Çin destekli bir tehdit aktörünün Guam’daki kritik altyapı kuruluşlarını hedef aldığına dair bu hafta çıkan haberler, Amerika’nın jeopolitik hasımlarının gelecekteki bir krizde kilit iletişim ve operasyonel teknolojilere karşı yıkıcı siber saldırılar başlatması hayaletini bir kez daha gündeme getirdi.
Saldırılar, Microsoft’un bu hafta iletişim, hükümet, kamu hizmetleri, imalat, denizcilik ve diğer kritik sektörlerdeki kuruluşları hedef aldığını bildirdiği “Volt Typhoon” adlı daha geniş bir kampanyanın parçası. Son birkaç yılda Çin’in devlet destekli çoğu siber kampanyasında olduğu gibi, Volt Typhoon’un birincil odak noktası ilk başta siber casusluk gibi görünüyor.
Çin Siber Saldırıları İçin Sorunlu Yeni Bir Bükülme Noktası mı?
Ancak grubun, Microsoft’un incelediği diğer kanıtlarla birlikte Tayvan’ı Çin’in potansiyel ilhakına karşı savunmak için stratejik bir üs olan Guam’ı hedef alması, aktörün aynı zamanda kinetik bir çatışmada ABD-Asya iletişimini bozabilecek saldırılar için zemin hazırladığını gösteriyor.
“ABD hedeflerine yönelik nispeten az Çin faaliyeti gördüğümüz birkaç yıllık bir dönem vardı. […] son 12 ayda değiştiSymantec Tehdit Avcısı Ekibi baş istihbarat analisti Dick O’Brien, muhtemelen Tayvan sorunu etrafındaki jeopolitik gerilimlerin bir sonucu. Şu anda Tayvan’da ve Guam bu odak noktasının bir parçası olabilir” diyor.
Microsoft’un gözlemlediği yıkıcı saldırılara yönelik bariz hazırlık, son yaklaşık yirmi yılda Çinli gruplar tarafından gerçekleştirilen siber saldırıların çoğundan önemli bir sapmaya işaret ediyor – ana odak noktası, Çin’in çevredeki stratejik hedeflerini desteklemek için ABD ve diğer ülkelerden ticari sırları ve fikri mülkiyeti çalmaktı. özgüven. Stratejik ve Uluslararası Çalışmalar Merkezi’nin halka açık bilgileri kullanarak yaptığı bir anket bulundu 224 bildirilen örnek ABD kuruluşlarını hedef alan Çin casusluğu. Bunların neredeyse yarısı (%46) siber casusluğu içeriyordu.
Çin’in Uzun Siber Casusluk Tarihi
Listedeki dikkate değer erken örnekler şunları içerir: Çinli aktörlerin bir NASA ağından Uzay Mekiği Keşif programı hakkında bilgi çaldığı Nisan 2005 kampanyası; adlı bir 2005 operasyonu Titan Yağmuru ABD askeri ve savunma sırlarını savunma yüklenicilerinden ve askeri kuruluşlardan çalmak; ve Google’ı ve diğer 30 büyük teknoloji şirketini vuran Aurora adlı 2010 kampanyası.
Daha yakın zamanlarda, Çinli bilgisayar korsanları bir bilgisayarda 614 GB veri çaldı. ABD süpersonik gemisavar füzesi 2018’de bir ABD Deniz Kuvvetleri Yüklenicisinden; 2019’daki bir saldırı, General Electric jet motoru türbinlerine ilişkin verilerin çalınmasıyla sonuçlandı; ve Mayıs 2020’de, koronavirüs aşısı ile ilgili ABD araştırmalarını çalmayı amaçlayan bir saldırı düzenlendi.
Vakaların yaklaşık yarısında (%49), CSIS aktörün ve niyetin Çin hükümeti ve askeri görevlileri içerdiğini tespit edebildi; Bu olayların %29’u askeri teknolojileri çalma girişimlerini içeriyordu ve bunların %54’ü ticari IP ve ticari sırları çalmayı amaçlıyordu.
En azından şimdiye kadar, tüm bu kampanyalar boyunca, Çinli gruplar ABD’nin kritik altyapısına geniş çapta zarar verebileceklerini göstermediler – ya da en azından araştırmacılar herhangi bir kanıt ortaya çıkarmadı. Ancak onların ve diğer ulus devlet destekli grupların, özellikle Rus APT’lerinin de yapabileceğinden kimsenin şüphesi yok.
Google Cloud Mandiant Intelligence’ın baş analisti John Hultquist, “Çin kritik altyapıyı bozma becerisini göstermedi, ancak bu onların ve diğer devletlerin yapabileceğine inandığımız bir şey” diyor.
Çin’in Siber Potansiyeli Gerçek Dünyayı Karıştırıyor
“Kritik altyapı, fidye yazılımı gibi yeteneklerle kesintiye uğrayabilir, ancak Çin gibi bazı ülkelerin operasyonel teknoloji (OT) sistemlerine saldırma yeteneğine erişimi olması muhtemeldir” diyor.
