Çinli bir tehdit aktörü, bu yılın başlarında ismi açıklanmayan bir Asya ülkesinde ulusal elektrik şebekesini ihlal etmeyi başardı; birden fazla bilgisayarın güvenliğini tehlikeye attı ve hassas verileri çalmak için popüler bir uzaktan erişim Truva Atını (RAT) kullandı.
APT41, Bronz Atlas olarak da bilinen Winnti Group bünyesindeki bir kuruluş olan failin, düşman hükümetlere ve endüstrilere karşı kampanyalar da dahil olmak üzere, Çin Halk Cumhuriyeti (PRC) tarafından yürütülen en üst düzey siber casusluklardan bazılarını üstlenme geçmişi var. yurt dışı. Geniş kapsamlı ve başarılı kampanyaları, uluslararası kolluk kuvvetlerinin dikkatini, yalnızca dünyanın en üretken ulus devleti ve siber suç gruplarının erişebileceği derecede çekmiştir.
Bu son kampanyada, Winnti’deki “Redfly” veya “Red Echo” olarak bilinen bir alt grup, kimlik bilgilerini toplamak ve ayrıcalıklı bilgiler elde etmek için “ShadowPad” adlı bir Truva atı kullanarak Asya ulusal elektrik sağlayıcısının ağını altı ay boyunca işgal etmeyi başardı.
Symantec tehdit avcısı ekibinin baş istihbarat analisti Dick O’Brien’a göre, bu son kritik altyapı saldırısı vakası, genel olarak sektör için endişe verici bir eğilimin sinyalini veriyor. “Bence uyarıları duymak çok kolay olabilir ama gerçekten kötü bir şey olana kadar hiçbir şey yapmamak mümkün” diye uyarıyor. “En kötü durum senaryosu oldukça nadirdir, ancak zaman zaman meydana gelir.”
Bir Izgaraya Karşı Winnti Saldırısı
Symantec’ten araştırmacılar kampanyanın izini sürdü ShadowPad’in hedef ağdaki tek bir bilgisayara dağıtıldığı 28 Şubat’a geri dönelim.
İlk olarak sekiz yıl önce keşfedilen ShadowPad, kabuk kodu formatında modüler bir arka kapıdır. Halefi olan uzun süredir devam eden Truva atları PlugX ailesi gibi, bir noktada siber yeraltındaki seçkin alıcılarla kısa süreliğine paylaşıldı, ancak genellikle Çin devleti destekli saldırılarla bağlantılı olarak görülüyor.
Bu kampanyada saldırganlar, VMWare dosyaları ve dizinleri olarak gizlenen, kendisini diske kopyalayan farklı bir ShadowPad çeşidi kullandı.
Redfly, ShadowPad’i 17 Mayıs’ta hedef ağda ikinci kez konuşlandırdı ve bu, aradaki üç ayda kalıcılığını koruduğunu gösterdi.
Sonraki gün ve haftalarda Redfly kaslarını esnetmeye başladı. Örneğin 19 Mayıs’ta bir veri yükünü bırakmak için DLL yan yüklemesi gerçekleştirdi, ardından sisteme bağlı depolama aygıtları hakkında bilgi almak için Powershell’i kullandı. 26 Mayıs’ta %TEMP% kayıt defterindeki kimlik bilgilerini attı ve Windows güvenlik olay günlüklerini temizledi. 31 Mayıs itibarıyla çalınan kimlik bilgilerini, kötü amaçlı yazılımını ağdaki diğer makinelere yaymak için kullanmıştı.
27 Temmuz’da Redfly, çeşitli bilgisayarlarda çeşitli dosya adları altında saklanan bir keylogger’ı düşürdü. Kötü niyetli faaliyetlerin son günü olan 3 Ağustos’ta Redfly, kimlik bilgilerini Windows kayıt defterinden boşaltmaya çalıştı.
Daha Fazla Saldırgan Kritik Altyapıyı Hedefliyor
Ulusal şebekeye yönelik bir saldırı, bugün yıllar önce olduğu gibi aynı etkiyi yaratmıyor.
Mayıs ayında Winnti bu Asyalı şebeke sağlayıcısını incelerken Microsoft, farklı bir Çin APT’si olan Volt Typhoon’un ABD’nin kritik altyapı kuruluşlarını tehlikeye attığını ortaya çıkardı; bu saldırının daha sonra başlangıçta düşünülenden daha da kötü olduğu ortaya çıktı. O kampanya ilham verdi ortak açıklama dünya çapındaki birçok emniyet teşkilatından.
Gerçekten de, Rusya’nın yıkıcı saldırıları en büyük manşetleri kazanırken, Çin’in casusluk kampanyaları da kritik altyapı alanında tartışmasız bir o kadar yaygın.
Symantec’ten araştırmacılar, Winnti’de Blackfly, Greyfly ve bu durumda Redfly (diğer adıyla Red Echo) dahil olmak üzere birden fazla alt grubu izliyor. Redfly’ın yalnızca ulusal kritik altyapı saldırılarına odaklanan bir alt bölüm olduğunu söylüyorlar. Ve bu son kampanya muhtemelen onların ulusal elektrik şebekesi hack’lerine yönelik ilk girişimi değil; Hindistan’da da benzer bir başarı Siber güvenlik firması Recorded Future’a göre iki yıl önce.
Çinli APT’lerin tam olarak neden kritik endüstrilere bu kadar ilgi gösterdiği belirsizliğini koruyor. O’Brien bunun siyasi gerilimler, enerji piyasası eğilimleri veya fikri mülkiyet hırsızlığıyla ilgili olabileceğini düşünüyor ancak kesin bir şey yok. “Saldırganların aklından geçenleri bilmiyoruz, dolayısıyla yalnızca bilgiye dayalı bir tahminde bulunabiliriz” diye uyarıyor.
Neyse ki ABD ve diğer bazı Batılı ülkelerin tehdidin farkında olduğunu ekliyor. “ABD, bu aşamada siberin kritik altyapılar için oluşturabileceği tehdit ve bu kritik altyapının arkasında yer alan kuruluşların desteklenmesi açısından neler yapılması gerektiği konusunda oldukça fikir sahibi. Diğer ülkeler için durum değişiklik gösteriyor. “
Aslında, diğer ülkelerin “belki kendi yaklaşımlarından CISA’nın buradaki zorluğu nasıl üstlendiğini öğrenebileceklerini” de ekliyor.