Çin devlet destekli siber casuslar, dünya çapında faaliyet gösteren bir mühendislik firmasının ağına sızarak, şirketin IBM AIX sunucusundaki yönetici portalına varsayılan şifreler üzerinden erişim sağlamayı başardı ve tam 4 ay boyunca ağda kaldı. Bir süredir saldırının ne kadar hasar yarattığı ve kimler tarafından gerçekleştirildiği tespit edilmeye çalışılıyor.
Çinli casuslar, yapılamaz deneni yaptı!
Binary Defense Güvenlik Araştırmaları Direktörü John Dwyer, The Register’a verdiği özel röportajda, saldırganların ilk olarak Mart ayında ABD merkezli üretici firmanın üç yönetilmeyen AIX sunucusundan birini ele geçirdiğini belirtti. Saldırganlar, dört ay boyunca şirketin IT altyapısında kalarak daha fazla sistem üzerinde kontrol kurmaya çalıştılar.
Bu olay, ağlarına bağlı eski veya ihmal edilmiş cihazları olan şirketler için büyük bir uyarı niteliği taşıyor. Yönetilmeyen ekipmanlar ve ‘Gölge IT’ olarak adlandırılan bu tür sistemler, saldırganların sızmak için mükemmel başlangıç noktaları oluşturuyor. Şirketin adı açıklanmasa da, kritik sektörlere, kamu ve özel havacılık kuruluşlarına bileşenler ürettiği biliniyor. Saldırının arkasında Çin Halk Cumhuriyeti’ne bağlı bir casus ekibinin olduğu ve amaçlarının casusluk ve tasarım hırsızlığı olduğu düşünülüyor.
Geçtiğimiz hafta içerisinde kapatılan ‘Bir Kez Görüntüle’ güvenlik açığı, bir gün bile dayanmadı. İşte detaylar…
Özellikle tedarik zincirinin giderek daha erken aşamalarında yapılan bu tür saldırılar, ürünlerin henüz üretim aşamasına gelmeden manipüle edilmesine neden olabilir. ABD hükümeti bu yıl Çin’in siber saldırı ekiplerine dair, APT40 ve Volt Typhoon gibi grupları içeren birçok güvenlik uyarısı yayımladı.
Ağustos ayında saldırıyı fark eden şirket, yerel ve federal güvenlik birimlerini bilgilendirerek olayın aydınlatılması ve etkilerinin giderilmesi konusunda adımlar attı. Soruşturmanın bir parçası olarak Binary Defense da devreye girdi. Şirketin güvenlik araçlarının bu eski sistemlerle uyumlu olmaması, saldırının fark edilmesini aylarca geciktirdi.
Saldırganlar, ilk sızmanın ardından kalıcı bir erişim sağlayarak tüm ağa uzaktan bağlanabilecekleri bir yapı kurdular. Amaçlarının, entelektüel mülkiyet hırsızlığı ve tedarik zincirinde bozulmalara yol açmak olduğu tahmin ediliyor.
Dwyer, saldırganların hedeflerinden vazgeçmediğini ve aynı gruptan gelen yeni bir saldırının hemen ertesi gün gerçekleştiğini ifade etti. Saldırganların, saldırı hedeflerini değerli bulmaları durumunda sürekli geri dönme eğiliminde olduklarını ve bu tehditlerin giderek daha karmaşık hale geldiğini belirtti.
Binary Defense’in bu siber saldırı ile ilgili kapsamlı raporunu yakında yayımlaması bekleniyor. Siz de konuyla ilgili görüşlerinizi bizle yorumlarda paylaşmayı ihmal etmeyin.
