Sektörden Haberler

Çin Bağlantılı Saldırı Grubu APT41 Asya Ulusal Güç Şebekesine Yapılan Saldırılara Karıştı

16 Eylül 2023

Symantec, Çin hükümetiyle olası bağları olan bilgisayar korsanlarının, bu yılın başlarında bir Asya ülkesinin ulusal elektrik şebekesini hedeflemek için ShadowPad Truva Atı'nı kullandığını, yalnızca kritik ulusal altyapıları hedeflemeye odaklanan Çin bağlantılı Redfly APT grubunun, altı aya kadar elektrik şebekesi ağında varlığını sürdürdüğünü, kimlik bilgilerini çaldığını ve sistem güvenliğini tehlikeye attığını açıklamıştır.

Redfly'ın bu saldırıdaki araç ve altyapı seçimi, Çinli casusluk grubu APT41'in son yıllarda yürüttüğü benzer kampanyalarla örtüşmektedir. Barium, Earth Baku ve Winnti olarak da takip edilen APT41, geçtiğimiz günlerde Hindistan ve Çin'in sınır anlaşmazlıklarına girmesinden kısa bir süre sonra Hindistan'ın elektrik şebekesini işletmekten sorumlu dört bölgesel sevk merkezini hedef almıştır.

APT41, 2021'de, USAHerds uygulamasındaki sıfırıncı gün güvenlik açığından yararlanarak en az altı ABD eyalet hükümeti ağını tehlikeye attığı bilinmektedir.

Symantec, Redfly'ın son saldırılarında, hedeflenen ağda kalıcılığı sağlamak için, ShadowPad Truva Atı'nın benzersiz bir versiyonunu kullandığını, bu varyantın, komut ve kontrol için bir web alanı kullandığını ve kendisini diske kopyalarken VMware dosyaları ve dizinleri gibi göründüğünü açıklamıştır.

ShadowPad Truva Atı, son yıllarda yalnızca Çinli casusluk grupları tarafından yabancı ülkelerdeki çıkarları olan kuruluşları hedeflemek için kullanılmaktadır

Redfly grubu, son saldırılarında, grubun rastgele dosya veya komutlar sunmasına ve yürütmesine olanak tanıyan kabuk kodunu yüklemek ve yürütmek için Packerloader adlı bir araç da kullanmaktadır. Grup ayrıca, winlogo.exe ve hphelper.exe gibi çeşitli dosya adları altında virüslü sistemlerin içine sakladığı bir keylogger'ı yüklemek için ShadowPad'i kullanmaktadır.

Symantec, Ulusal bir şebekede uzun vadeli, kalıcı bir varlığı sürdürme yeteneğinin, siyasi gerilimin arttığı zamanlarda, ulus devletlerdeki güç kaynaklarını ve diğer hayati hizmetleri kesintiye uğratmak için tasarlanmış saldırılara yönelik açık bir risk oluşturduğunu belirtmiştir.

Symantec, Redfly grubunun yalnızca kimlik bilgilerini çalmaya, virüslü ağa bağlı bilgisayarlara erişim sağlamaya ve keylogging'e odaklandığını, grubun şu anda operasyonları aksatmamayı seçtiğini ancak gelecekte bunu yapmayı seçebileceğini belirtmiştir.

 

Kaynak:  https://www.govinfosecurity.com/chinese-apt41-implicated-in-asian-national-power-grid-hack-a-23074