ABD, 2020 yılında kritik altyapıları hedef alan fidye yazılımı saldırılarına karışan Çinli siber güvenlik firması Sichuan Silence’a yaptırım uyguladı. Şirketin çalışanlarından biri olan Guan Tianfeng de bireysel olarak suçlandı.
Güvenlik araştırmacısı Guan, İngiltere merkezli güvenlik firması Sophos’un geliştirdiği güvenlik duvarı ürününde sıfır gün güvenlik açığını keşfetti. Kötü amaçlı bir sunucudan bir komut dosyasını alıp uzaktan yürüten bir SQL enjeksiyon saldırısı kullanarak, CVE 2020-12271 olarak adlandırılan güvenlik açığından yararlandı. Guan ve suç ortakları, sophosfirewallupdate.com gibi meşru sunucu alan adlarını kaydettirmişti.
Kötü niyetli Asnarök Truva Atı araç setinin bir parçası olan bu komut dosyası, başlangıçta güvenlik duvarlarından ve arkasındaki bilgisayarlardan kullanıcı adı ve şifre gibi verileri çalıp bunları Çin IP adresine göndermek için tasarlandı. Kurban, cihazını yeniden başlatmayı denediğinde, Ragnarok fidye yazılımı otomatik olarak yükleniyor, antivirüs yazılımını devre dışı bırakıyor ve ağdaki tüm Windows cihazlarını şifreliyordu.
Ancak saldırıdan sonraki iki gün içinde Sophos, etkilenen güvenlik duvarlarına yeniden başlatma gerektirmeyen bir yama uyguladı ve tüm kötü amaçlı komut dosyalarını kaldırdı. Guan daha sonra Sophos’un hafifletme yöntemini tespit ettiğinde kötü amaçlı yazılımı fidye yazılımı yükleyecek şekilde değiştirdi, ancak yama bunun çalışmasını engelledi.
Guan hakkında artık açıklanmayan bir iddianameye göre, komplocuları, birkaç gün sonra istismarın güncellenmiş bir versiyonunu test etmeden önce, Mayıs 2020’de şirketin web sitesinde Sophos yaması hakkındaki bilgileri görüntülediler.
Hazine, hem Sichuan Silence hem de Guan Tianfeng’e yaptırım uyguladı; bu, onların ABD merkezli tüm varlıklarının bloke edileceği ve kuruluşların ve bireylerin onlarla fon, mal veya hizmet işlemleri yapmasının yasaklanacağı anlamına geliyor.
Hazine Müsteşarı Vekili Bradley T. Smith, “Bugünkü eylem, birçoğu topluluklarımız ve vatandaşlarımız için önemli risk oluşturan bu kötü niyetli siber faaliyetleri açığa çıkarma ve bunların arkasındaki aktörleri planlarından sorumlu tutma kararlılığımızın altını çiziyor” dedi. Bir basın açıklamasında terörizm ve mali istihbarat için söylendi.
Guan veya diğer devlet destekli siber saldırganlar hakkında bilgi verenlere 10 milyon dolara varan ödüller verilecek. Guan’ın Çin’in Sichuan Eyaletinde ikamet ettiğine inanılıyor, ancak aynı zamanda Bangkok, Tayland’a da seyahat edebilir.
Kritik altyapı şirketlerinin kullandığı on binlerce güvenlik duvarı ele geçirildi
22-25 Nisan 2020 tarihleri arasında küresel şirketlerin kullandığı yaklaşık 81.000 Sophos XG güvenlik duvarı ele geçirildi. Bu güvenlik duvarlarının 23.000’den fazlası ABD kuruluşları tarafından kullanıldı ve 36’sı kritik altyapı için kullanıldı.
Kamu hizmetleri, ulaşım, telekomünikasyon ve veri merkezleri gibi kritik altyapıların tehlikeye atılması, geniş çaplı kesintilere yol açarak bu altyapıyı siber saldırıların ana hedefi haline getirebilir. Malwarebytes’in yakın tarihli bir raporu, hizmet sektörünün fidye yazılımlarından en kötü etkilenen sektör olduğunu ve küresel saldırıların neredeyse dörtte birini oluşturduğunu ortaya çıkardı.
BAKIN: Kritik Ulusal Altyapı Şirketlerinin %80’i Geçen Yıl E-posta Güvenliği İhlaliyle Karşılaştı
Kurbanlardan biri, Sichuan Silence fidye yazılımı devreye girdiğinde petrol sondajı yapan bir ABD enerji şirketiydi. Hazine Bakanlığı Yabancı Varlıkların Kontrolü Dairesi, saldırının petrol sondaj kulelerinin arızalanmasına neden olması durumunda insan yaşamının kaybedilebileceğini söylüyor.
Sichuan Sessizliği kimdir?
Sichuan Silence, öncelikle Çin istihbarat servisleri tarafından işe alınan, Chengdu merkezli bir siber güvenlik yüklenicisidir. Çin geçmişte ABD tarafından yapılan hack suçlamalarını reddetti ancak sürekli olarak ABD’deki siber saldırılarla ilişkilendirildi
Bu ay Federal Soruşturma Bürosu ile Siber Güvenlik ve Altyapı Güvenliği Ajansı, Çin’e bağlı tehdit aktörlerinin “birden fazla telekomünikasyon şirketindeki ağların güvenliğini ihlal ettiğini” tespit etti.
