Salt Typhoon olarak bilinen Çinli tehdit aktörü, birkaç yıldır bazı yüksek değerli hükümet ve telekomünikasyon kuruluşlarını gözetliyor ve yakın zamanda GhostSpider adı verilen yeni arka kapı kötü amaçlı yazılımını piyasaya sürüyor.
Tuz Tayfunu (diğer adıyla Dünya EtrileriFamousSparrow, GhostEmperor ve UNC2286), Halk Cumhuriyeti’nin en ileri düzey kalıcı tehditleri (APT) arasındadır. İçinde 2023 yılına kadar uzanan bir kampanya20’den fazla organizasyonu tehlikeye attı. Bu kuruluşlar genellikle dünyanın her köşesinden gelen en üst düzey kuruluşlardır ve ihlalleri bazı durumlarda yıllarca fark edilmeden kalmıştır. Son zamanlarda hedeflemeyle biliniyor T-Mobile USA dahil ABD telekom şirketleriVe Kuzey Amerika’daki İSS’ler.
Salt Typhoon’un Kötü Amaçlı Yazılım Cephaneliği
Firmanın yeni bir analizine göre, Trend Micro’nun Earth Estries adını verdiği APT, hedeflenen bir ağa erişim sayesinde sürekli olarak oluşturduğu çeşitli ve güçlü yüklerden herhangi birini dağıtabiliyor.
Güneydoğu Asya hükümetlerinin Linux sunucularına karşı kullanılan platformlar arası bir araç olan Masol RAT ve modüler SnappyBee (diğer adıyla Deed RAT) var. Trend Micro’nun tehdit istihbaratından sorumlu başkan yardımcısı Jon Clay’e göre yeni keşfedilen GhostSpider, herhangi bir saldırı senaryosuna göre ayarlanabilen son derece modüler bir arka kapıdır.
“Yani, belirli bir şeyi yapmak için belirli bir modülü hayata geçirebiliyorum ve bu yalnızca tek bir şeyi yapıyor ve sonra başka bir şeye ihtiyacım olursa başka bir modülü hayata geçiriyorum. Ve bu, savunucuların ve araştırmacıların tanımlamasını çok daha zorlaştırıyor. nedir,” diyor Clay, çünkü GhostSpider’ın bir örneği diğerinden tamamen farklı görünebilir.
Grubun arka kapılarının yanı sıra Demodex adında bir rootkit’i de var ve Trend Micro, grubun bunu kullanmış olabileceğini bile tahmin ediyor Inc. fidye yazılımı bazı operasyonlarında.
Salt Typhoon’un kötü amaçlı yazılımlarının çeşitliliği, çalışma şeklinin doğasıyla bağlantılı olabilir. Araştırmacılara göre bu, farklı, uzmanlaşmış ekiplerden oluşan yapılandırılmış bir organizasyondur. Örneğin çeşitli arka kapıları farklı “altyapı ekipleri” tarafından yönetiliyor. Farklı saldırılarda kullanılan taktikler, teknikler ve prosedürler (TTP’ler), farklı coğrafi bölgelere ve endüstrilere odaklanan benzersiz ekipler nedeniyle önemli ölçüde farklılık gösterebilir; bu, Çin APT’sini tespit etmenin yıllar içinde bu kadar zor olmasının bir başka nedenidir. “Çok sofistikeler [at] Clay, erişim kazanmak, erişimi sürdürmek, kalıcılığı sürdürmek ve hiçbir zaman orada değilmiş gibi görünmelerini sağlayacak bir şey yaptıklarında izlerini silmek, ” diyor.
Estries Nasıl Giriş Kazanır?
Dünya Estrileri hükümetlere karşı uzun vadeli casusluk saldırıları düzenlemek ve 2020’den bu yana diğer hedefler. Ancak 2022’nin ortalarında bir değişiklik oldu.
Clay, “Geçmişte çalışanlara yönelik çok sayıda kimlik avı yapıyorlardı” diye anımsıyor. “Artık internete bakan cihazları n günlük güvenlik açıklarını kullanarak hedef alıyorlar ve açık bağlantı noktalarını buluyorlar [or] erişim kazanmak için yararlanabilecekleri çalışan protokoller veya uygulamalar.”
“N gün”, kuruluşların henüz düzeltme şansı bulamamış olabileceği, yakın zamanda açıklanan hataları ifade eder. Grubun favori güvenlik açıkları tehlikeliydi (ancak artık iyice belgelendi):
-
SQL enjeksiyon hatası CVE-2024-48788Fortinet Kurumsal Yönetim Sunucusunu (EMS) etkileyen
-
CVE-2022-3236, Sophos Güvenlik Duvarlarında bir kod ekleme sorunu
-
Dört Microsoft Exchange güvenlik açığı ProxyOturum Açma
Clay, “Ve bunu genel olarak görüyoruz” diyor. “Elbette, e-postalar hâlâ kuruluşlara erişim sağlamanın önemli bir yolu, ancak eskiden bu oran %80’in üzerindeydi [of cases]. Sanırım artık kimlik avı kampanyasıyla başlayan bu saldırıların çok daha küçük bir yüzdesine bakıyorsunuz.”
Çin Adası Hükümetin Siber Saldırı Kurbanlarına Atlıyor
Salt Typhoon genellikle hedefinin ağındaki güvenlik açıklarından doğrudan yararlanmaz. Bunun yerine daha düşünceli bir yaklaşımı tercih ediyor.
2023’ten bu yana kurbanlar en az dört kıtaya yayıldı – Afganistan, Hindistan, Esvatini ve ABD gibi çok çeşitli ülkelerden – en büyük yoğunluk Güneydoğu Asya’da. Bu kuruluşlar telekomünikasyon, teknoloji, danışmanlık, kimya, ulaştırma ve kar amacı gütmeyen sektörlerden gelmekte olup, özellikle devlet kurumlarına ağırlık verilmektedir.
Ancak bu kuruluşların tümü bilgisayar korsanlarının nihai hedefi olmayabilir. Örneğin bir sivil toplum kuruluşu (STK), çalınmaya değer ilginç verileri barındırabilir veya daha önemli bir devlet kurumuna saldırmak için gizli bir sıçrama tahtası sağlayabilir. Örneğin 2023’te araştırmacılar, Salt Typhoon’un ABD hükümeti ve ordusuyla çalışan danışmanlık firmaları ve STK’ları tehlikeye attığını ve ikincisini daha hızlı ve etkili bir şekilde ihlal etmeyi amaçladığını gözlemledi.