ABD Federal Soruşturma Bürosu (FBI), şirketlere ve devlet kurumlarına ait uç cihazların ve bilgisayar ağlarının ihlalini içeren bir soruşturmayla bağlantılı olarak halktan yardım istedi.
Ajans, “Bir Gelişmiş Kalıcı Tehdit grubunun, dünya çapındaki güvenlik duvarlarından hassas verileri sızdırmak için tasarlanmış yaygın bir dizi gelişigüzel bilgisayar izinsiz girişinin parçası olarak kötü amaçlı yazılım (CVE-2020-12271) oluşturduğu ve dağıttığı iddia ediliyor.” söz konusu.
“FBI, bu siber saldırılardan sorumlu kişilerin kimliklerine ilişkin bilgi arıyor.”
Gelişme bir olayın ardından geliyor bir dizi rapor Siber güvenlik tedarikçisi Sophos tarafından yayınlanan ve 2018 ile 2023 yılları arasında özel kötü amaçlı yazılım dağıtmak veya tespit edilmekten kaçınmak için bunları proxy olarak yeniden kullanmak üzere uç altyapı cihazlarından yararlanan bir dizi kampanyayı anlatan bir rapor.
Kod adı verilen kötü amaçlı etkinlik Pasifik Kenarı Gözetleme, sabotaj ve siber casusluk yapmak üzere tasarlanan bu saldırının APT31, APT41 ve Volt Typhoon dahil olmak üzere Çin devleti destekli çok sayıda gruba atfedildiği belirtiliyor. En erken saldırı, Sophos’un Hindistan’daki yan kuruluşu Cyberoam’a yönelik bir siber saldırının hedeflendiği 2018’in sonlarına kadar uzanıyor.
Sophos, “Düşmanlar, başta Güney ve Güneydoğu Asya olmak üzere, nükleer enerji tedarikçileri, ulusal başkentin havaalanı, askeri hastane, devlet güvenlik aygıtları ve merkezi hükümet bakanlıkları dahil olmak üzere hem küçük hem de büyük kritik altyapıyı ve hükümet tesislerini hedef aldı” dedi.
Sonraki toplu saldırılardan bazılarının, Sophos güvenlik duvarlarındaki birden fazla sıfır gün güvenlik açığından yararlandığı belirlendi. CVE-2020-12271, CVE-2020-15069, CVE-2020-29574, CVE-2022-1040Ve CVE-2022-3236 – Cihazların güvenliğini ihlal etmek ve yükleri hem cihaz yazılımına hem de kuruluşun LAN ağında bulunanlara iletmek.
“2021’den itibaren düşmanlar, odak noktasını yaygın ve gelişigüzel saldırılardan belirli kuruluşlara (devlet kurumları, kritik altyapı, araştırma ve geliştirme kuruluşları, sağlık hizmeti sağlayıcıları, perakende satış, finans) yönelik yüksek hedefli, ‘klavyede uygulamalı’ dar odaklı saldırılara kaydırmış gibi görünüyor , askeri ve kamu sektörü kuruluşları öncelikle Asya-Pasifik bölgesinde” dedi.
2022 ortalarından itibaren saldırganların çabalarını belirli kuruluşlara daha derin erişim sağlamaya, tespit edilmekten kaçınmaya ve komutları manuel olarak çalıştırarak ve Asnarök, Gh0st RAT ve gelişmiş bir arka kapı kablosu olan Pygmy Goat gibi kötü amaçlı yazılımları dağıtarak daha fazla bilgi toplamaya odakladıkları söyleniyor. Sophos XG Güvenlik Duvarlarına ve muhtemelen diğer Linux cihazlarına kalıcı uzaktan erişim sağlama.
Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC) “Herhangi bir yeni teknik içermemekle birlikte, Pygmy Goat, aktörün normal ağ trafiğine uyum sağlarken talep üzerine onunla etkileşime geçmesini sağlama konusunda oldukça gelişmiş.” söz konusu.
“Kodun kendisi temiz, gelecekte genişletilebilirliğe yardımcı olacak kısa, iyi yapılandırılmış işlevlere sahip ve hatalar baştan sona kontrol ediliyor, bu da kodun yetkin bir geliştirici veya geliştiriciler tarafından yazıldığını gösteriyor.”
