Bu ses otomatik olarak oluşturulur. Geri bildiriminiz varsa lütfen bize bildirin.
Washington – Çin hükümetine bağlı son derece sofistike bilgisayar korsanları, teknoloji şirketlerine, hizmet olarak yazılım sağlayıcılarına ve yasal hizmetlere giriyor ve bu şirketlerden ve müşterilerinden sessizce hassas verileri çalmalarına izin veren gizli kötü amaçlı yazılımlara sahip. Google Çarşamba günü duyuruldu.
Bilgisayar korsanları, hizmet sağlayıcılardan müşterilerinin ağlarına döndü, yasal firmaların içindeki belirli kişilerin e -postalarını aradı ve Google’a göre ABD ulusal güvenlik ve uluslararası ticaret konuları hakkında bilgi için avlandı.
Tehdit aktörleri, muhtemelen gelecekteki saldırılara güç verebilecek açıklanmayan güvenlik açıkları için bunları analiz etme çabasının bir parçası olarak, yaygın olarak kullanılan kurumsal teknolojiler için kaynak kodunu çaldı. Enterprise teknoloji satıcılarının bazı ihlallerinde, ürün kusurları hakkında bilgi için yazılım geliştiricilerinin e -posta gelen kutularını aradılar.
UNC5221 adlı Çin bağlantılı bir grup Google’a göre saldırıların çoğunu yürütüyor, ancak farklı ekipler genellikle araç paylaştığından, teknoloji devi Çin bağlantılı diğer grupların da muhtemelen dahil olduğunu söyledi.
Google siber güvenlik uzmanları, şirketin Washington’daki Siber Savunma Zirvesi’ndeki bir brifing sırasında gazetecilere verdiği demeçte, kampanya şu anda aktif.
Google’ın Tehdit İstihbarat Grubu (GTIG) baş analisti John Hultquist, “Bu Amerika Birleşik Devletleri’nde oluyor, bu bir sonraki seviye etkinlik ve sadece zaman içinde daha fazla bilgi edineceğiz” dedi.
Hultquist, kampanyayı “çok iyi bir istihbarat operasyonu” olarak nitelendirdi ve saldırganların büyük satıcılardan müşterilerine hareketinin diğer tedarik zinciri olaylarını hatırladığını söyledi. Rusya’nın Solarwinds Casusluk Kampanyası. “İlgilenilen hedeflerini seçebilecekleri ve seçebilecekleri yukarı doğru hareket ediyorlar.”
Boşluklarda saklanmak
Kampanyanın endişe verici bir unsuru, Google, bilgisayar korsanlarının kullanımı Brickstorm adlı kötü amaçlı bir arka kapı VMware ESXI hipervizörleri, e -posta güvenlik ağ geçitleri ve güvenlik açığı tarayıcıları gibi uç nokta algılama ve yanıtı (EDR) veya antivirüs yazılımı çalıştıramayan sistemlere dikilmeleri. EDR’den kaçmak, bilgisayar korsanlarının tipik olarak yapabileceğinden çok daha uzun süre saklanmalarına izin veriyor – Google, müdahaleleri keşfetmek için kurbanlara ortalama 393 gün sürdüğünü söyledi.
Google, şirketlerin tuğla fırtınası kanıtı için ağlarını taramasına olanak tanıyan bir araç ve şirketlerin yedeklemelerini tarihsel müdahale kanıtı için aramak için kullanabileceği Yara kuralları yayınlıyor. Google uzmanları, bilgisayar korsanlarının parçalarını silmek için mükemmel olduğunu söyledi.
Google’ın Maniant Division baş teknoloji sorumlusu Charles Carmakal, birçok kuruluş “tarihi uzlaşmalar veya aktif uzlaşma kanıtları bulacak” dedi.
Yetkili, tuğla fırtınası kötü amaçlı yazılım işaretlerini gören şirketlerin kapsamlı bir soruşturma yapması gerektiğini de sözlerine ekledi. “Bu çok, çok gelişmiş bir düşman.”
Hasta düşmanı, uzun süreli dalgalanma etkileri
Carmakal muhabirlere verdiği demeçte, saldırılarından sorumlu, UNC5221, UNC5221, “son birkaç yıldır ABD’de en yaygın düşmandır”, “son birkaç yıldır Amerika Birleşik Devletleri’nde en yaygın düşmandır”.
UNC5221 bilgisayar korsanları son derece gizli, dedi Carmakal, tanınabilir bir model oluşturmaktan kaçınmak için asla aynı IP adresinde birden fazla saldırıda barındırılan altyapı kullanmayı kullanmadı. “Onları tespit etmek ve araştırmak çok zor” dedi.
Saldırganlar da sabırlı. Bir soruşturmada Google, bilgisayar korsanlarının arka kapılarını aylarca uykuda yalan söyleyecek şekilde yapılandırırken, kurban bir saldırı belirtilerini araştırdı. GTIG’de başlıca tehdit analisti Austin Larsen, “Akıllı, ama aynı zamanda uzun oyun için de içinde olduklarını gösteriyor” dedi.
Çoğu şirket, ilk erişim zaman aralığındaki günlükleri otomatik olarak silindikten kısa bir süre sonra girişleri keşfetmediğinden, Google araştırmacıları bilgisayar korsanlarının başlangıç erişim araçlarını tanımlamayı zor buldu. Ancak şirket, kanıtların saldırganların “çevre ve uzaktan erişim altyapısından ödün verdiği”, Ivanti Connect Secure VPN’leri ve diğer birkaç kenar aygıtını da dahil ettiğini söyledi. UNC5221 birincil gruplardan biri oldu sömürme İri güvenlik açıkları son iki yılda.
Google uzmanları, tedarikçi ihlalleri nedeniyle saldırıya uğrayan şirketler de dahil olmak üzere kurbanlardan herhangi birini tanımlamayı reddetti, çünkü bu kurbanların çoğu hala müdahaleleri iyileştiriyor. Şirket, devam eden kampanyayı yayınladığını söyledi çünkü saldırıların kapsamı hakkında daha fazla bilgi edinmek ve potansiyel kurbanları uyarmak istedi.
Kampanyanın etkisi, “altı ila on iki ila on sekiz ila yirmi dört ay sonra” yankılanmaya devam edecek, Carmakal, “Çünkü o zamanlar çıkacak yeni şeyler olacak [and] Açıklayan yeni kurbanlar olacak [breaches]. “