Çinli Hacking Grubu Global Saldırıları Başlattı | VPNoverview.com

Fox-IT adı verilen Hollandalı bir güvenlik şirketi bugün Çin siber casusluğu konusundaki araştırmalarını takiben bir rapor yayınladı. Son iki yılda dünya çapında düzinelerce şirketin ve devlet kurumunun bilgisayar sistemleri saldırıya uğradı. Hollandalılar, bir Çin hack grubunun saldırıların arkasında olduğu konusunda yüksek bir kesinlik ile sonuçlandı.


Küresel Siber Casusluk Kampanyası Keşfedildi

“Wocao Operasyonu” (in 操, “Wǒ cāo” Çince, “bok” veya “lanet” argo) adlı soruşturma neredeyse iki yıllık bir süre içinde gerçekleşti. Hollandalı güvenlik araştırmacıları, APT20 adlı gölgeli bir Çin hack grubundaki tüm kanıtların büyük olasılıkla Çin hükümetinin çıkarları doğrultusunda çalıştığını söylüyor.

Fox-IT, 2018 yazında grubun bilgisayar korsanlığı kampanyasını keşfetti ve müşterilerinden biri için güvenliği ihlal edilmiş bilgisayar sistemlerinin bir analizini gerçekleştirdi. İzi takip edebildiler ve aynı grup tarafından gerçekleştirilen onlarca benzer saldırıyı ortaya çıkardılar.

Uzun bir raporda Hollandalılar, “Açıkladığımız aktör hakkında çok az şey biliniyor veya yayınlanıyor, ancak bu aktöre kendi takma adımızı vermek yerine endüstri ortaklarına ulaşmayı seçtik. Bu, bu raporda daha önce yayınlanmamış bazı teknik ve araçları, orta güvenle, APT20 olarak bilinen bir Çinli tehdit aktörüne atfetmemize yardımcı oldu. Bu aktörün gözlemlenen kurbanlarına dayanarak, bu tehdit aktörünün muhtemelen Çin hükümetinin çıkarına çalıştığını değerlendiriyoruz. ”

Amaç Para Değil, Bilgi

Bilgisayar korsanları para çalmaz veya fidye yazılımı yüklemez. Tamamen iş dünyasına duyarlı bilgi ve bilgi arıyorlar, özellikle Çin hükümetinin ilgileneceği bir şey.

Saldırganların son birkaç yılda ne kadar veri toplamayı başardıkları kesin olarak tespit edilemez. Bilinen şey, 2009 ve 2014 yılları arasında APT20’nin (Keman Panda ve th3bug olarak da bilinir) üniversiteleri, orduyu, sağlık kuruluşlarını ve telekomünikasyon şirketlerini hedef alan saldırı kampanyalarıyla ilişkilendirilmiş olmasıdır..

Fox-IT’ye göre, Çin hack grubu birkaç yıl uykuda kaldı. Bununla birlikte, yakın zamanda yeniden canlandı ve sessizce şirketleri ve devlet kurumlarını hedefliyor.

Kullanılan Bazı Yeni Teknikler

Rapor, Hollandalı güvenlik araştırmacılarının APT20’nin kullandığı tekniklere genel bir bakış sunuyor. İlk erişim noktası genellikle güvenlik açığı bulunan veya güvenliği ihlal edilmiş bir web sunucusudur. İçeri girdikten sonra bilgisayar korsanları, iyi bilinen yöntemleri kullanarak ağ içinde hareket ederler. Sonunda, kurbanın ağına kurumsal VPN üzerinden erişmek için çalıntı kimlik bilgilerini kullanabilirler.

Bir durumda, bilgisayar korsanı grubu bu tür saldırıları önlemeyi amaçlayan iki faktörlü bir kimlik doğrulamasını atlatmayı bile başardı. Bunu yapmak için, bilgisayar korsanları, şirketin VPN sunucusuna bağlanmak ve kendilerine giriş yapma izni vermek için 2 faktör kodunu almak için bir teknik geliştirdi. Diğer özel yapım araçlar da keşfedildi.

Ardından, bilgisayar korsanları, bilgileri manuel olarak tanımlamak ve toplamak için ağa daha fazla sızmak için birkaç arka kapı ve açık kaynak aracı kullandı. Verileri indirdikten sonra, derin bir adli soruşturmayı engellemek için tüm izler silindi ve arka kapı kapatıldı..

Dünyada Çok Sayıda Kurban

Fox-IT kurbanların adlarından bahsetmek istemiyor. Ancak Hollandalılar APT20’nin aktif olduğu sektörlerin bir listesini verdiler.

Mağdurlar arasında havacılık şirketleri, inşaat şirketleri, enerji sektörü, finans kurumları, sağlık kuruluşları, deniz mühendisliği şirketleri, yazılım geliştiricileri ve nakliye şirketleri bulunmaktadır..

Etkilenen ülkeler arasında Brezilya, Çin, Fransa, Almanya, İtalya, Meksika, Portekiz, İspanya, ABD ve İngiltere bulunmaktadır..

Çin Hacking Grubunun Yaptığı Birkaç Hata

Casusluk çalışmaları sırasında, bilgisayar korsanları “parmak izlerini” geride bırakarak birkaç hata yaptılar.

Örneğin,

  • Bilgisayar korsanlarının Çince dil ayarlı bir tarayıcı çalıştırdığını belirten bazı sızıntı dil ayarları vardı.
  • Kiralanan bir sunucuyu kaydederken, bilgisayar korsanları var olmayan bir ABD adresi sağladı, ancak yanlışlıkla Louisiana eyaletinin adını Çince karakterlerle yazdı.
  • Bir noktada, bilgisayar korsanları yalnızca bir Çin forumunda bulunabilecek bir kod kullandılar.

Bir süre sonra, Hollandalı güvenlik araştırmacıları da hackerların Çin çalışma saatlerine sıkı sıkıya bağlı kaldığını fark etmeye başladı..

Fox-IT’nin “Wocao Operasyonu” soruşturmasının adı, bilgisayar korsanları tarafından silinen web kabuklarına erişmek için sinirli bir girişimde bulunan komutlardan biriydi..

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map