İngiliz siber güvenlik şirketi Sophos, Perşembe günü, karmaşık Çin hükümeti destekli hack ekipleriyle yıllarca süren bir “kedi-fare” mücadelesinin ayrıntılarını paylaştı ve saldırganların araçlarını, hareketlerini ve taktiklerini yakalamak için kendi özel implantlarını kullandığını itiraf etti.
Thoma Bravo’ya ait olan şirket, 2018 yılından itibaren, her seferinde daha karmaşık ve agresif hale gelen çok sayıda kampanyayı püskürtmeleri gerektiğini açıkladı. Sürekli saldırılar arasında, saldırganların, gözden kaçan bir duvara monte edilmiş ekran ünitesi aracılığıyla ilk erişimi sağladığı Sophos’un Hindistan’daki Cyberoam ofisinin başarılı bir hack’i de yer alıyordu. Yapılan incelemeler, Sophos tesisindeki hack’in, “amaçlarına ulaşmak için gereken yetenekleri artırabilen uyum sağlayabilen bir düşmanın” eseri olduğu sonucuna vardı.
Şirket, ayrıca, özel bir kullanıcı alanı rootkit’i, TERMITE bellek içi yükleyicisi, Trojanlaştırılmış Java dosyaları ve benzersiz bir UEFI bootkit kullanan saldırı ekiplerine karşı koyduğunu belirtti. Saldırganlar, ayrıca, hem kötü amaçlı yazılımlardan hem de Active Directory DCSYNC’den elde edilen çalıntı VPN kimlik bilgilerini kullanarak firmware güncelleme süreçlerine bağlanarak kalıcılık sağladılar.
Sophos, “2020’nin başlarından 2022’nin büyük kısmına kadar, düşmanlar, internetten erişim sağlayan web portallarını hedef alan çok sayıda kampanya için önemli çaba ve kaynak harcadı,” diyerek, hedef alınan iki hizmetin uzaktan istemcilerin VPN istemcisini indirmesi ve yapılandırması için bir kullanıcı portalı ile genel cihaz yapılandırması için bir yönetim portalı olduğunu belirtti.
“Düşman, bu internetten erişim sağlayan hizmetleri hedef alarak bir dizi sıfır gün açığını istismar etti. İlk erişim istismarları, saldırgana düşük ayrıcalık bağlamında kod yürütme sağladı; bu, ek istismarlar ve ayrıcalık artırma teknikleri ile birleştirildiğinde, cihazda root ayrıcalıklarıyla kötü amaçlı yazılım kurulumuna yol açtı,” diye ekledi EDR sağlayıcısı.
2020 yılı itibarıyla Sophos’un tehdit avcılığı ekipleri, cihazların Çinli hackerların kontrolü altında olduğunu tespit etti. Hukuki danışmanlık sonrasında şirket, saldırganların kontrolündeki bir cihaz kümesini izlemek için “hedeflenmiş bir implant” kullanmaya karar verdi.
“Ek görünürlük, [Sophos araştırma ekibinin] daha önce bilinmeyen ve gizli bir uzaktan kod yürütme istismarını tanımlamasını sağladı,” dedi Sophos iç spy aracına atıfta bulunarak.
“Önceki istismarlar, veri tabanı değerlerini manipüle eden ayrıcalık artırma teknikleri ile birleştirilmeyi gerektiriyordu (riskli ve gürültülü bir operasyon, tespiti artırıyordu), bu istismar ise minimum iz bırakıyor ve doğrudan root erişimi sağlıyordu,” diye açıkladı şirket.