Müşterileri casuslardan ve siber suçlulardan korumak için satılan ağ güvenlik cihazlarının, genellikle davetsiz misafirlerin hedeflerine erişim sağlamak için hacklediği makineler olduğu, siber güvenlik sektöründe yıllardır rahatsız edici bir gerçekti. Güvenlik duvarları ve VPN cihazları gibi “çevre” cihazlarındaki güvenlik açıkları, bu cihazların korumak için tasarlandıkları sistemlere sızmaya çalışan ileri düzey bilgisayar korsanları için tekrar tekrar dayanak noktası haline geldi.
Şimdi bir siber güvenlik tedarikçisi, ürünlerini kendi çıkarları doğrultusunda kullanmaya çalışan bir grup bilgisayar korsanıyla ne kadar yoğun ve ne kadar süredir mücadele ettiğini ortaya koyuyor. Birleşik Krallık’taki siber güvenlik firması Sophos, beş yılı aşkın bir süredir, güvenlik duvarlarını hedef alan, birbirine gevşek bağlı düşmanlardan oluşan bir ekiple kedi-fare oyunu oynuyordu. Şirket, bilgisayar korsanlarının izinsiz giriş tekniklerini test ettiği belirli cihazları takip edip izleyecek, bilgisayar korsanlarını işyerinde gözetleyecek ve sonuçta bu odaklanmış, yıllar süren sömürü çabasını Chengdu’daki tek bir güvenlik açığı araştırmacısı ağına kadar izleyecek kadar ileri gitti. , Çin.
Perşembe günü Sophos, Çinli hackerlarla yarım on yıl süren savaşı, artan kısasa kısas mücadelesinin ayrıntılarını içeren bir raporda anlattı. Şirket, Çinli bilgisayar korsanlarının güvenlik duvarlarından yararlanma girişimlerini izlemek ve engellemek için kendi “implantlarını” Çinli bilgisayar korsanlarının Sophos cihazlarına kuracak kadar ileri gitti. Sophos araştırmacıları sonunda bilgisayar korsanlarının test makinelerinden, güvenlik duvarlarının cihazları başlatmak için kullanılan düşük seviyeli kodunda tespit edilemeyecek şekilde saklanmak üzere tasarlanmış bir “bootkit” kötü amaçlı yazılım örneğini bile elde ettiler; bu, daha önce hiç görülmemiş bir hileydi.
Bu süreçte Sophos analistleri, ürünlerinin gelişigüzel kitlesel kullanımıyla başlayan ancak sonunda daha gizli ve hedefe yönelik hale gelen, nükleer enerji tedarikçileri ve düzenleyicilerini, askeri hastane, telekomünikasyon, hükümet ve istihbarat teşkilatları dahil askeri hedefleri vuran bir dizi hackleme kampanyası tespit etti. ve bir ulusal başkentin havaalanı. Sophos’un daha ayrıntılı olarak tanımlamayı reddettiği hedeflerin çoğu Güney ve Güneydoğu Asya’dayken, daha küçük bir kısmı Avrupa, Orta Doğu ve Amerika Birleşik Devletleri’ndeydi.
Sophos’un raporu, çeşitli güven seviyelerine sahip bu çok sayıda bilgisayar korsanlığı kampanyasını, APT41, APT31 ve Volt Typhoon olarak bilinenler de dahil olmak üzere Çin devleti destekli bilgisayar korsanlığı gruplarıyla ilişkilendiriyor; bu gruplardan sonuncusu, özellikle saldırgan bir ekip olup, ortalığı bozma yeteneği arıyordu. ABD’deki elektrik şebekeleri de dahil olmak üzere kritik altyapı. Ancak şirket, Sophos’un cihazlarını hacklemeye yönelik bu çabalardaki ortak noktanın, daha önce tanımlanan hacker gruplarından biri olmadığını, bunun yerine hackleme teknikleri geliştiren ve bunları Çin hükümetine sağlayan daha geniş bir araştırmacı ağı olduğunu söylüyor. Sophos’un analistleri, bu suiistimal gelişimini hem Chengdu çevresindeki bir akademik enstitüye hem de bir yükleniciye bağlıyor: Sichuan Silence Information Technology (daha önce Meta tarafından Çin devleti tarafından yürütülen dezenformasyon çabalarına bağlı bir firma) ve Çin Elektronik Bilimi ve Teknolojisi Üniversitesi.
