Çin bağlantılı tehdit aktörleri tarafından kullanılan araçlarda keşfedilen gizli bir arka kapı programı, birden fazla yabancı kurumdaki devlet bilgisayarlarını hedef alarak, saldırganların hassas ağlarda varlığını sürdürmesine ve tespit edilmeden verileri sızdırmasına olanak sağladı.
Broadcom Software’in bir bölümü olan Symantec’teki araştırmacılar, bugün yayınlanan bir danışma belgesinde, Daxin olarak adlandırdıkları arka kapının “daha önce görülmemiş teknik karmaşıklık sergilediğini” söyledi. Saldırganlara, güvenliği ihlal edilmiş sistemlerde gizlice veri toplama ve bilgileri ortadaki makine teknikleri aracılığıyla saldırgana iletme yeteneği verir. Symantec, Kasım 2021 gibi yakın bir tarihte kullanılan kötü amaçlı yazılımın Çin’in stratejik çıkarları olan ülkelerdeki devlet kurumlarını hedef aldığını, ancak şirketin kötü amaçlı yazılımdan etkilenen kuruluşların adını vermediğini belirtti.
Broadcom Symantec’in baş araştırmacısı Vikram Thakur, Çinli tehdit aktörlerinin arka kapıyı geliştirme ve kullanma konusundaki özenle, araştırmacılar tarafından tipik olarak bulunan standart programlardan ve araçlardan önemli ölçüde farklı olduğunu söylüyor.
“Bu, siber casusluk için uzun vadeli siber saldırı kampanyaları konusunda bilinçli olduklarını gördüğümüz ilk tehdit” diyor. “Geçmişte, Çinli tehdit aktörlerinin yakalanma konusunda her zaman çok az endişeleri vardı. Araçlarını tek kullanımlık olarak gördüklerini varsaydık, ancak [using Dakin] on yıldan fazla bir süredir, bu da orijinal düşüncemizin yanlış olduğu anlamına geliyor.”
Arka kapı, operatörlerinin yüksek güvenlikli ağlardaki sistemlere bulaşmasına ve sistemler İnternet’e bağlanamasa bile algılanmadan iletişim kurmalarına olanak tanıyan gelişmiş iletişim özelliklerini uygulayan bir Windows çekirdek sürücüsüdür. Bu özellikler benzer Kötü amaçlı yazılımı yeniden başlat 2014 yılında Symantec tarafından keşfedilen ve şirketin Batılı istihbarat teşkilatlarına atfettiği.
Symantec, Daxin arka kapısının geçmişini 2013’e kadar takip etti ve bu noktada kötü amaçlı yazılımda zaten mevcut olan gelişmiş özelliklerin çoğu “saldırganların 2013’e kadar zaten iyi kurulduğunu gösteriyor”. tavsiyesinde belirtilen. Şirket, diğer programlarla benzerliklere dayanarak, kötü amaçlı yazılımın arkasındaki istihbarat grubunun en azından 2009 kadar erken bir tarihte var olduğuna inanıyor.
Symantec, danışma belgesinde, “Daxin’in yetenekleri, saldırganların, hedefin ağındaki normal ağ trafiğiyle görünmeyen bir şekilde karışabilen iletişim teknikleri geliştirmek için önemli çaba harcadıklarını gösteriyor” dedi. “Özellikle, kötü amaçlı yazılım kendi ağ hizmetlerini başlatmaktan kaçınır. Bunun yerine, virüslü bilgisayarlarda halihazırda çalışan tüm yasal hizmetleri kötüye kullanabilir.”
Daxin bir arka kapıdır, yani saldırganın programa bulaşmış sistemleri kontrol etmesine izin verir. Araç, saldırganın dosyaları okumasına ve yazmasına ve süreçleri başlatmasına ve bunlarla etkileşime girmesine olanak tanır – küçük bir özellikler menüsü, ancak sistemin tam kontrolünü sağlayanlar.
Saldırganlar için kötü amaçlı yazılımın gerçek değeri, belirli kalıplar için gelen tüm verileri izleyerek meşru ağ bağlantılarına iletişim ekleme yeteneğidir. Daxin bu kalıpları algıladıktan sonra bağlantıyı devralır ve ele geçirilen ağ bağlantısı üzerinden güvenli bir eşler arası ağ kurar; bu noktada arka kapı komuta ve kontrol ağından iletişim alabilir.
Symantec’ten Thakur, “Daxin bunu birkaç basamak yukarı taşıyor, çünkü iki özel amaç için tasarlanmış gibi görünüyor” diyor. “Uzun vadeli stratejik saldırı kampanyalarında kullanılmak üzere tasarlandı. Bunu başarmak için mümkün olduğunca gizli olmak üzere ikinci şeyi yapıyor: Yeni liman açmıyor, bir komutla konuşmuyor. -ve-kontrol sunucuları herhangi bir zamanda açıkça.”
Çin’in Jeopolitik Çıkarları
Symantec, programı Çin bağlantılı tehdit aktörlerine bağladı. Duruma göre, program tarafından bilgisayarlarına bulaşan devlet kurumları, Çin’in jeopolitik çıkarları içinde kabul ediliyor. Bununla birlikte, daha somut olarak, Daxin ile tehlikeye atılan sistemlerde ayrıca Çin ile ilişkili çeşitli araçlar ve kötü amaçlı yazılımlar kuruluydu.
Symantec’in ana şirketi Broadcom, etkilenen yabancı hükümetleri bilgilendirmek ve kötü amaçlı yazılımları bulup temizlemelerine yardımcı olmak için Siber Güvenlik ve Altyapı Güvenliği Ajansı ile birlikte çalıştı.
Symantec’ten Thakur, programın çoğu zaman sessiz kalmayı başardığı için diğer şirketlerin kötü amaçlı yazılımı bulmakta zorlanacağını söylüyor. Şirket, danışmanlığında, şirketlerin kendi ağlarında aramaları için bir dizi uzlaşma göstergesi listeliyor.
“Standart dışında önerebileceğimiz çok az şey var, ‘İşte YARA veya hangi çözümü kullanırsanız kullanın aracılığıyla yapabileceğiniz bazı açık kaynaklı imzalar’ diyor. “Bu sürücü birinin ortamında oturduğundan ve kendi yığınına sahip olduğundan, birinin göz küresi yapıp yerini tespit etmesi gerçekten zor. Bazı mağdurları iyileştirmeye çalışırken, sürücüyü sistemden kopyalamakta bile sorun yaşadılar.”
Thakur, Symantec’in tehdidin daha fazla analiziyle daha fazla tavsiye yayınlamayı planladığını söyledi.