Paylaşılan bir nesne (“libsophos.so”) biçimini alan yeni bir rootkit olan arka kapının, CVE-2022-1040’ın kullanılmasının ardından dağıtıldığı tespit edildi. Rootkit’in kullanımı Mart ve Nisan 2022 arasında bir hükümet cihazında ve bir teknoloji ortağında ve yine Mayıs 2022’de Asya merkezli bir askeri hastanedeki bir makinede gözlemlendi.
Bunun, Chengdu’daki Çin Elektronik Bilimi ve Teknolojisi Üniversitesi (UESTC) ile bağlantıları paylaşan, Sophos tarafından Tstark olarak dahili olarak takip edilen Çinli bir tehdit aktörünün eseri olduğu atfedildi.
“Özel hazırlanmış ICMP paketlerini dinleme ve bunlara yanıt verme yeteneği ile birlikte gelir; bu paketler, virüs bulaşmış bir cihaz tarafından alınırsa, saldırganın seçeceği bir IP adresine bir SOCKS proxy’si veya ters kabuk geri bağlantısı açar.”
Sophos, Sichuan Silence Information Technology’nin Double Helix Araştırma Enstitüsü’ne ait makineler de dahil olmak üzere kötü amaçlı istismar araştırmaları yürütmek üzere Çinli tehdit aktörlerinin sahip olduğu cihazlara kendi özel çekirdek implantını konuşlandırarak kampanyalara erken aşamada karşı çıktığını ve bu sayede görünürlük kazandığını söyledi. Temmuz 2020’de “daha önce bilinmeyen ve gizli bir uzaktan kod yürütme istismarı”.
Şirket, Ağustos 2020’de yapılan bir takip analizinin, bir işletim sistemi bileşeninde daha düşük önem derecesine sahip, kimlik doğrulama sonrası uzaktan kod yürütme güvenlik açığının keşfedilmesine yol açtığını ekledi.
Dahası, Thoma Bravo’ya ait şirket, bağlantıları olan kişilerden en az iki kez (CVE-2020-12271 ve CVE-2022-1040) “aynı anda son derece faydalı ancak şüpheli” hata ödülü raporları alma modeli gözlemlediğini söyledi. kötü niyetli olarak kullanılmadan önce Chengdu merkezli araştırma kurumlarına.
Bulgular önemlidir; özellikle de Sichuan bölgesinde aktif güvenlik açığı araştırması ve geliştirme faaliyetinin yürütüldüğünü ve daha sonra farklı hedeflere, yeteneklere ve sömürü sonrası tekniklere sahip çeşitli Çin devleti destekli ön cephe gruplarına aktarıldığını göstermesi açısından önemlidir.
“Pacific Rim’de şunu gözlemledik: […] Chester Wisniewski, Çin’in Sichuan kentindeki eğitim kurumlarıyla ilişkili sıfır gün istismar geliştirme montaj hattı” dedi. “Bu istismarlar devlet destekli saldırganlarla paylaşılmış gibi görünüyor, bu da bu tür paylaşımın devlet destekli saldırganlarla paylaşıldığını gösteriyor.” güvenlik açığı açıklama yasaları.”
Uç ağ cihazlarının hedeflenmesinin artması, aynı zamanda Kanada Siber Güvenlik Merkezi’nin (Siber Merkez), son dört yılda en az 20 Kanada hükümeti ağının Çin devleti destekli bilgisayar korsanları tarafından ele geçirildiğini ortaya koyan bir tehdit değerlendirmesiyle de örtüşüyor. stratejik, ekonomik ve diplomatik çıkarlar.
Ayrıca Çinli tehdit aktörlerini, Uygurları, Tibetlileri, demokrasi yanlısı aktivistleri ve Tayvan’ın bağımsızlığını destekleyenleri hedef alan “ulusötesi baskı” misyonlarını desteklemenin yanı sıra, gizli ve özel bilgileri toplayarak rekabet avantajı elde etmek için özel sektörünü hedef almakla suçladı.
Çinli siber tehdit aktörleri “son beş yıl içinde birden fazla hükümet ağına erişim sağladılar ve bu ağlara erişimi sürdürdüler, iletişim ve diğer değerli bilgileri topladılar”. söz konusu. “Tehdit aktörleri, ağ keşiflerini gerçekleştirmek için alıcılara izleme görüntüleri içeren e-posta mesajları gönderdi.”