Çarşamba günü, her iki ülkedeki hükümetler Çarşamba günü yaptığı açıklamada, Çin hükümeti tarafından desteklenen bilgisayar korsanlarının ABD ve Japonya‘daki çok uluslu şirketlerin ağlarına uzun süreli ve tespit edilemeyen arka kapı erişimi sağlayan yönlendiricilere kötü amaçlı yazılım yerleştirdiğini söyledi.
BlackTech, Palmerworm, Temp.Overboard, Circuit Panda ve Radio Panda gibi isimler altında bilinen bilgisayar korsanlığı grubu, ABD ve Japonya‘daki hükümet kuruluşları tarafından yayınlanan ortak bir tavsiyenin bildirdiğine göre, en az 2010’dan beri faaliyet gösteriyor.
Çin tarafından desteklenen grubun ABD ve Doğu Asya’daki kamu kuruluşlarını ve özel şirketleri hedef alma geçmişi var. Tehdit aktörü bir şekilde yan kuruluşlar tarafından kullanılan ağ cihazlarına yönetici kimlik bilgileri kazanıyor ve bu kontrolü belirli görevleri gerçekleştirmek için “sihirli paketler” ile tetiklenebilen kötü amaçlı yazılım yüklemek için kullanıyor.
Bilgisayar korsanları daha sonra, ihlal edilen yan kuruluşlarla güvenilir ilişkileri olan şirketlerin ağlarına sızmak için bu cihazların kontrolünü kullanıyor.
Yetkililer Çarşamba günkü tavsiyede, “Özellikle, bir hedef ağa ilk yer edindikten ve ağ uç cihazlarına yönetici erişimi elde ettikten sonra, BlackTech siber aktörleri, ağdaki kalıcılığı daha da sürdürmek için uç cihazlardaki etkinliklerini gizlemek için genellikle ürün yazılımını değiştirir.” dedi.
Çarşamba günkü tavsiyelerin çoğu Cisco tarafından satılan yönlendiricilere atıfta bulundu. Kendi tavsiyesinde Cisco, tehdit aktörlerinin idari kimlik bilgilerini aldıktan sonra cihazları tehlikeye attığını ve güvenlik açıklarından yararlandıklarına dair bir gösterge olmadığını söyledi. Cisco ayrıca, bilgisayar korsanının kötü amaçlı ürün yazılımı yükleme yeteneğinin yalnızca eski şirket ürünleri için mevcut olduğunu söyledi. Şirket, daha yenilerinin yetkisiz bellenim çalıştırmalarını önleyen güvenli önyükleme yetenekleriyle donatıldığını söyledi.
Şirket, eski adıyla Twitter olan X’te şunları yazdı: “23 Eylül 2023 Hong Kong saatiyle sabahın erken saatlerinde, Mixin Network’ün bulut hizmet sağlayıcısının veritabanı bilgisayar korsanları tarafından saldırıya uğradı ve bu da…
ABD ve Japon danışmanı, değiştirilmiş önyükleyicilerini kurmak için, tehdit aktörlerinin meşru yazılımın daha eski bir sürümünü kurduklarını ve ardından bellekte çalıştırırken değiştirdiklerini söyledi. Teknik, Cisco ROM monitörü imza doğrulama işlevlerindeki imza kontrollerini, özellikle de Cisco’nun IOS Görüntü Yükü testinin ve Saha Yükseltilebilir ROMMON Bütünlüğü testinin işlevlerini geçersiz kılabiliyor. Gömülü IOS görüntüsü yükleyen bir Cisco IOS yükleyiciden oluşan değiştirilmiş yazılım, güvenliği ihlal edilmiş yönlendiricilerin olay günlüklerine kaydedilmeden SSH üzerinden bağlantı kurmasına olanak tanıyor.
BlackTech üyeleri, SSH arka kapısını eklemek, günlüğü atlamak ve “sihirli paketler” için gelen trafiği izlemek için meşru yazılımdaki kodu geçersiz kılmak için değiştirilmiş yazılımı kullanıyor.
Terim, Çin güdümlü saldırganların virüslü yönlendiricilere gönderdiği küçük veri parçalarını ifade ediyor. Sistem günlüklerinde rastgele ve zararsız görünseler de, bu paketler saldırganların arka kapı işlevselliğini gizlice etkinleştirmesine veya devre dışı bırakmasına izin veriyor.
Çarşamba günkü tavsiye, yöneticileri herhangi bir enfeksiyonu tespit etmek ve enfekte olma olasılığını önlemek için çeşitli önlemler almaya çağırdı. Kriptografik imzalar için yazılımı kontrol etmek gibi bazı geleneksel algılama tekniklerinin etkili olmadığı konusunda uyardı.