Çin destekli tehdit aktörleri, şu anda özellikle siber casusluk yapmaya odaklanmış olanlar olmak üzere ulus devlet grupları arasında en aktif olanlardır. CrowdStrike’ın tehdit istihbarat ekibi bunu geçen yıl buldu China-nexus aktörleri 39 endüstri sektörünü hedef aldı geçen yıl 20 coğrafi bölgede siber casusluk kampanyalarında.
Güvenlik araştırmacılarının, Çinli grupların bu saldırıları gerçekleştirirken kullandıkları becerilerin, gerektiğinde yıkıcı saldırılarda da kullanılabileceğinden şüpheleri yok.
Bilgi direktörü Cliff Steinhauer, “Çin’den gelen siber tehdidin diğer düşman ülkelerle teknik yönlerini karşılaştırırken, taktikler, teknikler ve prosedürler (TTP’ler) arasında farklılıklar var. Rus grupları genellikle sosyal mühendislik ve gelişmiş kötü amaçlı yazılımlardan yararlandı” diyor. Ulusal Siber Güvenlik İttifakı’nda (NCA) güvenlik ve katılım.
Aslında, Rus grupları genellikle sosyal mühendislik ve karmaşık kötü amaçlı yazılımlardan yararlanır, Kuzey Koreli gruplar yıkıcı saldırılara ve siber destekli finansal soygunlara yönelirken, İranlı gruplar sıklıkla DDoS saldırıları ve tahrifatlar kullanır, diyor Steinhauer. Bu arada Çinli gruplar hedefli kimlik avı, su birikintisi saldırıları ve istismar zincirlerinin bir karışımını kullanma eğilimindeydiler. “Bununla birlikte, yetenekleri ve ölçekleri çok endişe verici çünkü ısrarcılar ama bir saldırı gerçekleştirmek için her fırsatta harekete geçmiyorlar ve gerçek ayak izlerinin bilinmemesine neden oluyorlar” diye belirtiyor.
Zero-Day Kullanımını ve Hackleme Yeteneklerini İyileştirme
Son yıllarda Çinli APT grupları, sıfır günleri keşfetme ve kullanma konusunda diğer tüm gruplardan önemli ölçüde daha iyi hale geldi. Ayrıca, yeni ortaya çıkan kusurlardan genellikle en hızlı yararlananlar arasında yer alıyorlar.
Mandiant’tan veriler 2022’de Çinli siber casusluk gruplarının çeşitli kampanyalarda yedi sıfır gün açığından yararlandığını gösteriyor. Bu, 2021’de yararlandıkları sekiz sıfır günden bir çentik daha düşüktü, ancak yine de herhangi bir ülkeden tehdit aktörleri tarafından en yüksek sayıydı. Çinli tehdit aktörlerinin son zamanlarda oldukça yıkıcı bir etkiyle kullandıkları sıfır gün güvenlik açıklarına örnek olarak CVE-2022-30190 (namı diğer Follina); FortiOS sistemlerine karşı CVE-2022-42475; ve 2021’de Microsoft Exchange’deki sözde ProxyLogon kusurları.
Çin merkezli grupların saldırılarının çoğu, hedeflenen ağ ve uç cihazlar Fortinet, Pulse, Netgear, Citrix ve Cisco gibi şirketlerden. Microsoft’un bu hafta açıkladığı kampanya Volt Typhoon da bir istisna değil. Microsoft analizi, tehdit aktörünün, güvenliği aşılmış yönlendiriciler ve ASUS, Netgear, D-Link ve Cisco gibi şirketlerin küçük ofis/ev ofis (SOHO) uç cihazları aracılığıyla tüm ağ trafiğini proxy olarak kullandığını gösterdi. Çin destekli gruplar, Volt Typhoon da dahil olmak üzere son kampanyalarda, uzlaşma sonrası keşif, yanal hareket ve kalıcılığı sürdürmek için meşru ve ikili kullanım araçlarını kullanma eğilimi gösterdi.
Ontinue’de güvenlik operasyonlarından sorumlu başkan yardımcısı Craig Jones, “En sevdikleri ortamlardan biri ağ uç cihazlarından saldırı başlatmak ve düzenlemektir” diyor. “Bu gruplar, hedeflenen ağlara sızma ve kalıcı erişimi sürdürme konusunda uzmanlık gösteriyor. [and] Jones, güvenliği ihlal edilmiş sistemlerde uzun süreler boyunca gizlice faaliyet gösteriyor” diyor. Ayrıca, tedarik zinciri saldırılarını düzenlemede mükemmeller, saldırıları gerçekleştirirken güvenilir satıcılardan ve yazılım sağlayıcılardan yararlanıyorlar, diyor Jones.
Mandiant’ta siber casusluk üst düzey yöneticisi Ben Read, Çin’in kritik altyapıyı bozabilecek kötü amaçlı yazılım oluşturma konusunda karmaşıklığa sahip olduğunu değerlendiriyor, ancak şimdiye kadar böyle bir kanıt yok. “ABD’deki kritik altyapı ağlarının çok sayıda ve dağıtılmış doğası göz önüne alındığında, bir aksamaya neden olacak siyasi bir karar vermeleri durumunda bir miktar etkiye sahip olmaları muhtemeldir” diyor. “Ancak ABD savunmaya yatırım yapmaya devam ediyor, bu nedenle potansiyel etkinin ölçeği belirsiz.”