Yeni açıklanan bir tehdit aktörü, dört yıldan fazla bir süredir Asya ve Afrika’daki cep telefonlarını gözetliyor.
19 Kasım’da CrowdStrike’ın düşmanla mücadele operasyonlarından sorumlu kıdemli başkan yardımcısı Adam Meyers, ABD Senatosu Gizlilik, Teknoloji ve Hukuk Yargı Alt Komitesi önünde şu konuyla ilgili ifade verdi: Çin’in kritik altyapıya yönelik siber tehditleri. Bu süreçte açıkladı Sınır Pandasıtelekomünikasyon ağlarından istihbarat toplamaya aşırı odaklanmış gelişmiş bir kalıcı tehdit (APT).
2020’den beriLiminal Panda, coğrafi bölgelerdeki telekomünikasyon şirketlerine sızmak ve bunlar arasında geçiş yapmak için ağ tabanlı saldırılar kullanıyor; SMS mesajlarını, benzersiz tanımlayıcıları ve cep telefonlarıyla ilişkili Çin devletine siyasi veya ekonomik fayda sağlayabilecek diğer meta verileri topluyor.
Sınır Panda’nın MO’su
Amaç telekomünikasyon kanalları üzerinden iletilen verileri elde etmek olsa da, tipik bir Liminal Panda saldırısı herhangi bir normal ağ ihlaline çok benzeyebilir.
Meyers, “Cep telefonunuzun, baz istasyonu denetleyicisi adı verilen bir kuleyle konuşan bir radyosu var. Ve bunlar genellikle internet tipi protokollerle, yani ağ teknolojisiyle birbirine bağlanıyor.” diye açıkladı. Bazı saldırganların odaklanabileceği yerler kuleler ve bunların iletimleriLiminal Panda, sistemin temelini oluşturan BT ağ altyapısını hedefliyor. “Telekomünikasyon ağ geçidinden girecekler ve içeride birçok geleneksel BT sistemi olacak.”
Bir telekomünikasyon ağına girdikten sonra – çoğunlukla personel eski eski sistemler — Liminal Panda, büyük gruplara veya bireysel hedeflere ilişkin çağrı ve metin kayıtlarını ve diğer hassas tanımlayıcı verileri toplamak için araçlara sahiptir. “Mobil cihazınızdan bir kısa mesaj gönderdiğinizde, bu mesaj SMS yoluyla kuleye gider ve bu mesaj telekomünikasyon şirketinin çekirdeğine geri iletilir. Yönlendirme kararları alınır ve ardından bir sonraki hedefe gider” diyor. Liminal Panda kötü amaçlı yazılımı bu ara adımda harekete geçer.
Bu bilgilerin sızmasını kolaylaştırmak için grubun komuta ve kontrol (C2) kurulumu, Küresel Mobil İletişim Sistemini (GSM) taklit ediyor. GSM, arama, mesajlaşma ve mobil veri kullanımını sağlayan bir mobil iletişim standardı olup, 193’ten fazla ülkede kullanılan, dünyada en yaygın olan standarttır.
Telekomünikasyon Şirketleri Arasında Geçiş
Belirli telekomünikasyon şirketlerine saldırmanın yanı sıra, Liminal Panda’nın bunların arasında zıpladığı da gözlemlendi.
Meyers, “Ülkenin bir bölgesinden diğerine gittiğinizde veya bir ülkeden diğerine gittiğinizde, birlikte çalışabilirliğe sahip olmanız gerekir. Ve bunun gerçekleşmesini sağlayacak çok sayıda altyapı var” dedi. Sorun şu ki: Telekomünikasyon sağlayıcıları arasındaki açık iletişim hatları ve bunların uzun mesafelerdeki altyapıları da silah haline getirilebilir. “Var Çin’den çok sayıda tehdit aktörü Telekomünikasyon altyapısının nasıl çalıştığını gerçekten anlayanlar. Her şeyin birbiriyle nasıl bağlantılı olduğunu anlıyorlar ve sağlayıcılar arasında gidip gelmek için bunu kötüye kullanabiliyorlar.”
Liminal Panda, sektöre özel protokolleri anlamasına yardımcı olsa da sağlayıcılar arasında yalnızca Alan Adı Sisteminin (DNS) kötüye kullanılması. Bir kampanyanın sonunda grup, sağlayıcılar arasında seyahat etmek için sıklıkla birden fazla yedek rota oluşturmuştur.
Çin’in Nihai Hedefleri
Baskıcı hükümetler uzun süredir telekomünikasyon ihlallerini yabancı yetkilileri, iç siyasi muhalifleri, gazetecileri ve akademisyenleri gözetlemek için kullanıyor. “Bu grupların tümü telekomünikasyon şirketlerinin toplu tahsilat gerçekleştirmesini hedefliyor çünkü bu onlara daha sonra [hone in on] Meyers, bir bireyin kime mesaj attığını, kimi aradığını, kiminle birlikte olduğunu görün” diye açıkladı.
CrowdStrike’ın oldukça düşük bir güvenle değerlendirdiği gibi, Liminal Panda gerçekten Çin adına çalışıyorsa, bu tür bir casusluğun aynı zamanda ikili bir ekonomik faydası da olabilir. Senato’daki ifadesinde Meyers, Kuşak ve Yol Girişimi, Çin Yapımı 2025, 2035 Vizyonu, Küresel Çin 2049 ve ülkenin düzenli Beş Yıllık Planları gibi büyük ulusal projelerin ekonomik casusluğa nasıl ivme kazandırdığını vurguladı.
“Eğer o bölgede bir anlaşma yapıyorsanız kiminle görüştüğünüzü bilmek istiyorum. Anlaşmayla ilgili kısa mesaj gönderiyorsanız bu bilgiyi toplayabilirim” diyor. “Ya da benim için politik açıdan sorunlu olan biriyle buluşuyorsanız onları engelleyebilirim.”
