Fransız Ulusal Siber Güvenlik Ajansı ANSSI, APT31 olarak bilinen Çin devlet destekli siber casusluk grubunun gerçekleştirecekleri saldırıların alt yapısını gizlemek ve sunucu altyapısı etrafından bir proxy ağı oluşturmak için ev ve ofis yönlendiricilerini (home routers) ele geçirdiklerini açıkladı.
APT31, Zirconium, Panda veya diğer isimleriyle bilinen bu siber casusluk grubu ile ilgili siber güvenlik şirketi FireEye’ın açıklamalarına baktığımızda; APT31 gerçekleştirdiği siber saldırılarla hükümet, uluslararası finans ve havacılık ve savunma kuruluşlarının yanı sıra yüksek teknoloji, inşaat ve mühendislik, telekomünikasyon, medya ve sigorta dahil olmak üzere çok sayıda endüstri ve kuruluşları hedef almış.
21 Temmuz’da Fransız Ulusal Siber Güvenlik Ajansı ANSSI tarafından yayınlanan bir bildiride, Fransız kuruluşlarına yönelik son saldırılarda APT31 tarafından ele geçirilen ve saldırıya karışan 161 IP adresin bir listesi yayınladı. Ajans, saldırıların 2021 yılında başladığını ve halen devam ettiğini de bildiriyor.
Hükümet uzmanları bu saldırılar için bir Uzlaşma Göstergeleri (IOC) listesi paylaştı, ANSSI ayrıca etkilenen kuruluşları herhangi bir uzlaşma kanıtını bildirmeye çağırıyor. Uzmanlar, güvenliği ihlal edilmiş ev yönlendiricileri ağının hem keşif hem de Fransız kuruluşlarına yönelik saldırılara karıştığına dikkat çekti.
APT31 ile ilgili İngiltere’de Çin’i suçlamıştı
19 Temmuz günü ABD, AB ve İngiltere’den Microsoft Exchange saldırılarıyla ilgili hem ortak hem de ayrı ayrı açıklamalar gelmişti. İngiltere yayınladığı bildiride Pekin’i “yaygın bir bilgisayar korsanlığı modeli” ve “sistematik siber sabotaj” ile suçlamıştı. Bununla birlikte APT40 ve APT31 olarak izlenen tehdit aktörlerinin arkasında Çin’in olduğunu belirtmişti.
Daha önce gerçekleşen benzer saldırılar
2018 yılında Cisco’nun Talos güvenlik ekibinden araştırmacılar, Rus devlet destekli tehdit aktörleri tarafından çeşitli kötü amaçlarla kullanılmak üzere oluşturulmuş ve 500 bin’den fazla yönlendiriciye bulaşmış olan VPNFilter‘ı ortaya çıkarmıştı. Bununla birlikte aynı yıl içerisinde Akamai’nin güvenlik araştırmacıları tarafından UPnProxy adlı tekniği kullanan yönlendirici istismarıda ayrıntılı olarak açıklanmıştı.
