Winnti, Barium veya Double Dragon olarak da bilinen hacker grubu APT41, 2019’dan bugüne Pekin adına büyük bir casusluk operasyonu gerçekleştirdi. Bilgisayar korsanlarının ayrıca video oyunu endüstrisini hedef alarak bazı ana akım oyunlara kötü amaçlı yazılım enjekte ettiği de biliniyor. Ağustos ayında, siber güvenlik firması Group-IB, grup tarafından yeni bir aktivite tespit etti, raporlar Çay hacker haberleri. En son saldırılarının 2021 yılında dünya çapında 13 kuruluşu etkilediği söyleniyor.
Birkaç sektörü etkileyen saldırılar
ABD, Çin, Hindistan, Vietnam ve Tayvan, kuruluşların APT41 siber saldırılarına hedef olduğu ülkeler arasında yer alıyor. Group-IB’ye göre sağlık, lojistik, eğitim, havacılık ve medya sektörleri etkilendi. Air India, özellikle Hindistan’ın Çin ile olan sınır anlaşmazlıklarından bir yıl sonra Haziran 2021’de ColumnTK kod adlı bir saldırıyla saldırıya uğradı. Diğer üç büyük saldırı dalgası tespit edildi: DelayLinkTK, Mute-Pond ve Gentle-Voice.
Siber saldırı: Binlerce Solana cüzdanı birkaç milyon dolara boşaltıldı
APT41 bilgisayar korsanları, saldırılarını gerçekleştirmek için iyi tanımlanmış yöntemlere sahiptir. Esas olarak kimlik avı kullanırlar ve hedeflenen sistemlerdeki güvenlik açıklarından yararlanırlar. Grup, kullanıcıları sık sık ziyaret ettikleri bir siteye bulaşmaları için kandırmaktan oluşan “su deliği” tipi saldırılar gerçekleştiriyor. Tedarik zincirine de saldırıyorlar, yani önce bir şirketin tedarikçilerine, ardından doğrudan ona saldırıyorlar.
Group-IB’ye göre, APT41’in metodolojisi olağandışıdır. Grup saldırılarının neredeyse fark edilmeden gitmesini sağlayan bir taktik kullanıyor. Bunu yapmak için bilgisayar korsanları, veritabanlarından yararlanmak için kullanılan bir bilgisayar dili olan SQL sorgularını hedeflenen alan adlarına enjekte eder. Bu şekilde kurbanların ağlarına sızarlar ve radarın altında kalmak için küçük parçalar halinde Kobalt Strike adı verilen bir beacon yayınlarlar. Kötü amaçlı kodu tanıtacak ve yürütecek olan bu etikettir.
Aktif olarak aranan bir hacker grubu
Group-IB, 2020 ile 2021’in sonu arasında bu Kobalt Strike beacon’larının kaynağında 106 benzersiz sunucu belirlediğini açıklıyor. Bu sunucular, saldırıları komuta etmek ve kontrol etmek için kullanılıyor. ” Geçmişte bu araç, bankaları hedef alan siber suç çeteleri tarafından tercih edilirken, günümüzde kötü şöhretli fidye yazılımı operatörleri de dahil olmak üzere, motivasyonları ne olursa olsun çeşitli siber suçlu tehdit aktörleri arasında popülerdir. “, ayrıntılı olarak Group-IB analisti Nikita Rostovtsev.
Saldırıların kaynağını doğrulamak için Groupe-IB, saldırıların sabah 9 ile akşam 7 arasında gerçekleştiğini belirleyebildi. Saldırıların arkasında olduğundan şüphelenilen Malezya, Singapur, Rusya’nın bir bölümü ve tabii ki Çin gibi ülkelerden gelen bilgisayar korsanlarının faaliyet dönemine karşılık gelen saat dilimi.
Hacker grubunun bazı üyeleri ABD makamları tarafından biliniyor ve Amerika Birleşik Devletleri’nde birkaç saldırı gerçekleştirmek için aktif olarak aranıyor. Bu vesileyle, bilgisayar korsanlarından biri açıkça Çin Devlet Güvenlik Bakanlığı’na bağlı olmakla övünerek Amerikan yetkililerinin şüphelerini güçlendirdi.
