Çin hükümeti tarafından desteklenen teknik olarak gelişmiş bir bilgisayar korsanlığı grubu, en az altı ABD eyalet hükümetinin bilgisayar sistemlerini tehlikeye attı. yeni yayınlanan tehdit raporu Siber güvenlik firması Mandiant’tan.
Mandiant’ın APT41 olarak adlandırdığı grup, rapora göre Mayıs 2021 ile Şubat 2022 arasında ABD’deki eyalet hükümetlerini hedef aldı. Ağların ihlal edildiği durumlarda, Mandiant, şirket şu anda kesin bir niyet değerlendirmesi yapamayacağını söylese de, “casusluk operasyonuyla tutarlı” kişisel kimlik bilgilerinin sızdırıldığına dair kanıtlar buldu.
Sonuç olarak, Mandiant’ın araştırması zorlu, sürekli uyum sağlayan bir düşmanın resmini çiziyor.
Raporda, “APT41’in ABD eyalet hükümetlerine karşı son faaliyeti, yeni saldırı vektörlerinden uzlaşma sonrası araç ve tekniklere kadar önemli yeni yeteneklerden oluşuyor” deniyor. “APT41, farklı bir vektör aracılığıyla bir ortamı yeniden tehlikeye atarak veya yeni bir güvenlik açığını hızla operasyonel hale getirerek ilk erişim tekniklerini hızla uyarlayabilir. Grup ayrıca, gelecekte kullanmak üzere saklamak yerine yeni saldırı vektörleri aracılığıyla yetenekleri yeniden donatma ve dağıtma konusunda istekli olduğunu gösteriyor.”
Mandiant, Rus hükümeti tarafından desteklendiğine inanılan bilgisayar korsanları tarafından büyük ABD devlet kurumlarına karşı düzenlenen SolarWinds saldırısı gibi devlet destekli saldırılar da dahil olmak üzere ciddi siber güvenlik tehditlerini ortaya çıkarma geçmişine sahiptir. Şirket ayrıca yakın zamanda Google tarafından raporun yayınlanmasıyla birlikte duyurulan bir anlaşmayla satın alındı.
Mandiant’ın araştırmasına göre, APT41 grubu, hayvan sağlığı raporlama veritabanı sistemi USAHERDS’de daha önce bilinmeyen bir güvenlik açığı da dahil olmak üzere Microsoft’un .NET geliştirici platformuyla oluşturulan uygulamalardaki güvenlik açıklarından yararlanarak devlet ağlarını ihlal edebildi.
İlk olarak Pennsylvania Tarım Bakanlığı için geliştirilen USAHERDS, hayvancılıkta hastalık izlenebilirliğini geliştirmek için bir model olarak lanse edildi ve daha sonra diğer eyaletler tarafından benimsendi. Ancak bir kodlama gözetimi, Uygulama içinde belirli işlemlere izin veren şifreleme anahtarlarının “sabit kodlanmış” olması – bu, USAHERDS’in tüm örneklerinde aynı olduğu ve yalnızca bir kurulumdan ödün verilmesinin, bir bilgisayar korsanının yazılımı çalıştıran herhangi bir sistemde kendi kodunu yürütmesine izin vereceği anlamına gelir.
Mandiant’ta kıdemli bir tehdit analisti olan Rufus Brown şunları söyledi: Sınır ihlalin tam ölçeğinin şu anda bilinen altıdan daha fazla hedef içerebileceğini.
Brown, “En az altı eyalet” diyoruz çünkü araştırmamıza, analizimize ve kolluk kuvvetleriyle yaptığımız iletişime dayanarak muhtemelen daha fazla eyalet etkilenecek. “USAHERDS kullanan 18 eyalet olduğunu biliyoruz, bu yüzden bunun muhtemelen teyit ettiğimiz altı eyaletten daha geniş bir kampanya olduğunu değerlendiriyoruz.”
USAHERDS’in geliştiricileri olan Acclaim Systems’e gönderilen bir e-posta, yayınlandığı sırada bir yanıt almamıştı.
APT41, .NET tabanlı uygulamaların güvenliğini sağlamanın yanı sıra, Aralık 2021’de genel olarak açıklanan Java Log4j kitaplığındaki ciddi ve yaygın bir hata olan Log4Shell güvenlik açığından da yararlandı. Mandiant’ın analizine göre APT41, Log4j’den yararlanan saldırılara yalnızca saatlerce güvenlik açığı ayrıntıları yayınlandı ve güvenlik açığı, daha sonraki bir tarihte sürekli erişim sağlayacak şekilde arka kapıları Linux sistemlerine yüklemek için kullanıldı.
Tüm bunlar, APT41 grubunun, ilk keşfedildiğinden beri operasyonunun ayırt edici özelliği olan özelliklerin gelişmişliğine ve gizliliğine işaret ediyor.
Siber güvenlik tabiriyle, “APT” tanımlamaları, en karmaşık tehdit aktörü düzeyi olan ve genellikle doğrudan bir ulusal hükümet tarafından kullanılan Gelişmiş Kalıcı Tehditlere verilir (örneğin, kötü şöhretli Sandworm grubu, Rusya’nın GRU askeri istihbarat teşkilatının bir birimi olduğuna inanılıyor) veya devlet desteğiyle çalışan elit bir hacker grubu.
APT41’in faaliyetleri, ilk olarak siber güvenlik firması FireEye tarafından hazırlanan bir raporda derinlemesine detaylandırılmıştır. “Double Dragon” adlı bilgisayar korsanlığı grubuna lakaplı casusluk ve finansal siber suçlara odaklandığı için. FireEye raporu, diğer şeylerin yanı sıra, yazılım geliştiricilere karşı 2014’e kadar uzanan bir tedarik zinciri saldırı geçmişinin ana hatlarını veriyor; Belgelenen bazı durumlarda, APT41 bilgisayar korsanları, meşru oyun dağıtımcıları tarafından kullanıcılara satılan video oyun dosyalarına kötü amaçlı kod bile enjekte edebildi.
Bilgisayar korsanlığı grubunun eylemleri sonunda ABD makamlarının ve Adalet Bakanlığı’nın dikkatine sundu. APT41’in beş üyesine karşı suçlamada bulundu. 2019 ve 2020’de onlara bir yer FBI’ın siber en çok arananlar listesi sonuç olarak.
APT41’in casusluk operasyonlarının yanı sıra mali suçları da yürüttüğü bilinmesine rağmen, Mandiant araştırmacıları bu durumda amacın ikinci olduğuna inanıyor.
Brown, “Bu, bir istihbarat operasyonuyla, muhtemelen casuslukla oldukça tutarlı” dedi. Sınır. “Burada her ne peşindelerse gerçekten önemli ve peşinden gitmeye devam edecekler gibi görünüyor… Günün sonunda, bu işin arkasındakiler tutuklanana kadar bu iş bitmeyecek.”
FBI, yorum talebine yanıt vermedi.