Getty Resimleri
Araştırmacılar Salı günü yaptığı açıklamada, Çin merkezli ulus devlet bilgisayar korsanlarının yakın zamanda bir sertifika yetkilisine ve birkaç hükümet ve savunma kurumuna güçlü bir kötü amaçlı yazılım kokteyli bulaştırarak bir ağın içine girerek hassas bilgileri çaldığını söyledi.
Belirli bir sunucu veya uygulamadan sorumlu kimlikleri onaylamak için tarayıcılar ve işletim sistemleri bu varlıklara güvendiğinden, adsız sertifika yetkilisinin başarılı bir şekilde ele geçirilmesi potansiyel olarak ciddidir. Bilgisayar korsanlarının kuruluşun altyapısının kontrolünü ele geçirmesi durumunda, kötü amaçlı yazılımlarını dijital olarak imzalamak için kullanabilirler ve böylece uç nokta korumalarını daha kolay geçebilirler. Ayrıca, güvenilir web sitelerini kriptografik olarak taklit edebilir veya şifrelenmiş verilere müdahale edebilirler.
İhlali keşfeden araştırmacılar, sertifika altyapısının ele geçirildiğine dair hiçbir kanıt bulamasa da, bu kampanyanın, en az 2009’a kadar uzanan kayda değer bilgisayar korsanlığı belgelenmiş bir geçmişi olan Billbug adını verdikleri bir grup tarafından yalnızca en son kampanya olduğunu söylediler.
Symantec araştırmacıları, “Bu aktörün aynı anda birden fazla kurbanı tehlikeye atma yeteneği, bu tehdit grubunun, sürekli ve geniş kapsamlı kampanyalar yürütme yeteneğine sahip, yetenekli ve iyi kaynaklara sahip bir operatör olmaya devam ettiğini gösteriyor” diye yazdı. “Billbug, geçmişte grupla bağlantılı olan araçları yeniden kullanarak, bu etkinliğin kendisine atfedilme olasılığından da caydırılmamış görünüyor.”
Symantec, Billbug’u ilk olarak 2018’de, şirket araştırmacıları grubu Thrip adı altında takip ettiğinde belgeledi. Grup, bir uydu iletişim operatörü, bir jeo-uzamsal görüntüleme ve haritalama şirketi, üç farklı telekom operatörü ve bir savunma yüklenicisi dahil olmak üzere birden fazla hedefi hackledi. Saldırganlar, “uyduları izleyen ve kontrol eden yazılımları çalıştıran bilgisayarları arayıp bulaştırarak şirketin operasyonel yönüyle özellikle ilgileniyor gibi göründükleri için” uydu operatörünün hacklenmesi özellikle endişe vericiydi. Araştırmacılar, bilgisayar korsanlarının motivasyonunun casusluğun ötesine geçerek bozulmayı da içerebileceğini tahmin ettiler.
Araştırmacılar sonunda fiziksel olarak Çin’de bulunan bilgisayarlara yönelik bilgisayar korsanlığı faaliyetinin izini sürdüler. Güneydoğu Asya’nın yanı sıra ABD’de de hedefler bulunuyordu.
Bir yıldan biraz daha uzun bir süre sonra Symantec, araştırmacıların Thrip’in Billbug veya Lotus Blossom olarak bilinen daha uzun süredir var olan bir grupla etkili bir şekilde aynı olduğunu belirlemesine olanak tanıyan yeni bilgiler topladı. İlk yazının yazılmasından bu yana 15 ay içinde Billbug, Hong Kong, Makao, Endonezya, Malezya, Filipinler ve Vietnam’da 12 kuruluşu başarıyla hackledi. Kurbanlar arasında askeri hedefler, deniz iletişimi ve medya ve eğitim sektörleri vardı.
Billbug, kurbanlarının ağlarına girmek için meşru yazılım ve özel kötü amaçlı yazılımın bir kombinasyonunu kullandı. PsExec, PowerShell, Mimikatz, WinSCP ve LogMeIn gibi yasal yazılımların kullanılması, bilgisayar korsanlığı etkinliklerinin güvenliği ihlal edilmiş ortamlardaki normal işlemlerle karışmasına izin verdi. Bilgisayar korsanları ayrıca özel yapım Catchamas bilgi hırsızını ve Hannotog ve Sagerunex adlı arka kapıları da kullandı.
Sertifika yetkilisini ve diğer kuruluşları hedef alan daha yakın tarihli kampanyada Billbug, Hannotog ve Sagerunex’e geri döndü, ancak aynı zamanda AdFind, Winmail, WinRAR, Ping, Tracert, Route, NBTscan, Certutil gibi bir dizi yeni, yasal yazılım kullandı. ve Bağlantı Noktası Tarayıcı.
Salı günkü gönderi, insanların Billbug tarafından hedef alınıp alınmadıklarını belirlemek için kullanabilecekleri bir dizi teknik ayrıntı içeriyor. Symantec, Broadcom Software’in güvenlik koludur.
