Muhtemelen Çin destekli bir gelişmiş kalıcı tehdit (APT) grubu, en azından son üç yıldır nispeten üretken siber casusluk operasyonlarını gizlemek için sistematik olarak fidye yazılımını kullanıyor.
SentinelOne’daki araştırmacıların ChamelGang (diğer adıyla CamoFei) olarak takip ettiği tehdit aktörü, yakın zamanda Doğu Asya ve Hindistan’daki kritik altyapı kuruluşlarını hedef aldı.
Dikkat Dağıtıcı Bir Araç Olarak Fidye Yazılımı
ChamelGang’ın o bölgedeki kurbanlarından bazıları arasında Hindistan yarımadasındaki bir havacılık organizasyonu ve Tüm Hindistan Tıp Bilimleri Enstitüsü (AIIMS) yer alıyor. Ancak grubun önceki kurbanları arasında hükümet ve özel sektör kuruluşları da yer alıyor. kritik altyapı sektörleri— ABD, Rusya, Tayvan ve Japonya’da.
SentinelOne’a göre ChamelGang’in operasyonlarını dikkat çekici kılan şey, siber casusluk odağını gizlemek ve dikkati başka yere çekmek için CatB adı verilen bir fidye yazılımı aracını düzenli olarak kullanması.
Güvenlik sağlayıcısı Dark Reading ile paylaşılan bir raporda, “Fidye yazılımı faaliyetleri olarak gizlenen siber casusluk operasyonları, düşman ülkelere, eylemleri devlet destekli kuruluşlar yerine bağımsız siber suçlu aktörlere atfederek makul inkar iddiasında bulunma fırsatı sunuyor” dedi. “Ayrıca, siber casusluk faaliyetlerini siber suç operasyonları olarak yanlış değerlendirmek, özellikle hükümete veya kritik altyapı kuruluşlarına yönelik saldırılar bağlamında stratejik sonuçlara yol açabilir.”
SentineOne, önemli ölçüde, fidye yazılımının siber casusluk aktörlerine, veri hırsızlığı faaliyetlerine işaret edebilecek eserleri ve kanıtları yok ederek izlerini rahatlıkla gizlemeleri için bir yol sağladığını söyledi.
ChamelGang, fidye yazılımını bu şekilde kullanan ilk Çin bağlantılı siber casusluk oyuncusu değil. Diğer örnekler arasında APT41— birden fazla küçük alt gruptan oluşan bir şemsiye grup — ve Bronz Yıldız IşığıKurbanları arasında ABD ve diğer birçok ülkedeki kuruluşlar da var.
SentinelOne SentinelLabs’ta kıdemli tehdit araştırmacısı Aleksandar Milenkoski, “Mevcut ve tarihsel kanıtlar, siber casusluk kümelerinin fidye yazılımlarını öncelikle kesinti veya mali kazanç için kullandığını gösteriyor” diyor.
Milenkoski, ChamelGang vakasında, tehdit aktörünün genellikle gizliliğin artık operasyonel bir hedef olmadığı görevlerinin sonuna doğru fidye yazılımını kullanma eğiliminde olduğunu söylüyor. Fidye yazılımı, istihbaratla ilgili verileri sızdırmak ve suçu saptırmak için bir kılıf olarak kullanılabilir; dolayısıyla fidye yazılımı saldırısının kurbanları, bir saldırıya yanıt verirken bu hususu göz ardı etmemelidir, diyor: “Hedeflenen kuruluşun, farklı ülkelerden gelen düşmanlar açısından potansiyel değerine bağlı olarak İstihbarat perspektifinden bakıldığında, durum değerlendirilirken fidye yazılımı faaliyetlerinin bu boyutları dikkate alınmalıdır.”
Veri Casusluğu ve Hırsızlığı
ChamelGang, Positive Technologies ve Team5 gibi diğerlerinin daha önce veri hırsızlığı ve siber casusluğa odaklandığını tanımladığı bir tehdit aktörüdür. Pozitif Teknolojiler grubun Eylül 2021’deki faaliyetleri hakkında rapor verildi Bir enerji şirketinde tehdit unsurunun kötü amaçlı yazılımını ve altyapısını meşru Microsoft, Google, IBM, TrendMicro ve McAfee servisleri gibi gizlediği bir ihlal soruşturmasının ardından.
Takım5Grubu Camo Fei olarak takip eden tehdit aktörünün en az 2019’dan beri aktif olduğunu ve kampanyalarında Cobalt Strike, DoorMe, IISBeacon, MGDrive ve CatB fidye yazılımı aracı dahil olmak üzere çeşitli kötü amaçlı yazılım araçlarını kullandığını değerlendirdi. Team5’in araştırması, tehdit aktörünün öncelikle devlet sektöründeki hedeflere ve daha az ölçüde sağlık, telekomünikasyon sektörü, enerji, su ve yüksek teknoloji sektörlerindeki hedeflere odaklandığını gösterdi.
SentinelOne, ChamelGang’ın mevcut odağının jeopolitik gerilimler, bölgesel rekabetler ve teknolojik ve ekonomik üstünlük yarışının sonucu olarak Doğu Asya ve Hindistan alt kıtasına odaklandığını değerlendirdi. Şirketin araştırmaları, grubun, saldırının ilk aşamalarında BeaconLoader ve Cobalt Strike gibi araçları kullandıktan sonra 2022’de Hindistan’ın AIIMS’sine ve Brezilya hükümetine yönelik saldırılarında CatB fidye yazılımını kullandığını gösterdi.
Milenkosi, tehdit aktörlerinin fidye toplamak için hem siber casusluk hem de mali amaçlı faaliyetler yürütme konusundaki ilgisinin, bir kuruluşu hedef alırkenki hedeflerine bağlı olduğunu söylüyor. “Tarihsel olarak, tehdit aktörlerinin fidye toplamaya hiç ilgi göstermediği yaygın bir durum, fidye yazılımlarının yıkıcı amaçlarla kullanılmasıdır” diyor. “Ancak fidye ödemesindeki faizin başlı başına bir teminat teşkil edebileceğini not ediyoruz” diye ekliyor.