Çinli tehdit aktörleri, çok sayıda uç cihaza karşı yıllarca süren deneme yanılma tarzı saldırılar sayesinde bugün her zamankinden daha yüksek bir düzeyde faaliyet gösteriyor.
Ağ cihazları, Çin’in gelişmiş kalıcı tehditlerinin (APT) bilinen bir favorisidir ve neden olmasınlar? Bir kurumsal ağın dış kıyılarında yer alarak, yalnızca tehdit aktörlerinin içeri girmesine izin vermekle kalmaz, aynı zamanda onları ikiye katlarlar. botnet’ler için faydalı düğümler. Yanal hareket için fırsatlar sunarlar, genellikle hassas verileri depolarlar ve ağ savunucuları, diğer türdeki ağ bilgisayarlarına göre bunları görmekte ve güvence altına almakta daha zorlanırlar.
Zaman içinde Çin APT’leri uç saldırı yeteneklerini geliştiriyor. Sophos, 2018’den bu yana taktiklerde belirgin bir evrimin izini sürdü: saf, düşük seviyeli saldırılardan çok sayıda cihaza yönelik daha karmaşık saldırılar geldi ve bunu belirli kuruluşlara yönelik daha hedefli saldırılar izledi.
Uzun Siber Savaşta İlk Salvo
4 Aralık 2018’de Sophos analistleri, Sophos’un Hindistan merkezli bir yan kuruluşu olan Cyberoam’a karşı ağ taramaları yapan şüpheli bir cihaz keşfetti. Bazı yönlerden saldırı, ticari amaçlı kötü amaçlı yazılımlar ve yaygın arazide yaşama (LotL) taktikleri kullanılarak sıradan bir şekilde gerçekleştirildi.
Ancak diğer kanıtlar bunun farklı bir şey olduğunu gösteriyordu. Örneğin saldırgan, Amazon Web Services Systems Manager’a (AWS SM) aşırı izin veren bir kimlik ve erişim yönetimi (IAM) yapılandırması aracılığıyla şirket içi cihazlardan buluta geçmek için yeni bir teknik kullandı.
Sophos’un bilgi güvenliği sorumlusu (CISO) Ross McKerchar, “AWS SM oldukça yeni bir teknolojiydi ve oldukça incelikli bir yanlış yapılandırmaydı” diye anımsıyor. “Bu, ilginç bir rakiple karşı karşıya olduğumuzun ilk göstergelerinden biriydi.”
Daha sonra saldırganlar, adı verilen yeni bir rootkit’i konuşlandırdı. Bulut Meraklısı. Cloud Snooper o kadar gizliydi ki, Sophos sonunda varlığını fark edene kadar iki üçüncü taraf danışmanlık, analizlerinde bunu gözden kaçırdı.
Görünüşe göre saldırının amacı, uç cihazlara yönelik gelecekteki saldırılar için yararlı bilgiler toplamaktı. Bu olacakların habercisiydi.
Çin TTP’lerinde Beş Yıllık Gelişim
Saldırganların uç cihazları toplu olarak tanımlamaya ve ihlal etmeye odaklanmasıyla Çin siber tehditleri yaklaşık 2020’den 2022’ye kadar arttı.
İnternete bakan portalları olan çok sayıda cihaz sayesinde işe yaradı. Tipik olarak bu arayüzler dahili kullanım için tasarlanmıştır. Ancak COVID-19 ile birlikte giderek daha fazla şirket, çalışanlarının açık Web’den bağlantı kurmasına izin veriyor. Bu, doğru türde kimlik bilgilerine veya güvenlik açıklarına sahip bilgisayar korsanlarının içeri girebilmesi için bir pencere sağladı.
Bu aynı zamanda, Temmuz 2021’de, Çin Siber Uzay İdaresi’nin Ağ Ürün Güvenliği Güvenlik Açığı Bilgilerinin Yönetimine İlişkin Yönetmelik kurallarını kabul etmesine de yardımcı oldu. Bu zorunluluklar, siber güvenlik araştırmacılarını, güvenlik açıklarını diğer taraflara açıklamadan önce ülkenin Sanayi ve Bilgi Teknolojileri Bakanlığı’na (MIIT) bildirmeye zorladı. McKerchar, “Bu, özel vatandaşlar da dahil olmak üzere tüm ülkeyi ÇHC hedefleri için varlık haline getirmek üzere tasarlandı” diyor. Sophos, orta derecede bir güvenle, bu dönemdeki iki önemli kampanyanın, Çin’in Chengdu şehrindeki üniversitelerdeki araştırmacılar tarafından sorumlu bir şekilde açıklanan güvenlik açıkları tarafından kolaylaştırıldığını savunuyor.
Çinli APT’ler yalnızca geldikleri şirketlere saldırmak için ele geçirilen cihazları kullanmakla ilgilenmiyordu. Değişen başarı dereceleriyle, genellikle cihazları daha geniş kapsamlı bir şekilde birleştirmeye çalışırlardı. operasyonel röle kutusu ağları (ORB’ler). Bu ORB’ler, üst düzey tehdit aktörlerine, daha gelişmiş saldırılar başlatabilecekleri ve kökenlerine dair her türlü izi gizleyebilecekleri daha karmaşık bir altyapı sundu.
Şimdi Neler Oluyor
Bu gürültülü dönemden sonra, 2022’nin ortalarında Çin APT’leri bir kez daha değişti. O günden bu yana, yüksek değere sahip kuruluşlara (devlet kurumları, askeri yükleniciler, araştırma ve geliştirme firmaları, kritik altyapı sağlayıcıları ve benzerleri) karşı çok daha kasıtlı ve hedefli saldırılara odaklandılar.
Bu saldırılar, bilinen ve sıfır gün güvenlik açıklarını, kullanıcı ve kullanıcı bilgilerini içeren tek bir modeli izlemez. UEFI önyükleme kitlerive aktif, uygulamalı klavye tipi saldırılarla eşleşen diğer öğeler. Ancak, yıllar süren deneme yanılmalar olmasaydı, neredeyse kesinlikle oldukları kadar karmaşık olmayacaklardı. Bunun kanıtı, bu tehdit aktörlerinin siber güvenlik savunmalarını aşmada ne kadar etkili olduğudur. Son yıllarda, savunmasız cihazlara yönelik düzeltmeleri sabote etme ve faaliyetlerine ilişkin kanıtların Sophos analistlerine ulaşmasını engelleme yeteneklerini gösterdiler.
McKerchar, “Ortaya çıkardığımız faaliyette daha gizli ve daha gizli bir ısrara doğru ilerlemenin açık bir eğrisi var” diyor.
Şöyle açıklıyor: “İlk kötü amaçlı yazılım, cihazlarımız için özel olarak tasarlanmış olmasına rağmen aslında saklanmaya çalışmıyordu. Sadece kimsenin bakmamasını bekliyordu. İkinci saldırı dalgasında oldukça hızlı bir şekilde birçok ders aldılar. Kötü amaçlı yazılım açıkça saklanmaya çalışmıyordu, sadece daha küçüktü ve doğal olarak biraz daha fazla karışabiliyordu. Ardından daha ilginç taktikler ortaya çıkarmaya başladılar: Trojan sınıfı dosyalar, bellekte yerleşik kötü amaçlı yazılımlar, rootkit’ler, bootkit’ler. “
Sözlerini şöyle bitiriyor: “Sırada ne olacağına dair spekülasyon yapmak zor olurdu, ancak [that] yeniden gelişmeye başlayacaklar.”