Sophos, bu hikayenin artık yalnızca Çin’in hackleme araştırma ve geliştirme hattına bir göz atmak için değil, aynı zamanda siber güvenlik sektörünün, hackerlar için giriş noktası görevi gören güvenlik cihazlarındaki daha büyük güvenlik açıkları sorunu etrafındaki garip sessizliğini kırmak için anlatıldığını söylüyor. Örneğin, geçtiğimiz yıl Avanti, Fortinet, Cisco ve Palo Alto gibi diğer satıcıların güvenlik ürünlerindeki kusurlardan toplu bilgisayar korsanlığı veya hedefli izinsiz giriş kampanyalarında yararlanıldı. “Bu artık açık bir sır olmaya başladı. İnsanlar bunun olduğunu anlıyor ama ne yazık ki herkes zip,” diyor Sophos’un bilgi güvenliği şefi Ross McKerchar, dudaklarının arasından fermuar çekmeyi taklit ediyor. “Bu konuyu doğrudan ele almak ve düşmanımızla savaş alanında karşılaşmak için çok şeffaf olmaya çalışarak farklı bir yaklaşım izliyoruz.”
Saldırıya Uğrayan Bir Ekrandan Kitlesel İhlal Dalgalarına
Sophos’un söylediğine göre şirketin Çinli hackerlarla uzun süredir devam eden savaşı 2018’de Sophos’un ihlaliyle başladı. Şirket, Hindistan merkezli yan kuruluşu Cyberoam’un Ahmedabad ofisinde bir ekranı çalıştıran bir bilgisayarda kötü amaçlı yazılım bulaştığını keşfetti. Kötü amaçlı yazılım, ağdaki gürültülü tarama nedeniyle Sophos’un dikkatini çekmişti. Ancak şirketin analistleri daha yakından baktıklarında, arkasındaki bilgisayar korsanlarının CloudSnooper olarak tanımladıkları daha karmaşık bir rootkit ile Cyberoam ağındaki diğer makinelerin güvenliğini zaten ihlal ettiklerini gördüler. Geçmişe bakıldığında şirket, ilk izinsiz girişin, müşterilerine yönelik daha sonraki saldırılara olanak sağlayacak Sophos ürünleri hakkında istihbarat elde etmek için tasarlandığına inanıyor.
Daha sonra 2020 baharında Sophos, Asnarök adında bir truva atı yüklemeye ve “operasyonel aktarma kutuları” veya ORB’ler olarak adlandırdığı şeyi yaratmaya yönelik açık bir girişimle dünya çapında on binlerce güvenlik duvarının gelişigüzel bulaştığı geniş bir kampanya hakkında bilgi edinmeye başladı. esasen bilgisayar korsanlarının diğer operasyonlar için başlatma noktaları olarak kullanabileceği, güvenliği ihlal edilmiş makinelerden oluşan bir botnet. Kampanya şaşırtıcı derecede iyi kaynaklara sahipti ve bilgisayar korsanlarının Sophos cihazlarında keşfettiği çok sayıda sıfır gün güvenlik açığından yararlanıyordu. Yalnızca kötü amaçlı yazılımın etkilenen makinelerin küçük bir bölümündeki temizleme girişimlerindeki bir hata, Sophos’un izinsiz girişleri analiz etmesine ve ürünlerini hedef alan bilgisayar korsanlarını incelemeye başlamasına olanak tanıdı.