil çünkü “uç cihazlar çok özeldir; kutudan çıkan normal bir EDR aracısı bir güvenlik duvarında çalışmaz.”
McKerchar, “Bu riske kolektif olarak yaklaşmanın en iyi yolu hakkında sektör çapında bir tartışmayı gerçekten ateşlemek istiyoruz, çünkü bunu yapmazsak, dijital ekosistem için gerçekten sistematik bir risk haline gelir” dedi.