BANGKOK — Muhtemelen devlet destekli olan ve daha önce ABD eyalet hükümetinin bilgisayarlarına yönelik saldırılarla bağlantılı olan Çinli bir bilgisayar korsanlığı grubu hâlâ “oldukça aktif” ve Çin hükümeti ve güvenliği için stratejik çıkarları olabilecek çok çeşitli hedeflere odaklanıyor. Özel bir Amerikan siber güvenlik firması Perşembe günü yeni bir raporda.
Raporun RedGolf olarak adlandırdığı bilgisayar korsanlığı grubu, APT41 ve BARIUM adları altında diğer güvenlik şirketleri tarafından izlenen gruplarla o kadar yakın örtüşüyor ki, bunların ya aynı ya da çok yakından bağlantılı olduğunun düşünüldüğünü söyleyen Strateji ve Kalıcılık Direktörü Jon Condra, Massachusetts merkezli siber güvenlik şirketi Recorded Future’ın tehdit araştırma bölümü olan Insikt Group için tehditler.
APT41 ve BARIUM faaliyetleriyle ilgili önceki raporları takip eden ve saldırıya uğrayan hedefleri izleyen Insikt Group, son iki yılda “RedGolf tarafından büyük olasılıkla birden çok kampanyada kullanılan” bir alan ve altyapı kümesi belirlediğini söyledi.
Associated Press’ten gelen sorulara e-postayla yanıt veren Condra, “Daha önce bildirilen siber casusluk kampanyalarıyla örtüşmesi nedeniyle bu faaliyetin mali kazançtan ziyade istihbarat amacıyla yürütüldüğüne inanıyoruz” dedi.
Çin Dışişleri Bakanlığı suçlamaları reddederek, “Bu şirket geçmişte birden fazla sözde ‘Çin hacker saldırıları’ hakkında yanlış bilgi üretti. İlgili eylemleri asılsız suçlamalardır, zorlamadır ve profesyonellikten yoksundur.”
Çinli yetkililer, Çin’in kendisinin siber saldırıların ana hedefi olduğunu söylemek yerine, devlet destekli bilgisayar korsanlığının herhangi bir biçimini sürekli olarak reddetti.
APT41, Çinli bilgisayar korsanlarını sosyal medya ve video oyun şirketleri, üniversiteler ve telekomünikasyon sağlayıcıları dahil olmak üzere ABD’de ve yurtdışında 100’den fazla şirket ve kurumu hedef almakla suçlayan 2020 ABD Adalet Bakanlığı iddianamesinde yer aldı.
Insikt Group yaptığı analizde, RedGolf’un “havacılık, otomotiv, eğitim, hükümet, medya, bilgi teknolojisi ve dini kuruluşları hedef alarak” çok çeşitli ülke ve endüstrilerde “oldukça aktif olmaya devam ettiğine” dair kanıtlar bulduğunu söyledi.
Insikt Group, RedGolf’ün belirli kurbanlarını tanımlamadı, ancak APT41 tarafından da kullanılan KEYPLUG arka kapı kötü amaçlı yazılımının bir sürümüyle farklı sektörleri hedef alan tarama ve istismar girişimlerini izleyebildiğini söyledi.
Insikt, KEYPLUG’a ek olarak RedGolf tarafından kullanılan ve “hepsi Çin devlet destekli birçok tehdit grubu tarafından yaygın olarak kullanılan” birkaç başka kötü amaçlı araç tespit ettiğini söyledi.
2022’de siber güvenlik firması Mandiant, yine KEYPLUG kullanan en az altı ABD eyalet hükümetinin ağlarının ihlal edilmesinden APT41’in sorumlu olduğunu bildirdi.
Bu durumda, şu anda Google’ın sahibi olduğu Mandiant’a göre APT41, 18 eyalet tarafından hayvan sağlığı yönetimi için kullanılan kullanıma hazır ticari bir web uygulamasında daha önce bilinmeyen bir güvenlik açığından yararlandı. Hangi eyaletlerin sistemlerinin ele geçirildiğini belirlemedi.
Mandiant, APT41’i “Potansiyel olarak devlet kontrolü dışında olan mali amaçlı faaliyetlere ek olarak Çin devleti destekli casusluk faaliyetleri yürüten üretken bir siber tehdit grubu” olarak adlandırdı.
Siber istihbarat şirketleri farklı izleme metodolojileri kullanır ve genellikle tanımladıkları tehditleri farklı şekilde adlandırır, ancak Condra, APT41, BARIUM ve RedGolf’un çevrimiçi altyapılarındaki, taktiklerindeki benzerlikler nedeniyle “muhtemelen aynı tehdit aktörü veya grup(lar) grubuna atıfta bulunduğunu” söyledi. teknikler ve prosedürler.
“RedGolf, muhtemelen uzun yıllardır küresel olarak çok çeşitli endüstrilere karşı aktif olan, özellikle üretken bir Çin devleti destekli tehdit aktörü grubudur” dedi.
“Grup, yeni bildirilen güvenlik açıklarını hızla silah haline getirme becerisini gösterdi ve çok çeşitli özel kötü amaçlı yazılım aileleri geliştirme ve kullanma geçmişine sahip.”
Insikt Group, RedGolf ve benzer gruplar tarafından belirli komut ve kontrol sunucuları aracılığıyla KEYPLUG kötü amaçlı yazılım kullanımının “büyük olasılıkla devam edeceği” sonucuna vardı ve istemcilere, tespit edilir edilmez engellenmelerini tavsiye etti.
Kaynak : https://www.washingtontimes.com/news/2023/mar/30/report-chinese-state-sponsored-hacking-group-highl/?utm_source=RSS_Feed&utm_medium=RSS