APT31/Zirconium

APT31, fikri mülkiyet hırsızlığına ve kötü amaçlı reklamcılığa odaklanan Gelişmiş Kalıcı Tehdit grubudur. Bu grup, farklı güvenlik kuruluşları tarafından Zirkonyum, Yargı Panda ve Bronz Asma Ağacı olarak da adlandırılmaktadır. Diğer APT gruplarının çoğunda olduğu gibi, APT31'in devlet destekli olabileceğine dair şüpheler var ve bu durumda şüpheli devlet Çin. 2020 yazında Google Tehdit Analizi Grubu, APT31'in Joe Biden'ın başkanlık kampanyasını kimlik avı e-postalarıyla hedeflediğini öne sürdü.

Son zamanlarda TAG, Çin APT grubunun Biden kampanya personelini ve İran APT'nin Trump kampanya personelini kimlik avıyla hedeflediğini gördü. Uzlaşma belirtisi yok. Kullanıcılara hükümet saldırı uyarımızı gönderdik ve federal yasa uygulayıcılarına başvurduk. https://t.co/ozlRL4SwhG

— Shane Huntley (@ShaneHuntley) 4 Haziran 2020

APT31'in Zorunlu Yönlendirme Süreci

2017'de APT31 en büyük kötü amaçlı reklam operasyonunu yürütüyordu. Grup en az 28 sahte reklam şirketi kurmuştu. Confiant'a göre, Zirkonyum yaklaşık 1 milyar reklam görüntülemesi satın aldı ve reklamdan para kazanılan tüm web sitelerinin %62'sine ulaşmayı başardı. Kullanılan ana saldırı vektörü APT31, zorunlu yönlendirmeydi. Zorla yönlendirme, bir web sitesinde gezinen biri, kullanıcı herhangi bir işlem yapmadan başka bir web sitesine yönlendirildiğinde gerçekleşir. Kullanıcının girdiği web sitesi genellikle bir dolandırıcılığın parçası olarak kullanılır veya kötü amaçlı yazılım bulaşmasına yol açar.

MyAdsBro ana sayfa ekran görüntüsü - kaynak: Confiant.com blogu

APT31, reklam platformlarıyla ilişkiler kurmak için sahte bir reklam ajansı olan Beginads'ı yarattı ve kullandı. Sonunda, Zirconium'un tüm sahte ajanslarının tüm kampanyalarına yönelik trafiği yönlendirmek için kullanacağı alan oldu. APT31, bir dizi gerçek reklam platformuyla meşru görünen ilişkilere sahip olduklarından emin olmak için çok çalıştı. Bu yaklaşım aynı zamanda şemaya bir miktar esneklik kazandırdı ve şüphe uyandırma olasılığını azalttı. APT31 ayrıca trafiği bağlı kuruluş pazarlama platformlarına yeniden sattı. Bu düzenleme, APT31'in açılış sayfalarını kendi başına çalıştırması gerekmediği anlamına geliyordu. Siber suçlular daha da ileri giderek kendilerinin işlettikleri bir bağlı kuruluş ağı oluşturdular. Ağın adı MyAdsBro'ydu. APT31, MyAdsBro aracılığıyla kendi kampanyalarını yürütürdü, ancak diğerleri de bir komisyon karşılığında trafiği MyAdsBro'ya yönlendirebilirdi.

Müşteri web paneli ekran görüntüsü - kaynak: Confiant.com blogu

Yönlendirmeler gerçekleştikten sonra, kullanıcılar en popüler taktiklerden bazılarını kullanarak enfeksiyonu etkinleştirmeye ikna edildi:

• Sahte Adobe Flash Player güncelleme açılır pencereleri
• Sahte antivirüs açılır pencereleri
• Teknik destek dolandırıcılığı
• Çeşitli korkutma mesajları

APT31, planlarını kurarken ve meşru görünmesini sağlarken çok ileri gitti. Sahte ajansların hepsinde çeşitli pazarlama materyalleri, sosyal medyada profilleri olan sahte memurlar ve hatta söz konusu medyada benzersiz içeriğe sahip gönderiler vardı. Zirkonyum'un seri üretim şirketlerinin çoğu 2017 baharında faaliyete geçti. 28 tanesinin tamamı kullanılmadı, çünkü 8 tanesi sosyal medyaya hiç başlamadı ve herhangi bir reklam faaliyetine dahil olmadı. Siber suçlunun çabaları açıkça başarılı oldu. APT31'in sahte ajansları, 16 gerçek reklam platformuyla doğrudan iş ilişkileri kurmayı başardı.

Aldıkları trafiğin yalnızca küçük bir kısmı gerçek bir yüke yönlendirildi. Tespit ve analizden kaçınmak için Zirkonyum kaçırma yöntemlerini kullandı. APT31, parmak izi adı verilen bir teknik kullandı. Siber suçluların, hedef kitlenin belirli bir bölümünü daha kesin olarak hedeflemek için potansiyel kurbanların sistemleri hakkında bilgi topladığı bir süreçtir. Siber suçluların parmak izi kullanırken amacı tespit edilmekten kaçınmaktır. Bu amaçla, komut dosyasının bir güvenlik tarayıcısına karşı çalışıp çalışmadığını belirlemek için tarayıcıda JavaScript'i kullanırlardı. Bir tarayıcının işaretleri algılanırsa, yük teslim edilmez. Parmak izi ile ilgili bir risk vardır. Komut dosyası, onu arayan herkes tarafından görülebilir ve bu, şüphe uyandırabilir, ancak parmak izi, yükün daha fazla sayıda dağıtımına izin verir.

APT31 Sinsi Taktiklerinden Yararlanıyor

Kullanıcı tarafında bir komut dosyası çalıştırmayı içermeyen algılamadan kaçınmanın başka yolları da vardır. Bir güvenlik araştırmacısı, tetiklenmedikçe bunları analiz edemeyeceğinden, sunucu tarafı mekanizmaların uygulanması daha güvenli olabilir. Bu tür bir yaklaşım, kullanıcının IP'sinin bir veri merkezi IP'si olup olmadığını kontrol etmektir. Tarayıcılar genellikle veri merkezi IP'lerini kullanır ve bu tür IP'leri algılamak, yükü dağıtmamanın açık bir işareti olacaktır.

APT31'in kötü amaçlı reklam operasyonunun etkileyici ölçeğine rağmen, güvenlik araştırmacıları hala ana odak noktalarını fikri mülkiyet hırsızlığı olarak tanımlıyor. Zirkonyum'un tüm operasyonlarının gerçek kapsamı, zarar verme potansiyelleri olduğu için hala bilinmemektedir.