BAKIN: Çin Bağlantılı Saldırı 260.000 Cihazı Etkiledi, FBI Onayladı
Hazine’ye göre Sichuan Silence, müşterilere ağları hacklemek, e-postaları izlemek, kaba kuvvetle şifre kırmak ve ağ yönlendiricilerinden yararlanmak için araçlar ve hizmetler sağlıyor. Örgütün web sitesinde ayrıca istihbarat bilgileri için denizaşırı ağları tarayabilen ürünlere sahip olduğu belirtiliyor.
Gelecekteki bir siber saldırıyı ayarlamak için hedef ağa kötü amaçlı kod yükleyen bir ön konumlandırma cihazı, Nisan 2020’de Guan tarafından kullanıldı ve Sichuan Silence’a ait olduğu anlaşıldı. Saldırgan ayrıca şirketi adına siber güvenlik turnuvalarında yarıştı ve keşfettiği sıfır gün açıklarını “GbigMao” tanıtıcısını kullanarak forumlarda yayınladı.
Kasım 2021’de Meta, Sichuan Silence ile bağlantılı, yanlış bir şekilde ABD’nin Dünya Sağlık Örgütü’nün COVID-19 operasyonlarına ilişkin araştırmalarına müdahale ettiğini iddia eden koordineli bir dezenformasyon kampanyasını ortadan kaldırdığını bildirdi. Dezenformasyon yüzlerce sahte Facebook ve Instagram hesabı tarafından yayıldı ve Çin devlet medyası ve hükümetle bağlantılı kuruluşlar tarafından güçlendirildi.
Sophos’un CISO’su Ross McKerchar, TechRepublic’e şunları söyledi: “Çin ulus devleti düşmanlarının ölçeği ve ısrarı, Sophos’un Pasifik Kıyıları araştırma raporunda belirtildiği gibi, kritik altyapının yanı sıra şüphelenmeyen, günlük işletmeler için de önemli bir tehdit oluşturuyor.”
“Onların amansız kararlılıkları, Gelişmiş Kalıcı Tehdit olmanın ne anlama geldiğini yeniden tanımlıyor; Bu değişimi sekteye uğratmak, kolluk kuvvetleri de dahil olmak üzere sektör genelinde bireysel ve kolektif eylemi gerektirmektedir.
“Onları geride bırakmak için zaman ve çaba harcamazsak, bu grupların yavaşlamasını bekleyemeyiz ve buna güvenlik açıkları konusunda erken şeffaflık ve daha güçlü yazılım geliştirme taahhüdü de dahildir.”
Kritik altyapı saldırıları artıyor
Kritik altyapılara yönelik saldırıların popülaritesi giderek artıyor. 2023’ün sonunda FBI, Çinli bilgisayar korsanlığı grubu Volt Typhoon tarafından ABD ve denizaşırı bölgelerdeki yüzlerce özel mülkiyete ait yönlendiriciden oluşturulan geniş kapsamlı bir botnet saldırısını ortaya çıkardı.
Tehdit aktörleri ABD iletişim, enerji, ulaşım ve su altyapısının BT ortamlarını hedef aldı ve tehlikeye attı. Volt Typhoon, 2021 ortalarında aktif hale geldiğinden bu yana kritik altyapılara yüzlerce saldırı gerçekleştirdi.
BAKIN: Kritik altyapı neden siber saldırılara karşı savunmasızdır?
Son yıllarda kritik altyapılara yönelik diğer önemli saldırılar arasında 2021 Koloni Boru Hattı olayı yer alıyor. Gaz, kalorifer yakıtı ve diğer petrol türleri de dahil olmak üzere Doğu Yakası yakıtının %45’inden sorumlu olan şirket, bir fidye yazılımı saldırısına uğradığını keşfetti ve bazı sistemlerini kapatmak zorunda kalarak tüm boru hattı operasyonlarını geçici olarak durdurmak zorunda kaldı.
Sandworm ve Black Basta hizmet olarak fidye yazılımı kuruluşunun bağlı kuruluşları da dünya çapındaki kritik altyapıları hedef aldı. Her iki firmanın da Rusya ile bağlantısı var.
Mayıs ayında, ABD CISA ve çeşitli uluslararası siber otoriteler, kritik endüstrilerde sıklıkla kullanılan operasyonel teknoloji sağlayıcılarını hedef alan Rusya yanlısı hacktivist saldırılar konusunda uyarıda bulundu. Tavsiye belgesinde, 2022 ile Nisan 2024 arasında su, enerji, gıda ve tarım işletmelerine karşı “kötü niyetli siber faaliyetlerin devam ettiğinin” altı çizildi.
Kritik altyapıyı yöneten OT kuruluşlarının, sıkı çalışma süresi gereksinimlerine ek olarak eski cihazlara güvendikleri biliniyor; çünkü normal operasyonları sürdürürken teknolojiyi değiştirmek hem zorlu hem de maliyetli. Bu, hem erişilebilir olmalarını hem de kesintilerin ciddi sonuçları olacağından fidye ödeme olasılıklarını artırır.
Kaynak: https://www.techrepublic.com/article/sichuan-silence-sanction-us/