Çinli Hackerların Yeni Hedefleri Uydu, Mekansal Görüntüleme ve Savunma Şirketleri

Çin ile bağlantılı fakat Çin dışında faaliyet gösterdiğine inanılan bir siber-casusluk grubu, hem Amerika Birleşik Devletleri hem de Güneydoğu Asya’daki uydu haberleşmesi, jeo-uzamsal görüntüleme ve savunma şirketlerine saldırılarda bulundu.

Saldırganların yapmış oldukları saldırılar ABD’li siber güvenlik firması Symantec tarafından tespit edildi ve raporlandı. Yayınlanan raporda, saldırganların ihlal edilen şirketlerin daha çok operasyonel taraflarına özel ilgi gösterdikleri bildirildi.

Korsanların, iletişim uydularını kontrol etmek için kullanılan bilgisayar sistemlerine ve dünya haritalama uyduları tarafından toplanan jeo-uzamsal verilerle çalışan bilgisayarlara zararlı yazılım bulaşmaya çalışarak buradan uydunun kontrolünü ele geçirmeye çalıştıkları ve ya jeo-uzamsal değiştirerek coğrafi verileri sabote edebileceği tespit edildi.

Symantec raporunda “Bu, grupun güdülerinin casusluğun ötesine geçtiğini ve hizmet kesintisini de içerebileceğini gösteriyor” dedi.

Hacklerin arkasındaki APT

Symantec, 2013 yılından bu yana bu grubu izlediğini ve tarihsel olarak grubun Çin ile bağlantılı fakat Çin dışında faaliyet gösterdiğini söylüyor.

Saldırılardan sorumlu olarak Thrip adında bir APT (APT; “gelişmiş sürekli tehdit” veya “hedef odaklı saldırı” olarak iki farklı şekilde duyulabilen özel bir saldırı türü) olduğu görüldü.

Uzmanlar yapılan son saldırıların tespit edilmesinin zor olduğunu belirttiyorlar. Çünkü, hackerlar, kötü amaçlı işlemleri gerçekleştirmek için “living off the land” olarak bilinen kötü amaçlı işlemleri yürütmek için işletim sisteminde zaten mevcut olan yerel araçların da kullanılmasından oluşan bir teknik kullandılar.

Symantec, “living off the land” amacı iki yönlü olarak açıkladı. “İlk olarak bu tür özellikleri ve araçları kullanarak saldırganlar kurbanın ağına uyum sağlamayı ve faaliyetlerini meşru süreçler zemininde gizlemeyi umuyorlar. İkinci olarak, bu araçları içeren kötü niyetli faaliyetler tespit edilse bile, olayın saldırılarla bağdaştırılması zordur.”

Symantec’e göre, bilgisayar korsanları bilgisayarlarda yerel olarak kurulu ve tamamen yasal olan aşağıdaki araçları kullandılar.

PsExec: Diğer sistemlerde işlemleri yürütmek için Microsoft Sysinternals aracı. Araç öncelikle saldırganların kurbanın ağına doğru hareket etmeleri için kullanıldı.
PowerShell: Payloadları indirmek, çakışan ağları geçmek ve keşif yapıp komutları çalıştırmak için kullanılan Microsoft komut dosyası aracı.
Mimikatz: Ayrıcalıkları değiştirebilen, güvenlik sertifikaları veren ve Windows şifrelerini düz metin olarak düzelten serbestçe kullanılabilen bir araç.
WinSCP: Açık kaynaklı FTP istemcisi, hedeflenen kuruluşlardan verileri almak için kullanılır.
LogMeIn: Bulut tabanlı uzaktan erişim yazılımı. Saldırganların mağdurun LogMeIn hesaplarına yetkisiz erişim kazanıp kazanmadığı veya kendi oluşturup oluşturmadıkları belirsizdir.

Özel hazırlanmış kötü amaçlı yazılım yüklemek için:

Trojan.Rikamanu: Kimlik bilgileri ve sistem bilgileri dahil olmak üzere, virüslü bir bilgisayardan bilgi çalmak üzere tasarlanmış özel bir Truva atı.
Infostealer.Catchamas: Rikamanu’ya dayanarak, bu kötü amaçlı yazılım tespit edilmesini önlemek için tasarlanmış ek özellikler içerir. Ayrıca, orijinal Trojan.Rikamanu zararlı yazılımının oluşturulmasından bu yana ortaya çıkan yeni uygulamalardan (yeni veya güncellenmiş web tarayıcıları gibi) bilgi yakalama yeteneği gibi bir dizi yeni özellik de içerir.
Trojan.Mycicil: Çinli yeraltı hackerlar tarafından yaratıldığı bilinen bir keylogger. Halka açık olmasına rağmen, sık görülmemektedir.
Backdoor.Spedear: Bu yeni saldırı dalgasında görülmese de, Spedear diğer kampanyalarda Thrip tarafından kullanılan bir Backdoor Trojan.
Trojan.Syndicasec: Önceki kampanyalarda Thrip tarafından kullanılan bir başka Trojan.

Saldırıların Ocak 2018’den beri gerçekleştiği tespit edildi

Symantec, bu saldırılarıların ancak yapay zekalarından birinin (makine öğrenmesi temelli bir yöntemde) meşru bir aracın şüpheli bir şekilde kullanılmasıyla ilgili bir uyarı tetiklemesinden sonra tespit edildiğini söylüyor.

Uzmanlar, tespit ettikleri ilk uyarıyı diğer olay belirtilerini ortaya çıkarmak için kullandıklarını ve daha sonra endüstri sektöründeki şirketleri hedef alan daha geniş bir operasyonu ortaya çıkarmak için bir kullandıklarını açıkladılar.

Ocak ayında da bu siber operasyonun ortaya çıkardığını, ancak Thrip saldırısının şirketin bildirdiğinden çok daha büyük olabileceğini söyledi.