Siber güvenlik şirketi Cybereason tarafından yayınlanan rapora göre, Güneydoğu Asya’da bulunan en az beş büyük telekomünikasyon sağlayıcısının geçtiğimiz yıllarda Çin ile bağlantılı farklı tehdit aktörleri tarafından saldırıya uğradığı belirtiliyor. Güvenlik araştırmacıları, telekomünikasyon şirketlerine ait hassas müşteri verilerini çalmayı ve eriştiği ağlarda sürekliliğini korumayı amaçlayan bu saldırılarda Çin ile bağlantılı olduğu düşünülen tehdit aktörlerinin, henüz ortaya çıkmadan önce kötü şöhretli Microsoft Exchange Proxylogon güvenlik açıklarından yararlandığını tespit etmişler.
Cybereason güvenlik araştırmacıları, DeadRinger olarak adlandırdıkları bu casusluk kampanyasını 2017 yılından beri takip ediyorlarmış. Yine bu araştırmayla bağlantılı olarak 2019 yılında yayınlanan diğer bir raporda, Çin ile bağlantılı SoftCell adındaki bir tehdit aktörünün Afrika, Orta Doğu, Avrupa ve Asya’daki telekom şirketlerinden arama kayıtlarını çalmak için fatura sunucularını hedeflediği belirtilmiş.
Yeni yayınlanan bu rapor ile birlikte, Naikon APT ve Group-3390 olarak adlandırılan iki yeni tehdit aktörü ortaya çıkarılmış. Bu iki yeni tehdit aktörünün yine Çin ile bağlantılı olabileceği, SoftCell gibi telekom şirketlerinden arama kayıtlarını çalmak için fatura sunucularını hedeflediği ve diğer temel bileşenler aracılığıyla da eriştikleri ağlarda sürekliliğini korumayı istedikleri anlaşılmış.
Birbiriyle bağlantısız üç farklı tehdit aktörü
Araştırmacılar, genel olarak, saldırganların “son derece uyarlanabilir” olduğunu ve kurbanların ağlarında kalıcılığı sürdürmek için faaliyetlerini gizlemede başarılı olduklarını ve bazılarının 2017’den beri tespit edilmekten kaçmayı başardığını söyledi. Üç farklı kümede gösterilen bu saldırılar:
1- Cluster A olarak adlandırılan SoftCell saldırıları, 2018’de başlayan bu saldırılar Güneydoğu Asya dahil olmak üzere birden fazla bölgede telekom şirketlerine yönelik gerçekleşti ve 2021 yılının ilk çeyreği boyunca devam etti. Bu saldırganlar ChinaChopper webshell‘ini yüklemek ve PcShare adlı arka kapıyı kullanarak bir dayanak kazanmak için Microsoft Exchange güvenlik açıklarından yararlanmaya çalışmışlar. Saldırganlar daha sonra keşif yapmak, ağ üzerinde yanlamasına hareket etmek ve kimlik bilgilerini ve verileri çalmak için çeşitli araçlar kullanmışlar.
2- Cluster B olarak adlandıırlan Naikon APT saldırıları, 2020 yılının 4.çeyreğinde bu yana Güneydoğu Asya’daki telekom şirketlerini hedef alıyor ve 2021’in ilk çeyreğine kadar devam ettiği belirtiliyor.
3- Cluster C olarak adlandıırlan saldırıların ise aslında 2017’de başlayıp, 2021’in ilk çeyreğine kadar devam eden ve SoftCell saldırıları ile ilgili bir “mini küme” olduğu belirtiliyor. Ancak, saldırılarda birden çok Microsoft Exchange ve IIS sunucusuna dağıtılan bir OWA arka kapısının kullanımı göz önüne aldıklarında, Çin ile bağlantılı APT grubu olan Group-3390’ın (Emissary Panda ve APT27 olarakta biliniyor ) işi de olabileceği düşünülüyor.
Araştırmacıların bazı hipotezlerine göre, tehdit aktörlerinin aralarında işbirliği yapmadan birbirinden tamamıyla bağımsız oldukları belirtiliyor. İkinci hipoteze göre ise birlikte çalışan ve aynı Çinli tehdit aktörüne rapor veren farklı uzmanlık gruplarına sahip iki veya daha fazla ekibin çalışmalarını temsil etttiği belirtiliyor. Son hipoteze göre ise tehdit aktörlerinin birbirilerinden haberdar oldukları ancak farklı gündem veya görevleri bulundukları olarak geçiyor.
