Çok fazla sabır: Çinli BT casusları uzun süredir araştırma kurumlarında gizleniyor

yakın bildirim

Bu makale İngilizce olarak da mevcuttur. Teknik yardımla tercüme edildi ve yayınlanmadan önce editoryal olarak gözden geçirildi.

Çinli saldırganlar sabırla Kuzey Amerika kurumlarının bilgi işlem sistemlerine sızarak burada kapsamlı casusluk faaliyetleri yürüttüler. Bu, Google'ın Tehdit İstihbaratı Grubu (GTIG) tarafından rapor edilmektedir. Kanada ve ABD'deki araştırma kurumları, ordu, yetkililer ve diğer kuruluşlar etkilenmektedir. Saldırganlar en geç Eylül 2023'te Redcap sunucularına sızdı; Özellikle klinik çalışmalarda bilimsel veri toplamak için kullanılan elektronik veri yakalama sunucularıdır.

Reklamdan sonra devamını okuyun

Bu tür çalışmalar uzun süre devam edebildiğinden Redcap, eski yazılım sürümlerinin de paralel olarak çalıştırılmasına olanak tanıyor. Bu, UNC6508 olarak bilinen saldırganların aradığı açık güvenlik açıkları bırakabilir. GTIG tarafından açıklanan özel bir vakada, failler, Infinitered adı verilen kötü amaçlı yazılımı yüklemeden önce, izinsiz girişten sonra üç ay beklediler.

Infinitered kimlik bilgilerini topluyor, sisteme daha sonra erişim için bir arka kapı açıyor ve üç Redcap sistem modülüne bulaşıyor; İkincisi, Infinitered'ın sunucu yazılımına yapılan her güncellemede gömülü kalmasını sağlar. Saldırganların toplanan kimlik bilgilerini yönetici hesabına giriş yapmak için kullanmasına kadar bir yıl daha geçti. Bu, etkilenen kuruluşun ağındaki diğer kaynaklara erişmelerine olanak tanıdı.

Kuruluşun, çalışanlarının e-posta trafiğini hoş karşılanmayan içeriklere karşı izlediği bir işlev (Alan Adı İçerik Uyumluluğu Kuralları) kullandılar. Failler uzun bir anahtar kelime ve e-posta adresi listesi oluşturdu. Bir e-posta bu arama terimlerinden birini içeriyorsa, BCC: kullanılarak otomatik olarak gizlice saldırganlar tarafından kontrol edilen bir Gmail adresine iletiliyordu.

Bu sayede saldırganlar üçüncü taraf verilerini ücretsiz olarak ele geçirdi. GTIG büyük olasılıkla UNC6508'i Çin Halk Cumhuriyeti'ne atadı. Görünüşe göre manuel olarak oluşturulmuş bir anahtar kelime listesi, müşterilerin özellikle ilgilendikleri şeyler hakkında fikir veriyor: geleneksel silahlar, saldırı yazılımları ve diğer askeri konular, dış politika stratejileri, diplomasi, insansız araçlar, yapay zeka, tıbbi araştırmalar ve chikungunya virüsü dahil patojenler.

GTIG, tamamı muhtemelen Google Cloud kullanan çok sayıda mağduru tespit etti ve bilgilendirdi. Bunu önlemek için Google, diğer şeylerin yanı sıra, iki faktörlü kimlik doğrulamanın (2FA), herhangi bir kopyayı kullanılamaz hale getirmek için çerezlerin cihaza bağlanmasının (DBSC) tutarlı bir şekilde kullanılmasını, günlüklerin oluşturulmasını ve bunların düzenli olarak değerlendirilmesini, hassas verilerin yetkisiz sızıntısını azaltmak için otomatik kuralları, tüm Redcap güncellemelerini yüklemeyi ve açıklayıcı izlere dayanarak aktif olarak Infinitered'ı aramayı önerir.

Reklamdan sonra devamını okuyun


(ds)


Yayımlandı

kategorisi

yazarı:

Etiketler:

Yorumlar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir