Google, büyük bir küresel siber casusluk operasyonunu önledi. Pekin tarafından finanse edilen Çinli hackerlar tarafından düzenlenen saldırı, 42 ülkede en az 53 kuruluşu hackledi. Bilgisayar korsanları, uzun süre görünmez kalmak için Google E-Tablolar'ı kullandı.
Google, Çin ile bağlantılı büyük bir casusluk operasyonunu çökerttiğini açıkladı. Operasyon Çinli bilgisayar korsanlarının sızmasına izin verdi 42 farklı ülkede en az 53 kuruluş. Kampanyanın arkasında “Galyum” olarak da bilinen UNC2814 isimli bir çete var. Pekin tarafından finanse edilen suç grubu 2017'den beri faaliyet gösteriyor. Başta yabancı telekom operatörleri ve hükümet kuruluşları olmak üzere Çin gücüne yönelik stratejik hedeflere yönelik casusluk yapma konusunda uzmanlaşıyor. Bilgisayar korsanları sisteme girdikten sonra radar altında kalacak ve bireyleri izleyecek, iletişimleri engelleyecek ve hassas verileri toplayacak.
Ayrıca okuyun: Çin siber saldırıları – casuslar 18 ay boyunca fark edilmeden Dell'deki bir güvenlik açığından yararlandı
Google E-Tablolar'a dayalı bir siber saldırı
Kampanya büyük ölçüde “GRIDTIDE” adı verilen yepyeni bir Truva Atı'na dayanıyor. Virüs kurbanın sistemine yerleştirildikten sonra bir Google E-Tablolar belgesiyle iletişim kurundoğrudan Google programlama arayüzü aracılığıyla. Çinli siber suçlular tarafından çevrimiçi olarak yayınlanan elektronik tablo, kötü amaçlı yazılıma yönelik şifrelenmiş komutlar içeriyor. Bu, komutların şifresini çözecek ve bilgisayar korsanlarının talimatlarına uyacaktır. “GRIDTIDE” çaldığı verileri doğrudan Google E-Tablolar dosyasına aktaracaktır.
Daha sonra kötü amaçlı yazılım, eski komutların veya sızdırılan verilerin izlerini silmek için e-tablonun ilk 1000 satırını bile temizler. Bu önlem, virüsün radarın altından uçmasına ve faaliyetlerini araştırmacılardan gizlemesine olanak tanıyor. Google, saldırının istismar edilmediğini vurguluyor “Google ürünlerinde bir güvenlik açığı”Ancak “oldukça meşru bir işlevi ele geçiriyor”.
Google E-Tablolar'ı Kullanmak Siber Saldırıların Gerçekleşmesine İzin Verir en büyük gizlilik içinde. Google'ın açıkladığı gibi, virüsün oluşturduğu trafik tamamen normal bulut trafiğine benziyor. Fiili olarak şirketler, davetsiz misafirin ağlarının dışındaki bir kaynakla iletişim kurduğunun farkında değiller.
“Bu taktik, kötü niyetli aktörler tarafından, izinsiz girişlerini en iyi şekilde gizlemek için sıklıkla kullanılıyor. […] Trafiklerinin tamamen meşru görünmesini sağlarken saldırı altyapılarını işletmelerine olanak tanıyan meşru bulut hizmetlerine güveniyorlar.Google raporunda belirtiyor.
Ayrıca okuyun: Fabrikadan çıkar çıkmaz saldırıya uğradı – binlerce akıllı telefona Çin kötü amaçlı yazılımları bulaştı
Çinli bilgisayar korsanlarının hedefi olan veriler
Çinli bilgisayar korsanlarının dikkatini çeken ana veriler arasında genellikle devlet kurumlarının elinde bulunan tam adlar, telefon numaraları, doğum tarihleri ve yerleri gibi bilgiler yer alıyor. seçmen kartı numaraları ve ulusal tanımlayıcılar.
Bilgisayar korsanları, telekomünikasyon operatörlerini hackleyerek akıllı telefonlarla ilgili verileri de ele geçirmeye çalışıyor. Bu bilgiler bir telefonun konumunu izlemek için kullanılabilir veya telefon görüşmelerini dinle. Konuşmaları dinlemek için bilgisayar korsanları kolluk kuvvetlerinin kullandığı araçların aynısını kullanır.
Google'ın yanıtı
UNC2814'ün gerçekleştirdiği operasyonları keşfeden Google, yanıtını hazırladı. Karşı saldırı, Google'ın tehdit araştırması ve analizine adanmış dahili ekibi olan Google Tehdit İstihbaratı Grubu'na (GTIG) ve siber güvenlik yan kuruluşu Mandiant'a emanet edildi. Mountain View devi, bir lansman başlattığını açıklıyor “bozulma” Çin çetesine karşı büyük bir saldırı. Özellikle Google, saldırganlar tarafından kontrol edilen tüm Google Cloud projelerini kapatarak güvenliği ihlal edilmiş ortamlara kalıcı erişimi kesti.
Bu süreçte şirket tüm altyapıyı devre dışı bıraktı grup tarafından biliniyordu ve saldırılarla bağlantılı tüm hesaplar silindi. Kağıt üzerinde grubun artık siber saldırılarını başlatması mümkün değil. Google, her kurbanın bu uyarıyla uyarıldığını ekliyor. Son olarak Google ekipleri, bilgisayar korsanlarını sistemlerinden çıkarmalarına yardımcı olmak için güvenliği ihlal edilen şirketlerin yardımına geldi.
Google için siber saldırı “Telekomünikasyon ve kamu sektörlerine yönelik tehdidin ciddiyetinin altını çiziyor”. Araştırmacılar bu tür izinsiz girişlerin “Genellikle yıllarca süren sürekli çabanın sonucudur”. Çinli korsanların toparlanması zaman alacak.
👉🏻 Teknoloji haberlerini gerçek zamanlı takip edin: 01net'i Google'daki kaynaklarınıza ekleyin ve WhatsApp kanalımıza abone olun.
Bir yanıt yazın