ABD Firmasına Yönelik 4 Aylık Siber Saldırı, Çinli Hackerlarla Bağlantılı Gelişmiş Bir Tehdidi Açığa Çıkardı
Yakın zamanda ortaya çıkarılan bir siber saldırı, Çin'den devlet destekli bilgisayar korsanlarına işaret eden kanıtlarla, büyük bir ABD örgütünü hedef alan oldukça karmaşık bir operasyonu gün yüzüne çıkardı. Broadcom'a ait Symantec'in bir raporunda ayrıntılı olarak açıklanan bu endişe verici saldırı, bu yıl en az dört ay sürdü, Nisan ayında ve muhtemelen daha erken başladı. Saldırının kapsamı ve yöntemleri, siber saldırganların gelişen stratejilerini ve dünya çapındaki kritik örgütlerin karşı karşıya olduğu riskleri vurguluyor.
İçindekiler
Gelişmiş Taktikler ve Araçlar Gelişmiş Tehditleri Vurguluyor
Symantec, ihlalin ilk işaretlerini 11 Nisan 2024'te tespit etti ve saldırının Ağustos ayına kadar devam ettiğini buldu. Bu süre zarfında saldırganlar, kurbanın ağında yatay olarak hareket ederek çok sayıda makineyi tehlikeye attı. Hedeflenen sistemlerden bazıları Microsoft Exchange Sunucularıydı; bu hareket, saldırganların hassas e-posta verilerine erişerek istihbarat toplamaya çalıştıklarını gösteriyor.
Kampanya sırasında konuşlandırılan sızdırma araçları, kurbanın altyapısından değerli bilgilerin çıkarıldığını daha da doğruluyor. Bilgisayar korsanları saldırılarını daha da ilerletmek için açık kaynaklı araçlar ve yerleşik Windows yardımcı programlarının bir kombinasyonunu kullandılar. FileZilla, Impacket ve PSCP gibi araçlar, kötü amaçlı komutları yürütmek ve meşru ağ etkinliğine karışmak için Windows Yönetim Araçları (WMI), PsExec ve PowerShell'den yararlanarak, yaşayan arazi teknikleriyle birlikte konuşlandırıldı.
Çin'in Rolü ve Siber Casusluk Tekniklerinin Kullanımı
Hedeflenen örgütün adı açıklanmasa da, Çin'deki önemli operasyonları, saldırganların Çin devlet destekli gruplarla bağlantılı olduğuna dair şüpheleri artırıyor. Siber saldırı, büyük ölçüde Çinli bilgisayar korsanlığı ekiplerinin ayırt edici taktiği olan DLL yan yüklemeye dayanıyordu. İhlalden elde edilen eserler, daha önce devlet destekli bir operasyon olan "Crimson Palace"da gözlemlenenlerle örtüşüyor. Ayrıca, bu örgüt daha önce 2023'te Daggerfly olarak bilinen, Bronze Highland, Evasive Panda ve StormBamboo olarak da bilinen bir grup tarafından hedef alınmıştı.
Siber Güvenlik İçin Daha Geniş Etkiler
Bu ihlal, Orange Cyberdefense'in ayrıntılı olarak analiz ettiği Çin'in siber saldırı ekosistemindeki daha geniş eğilimleri yansıtıyor. Çin'in devlet destekli operasyonları genellikle kamu ve özel kuruluşlar arasındaki çizgileri bulanıklaştırıyor, ileri düzey araştırmalar için üniversiteleri kullanıyor ve saldırıları gerçekleştirmek için yüklenicileri işe alıyor. Sahte şirketler sıklıkla Çin askeri veya istihbarat birimlerine bağlı kişiler tarafından şüphe uyandırmadan atıfları gizlemek, dijital altyapı tedarik etmek ve bilgisayar korsanlarını işe almak için kuruluyor.
Bu bulgular, Çin siber operasyonlarının kalıcı ve gelişmiş doğasını vurgulamaktadır. Bu ABD firmasını hedef alan kampanya, gelişen tehdit ortamının ve ulus-devlet düşmanlarından kritik varlıkları korumak için sağlam siber güvenlik savunmalarının öneminin çarpıcı bir hatırlatıcısı olarak hizmet etmektedir.