Siber güvenlik çözümlerinde dünya lideri olan ESET, Çin ile irtibatlı tehdit kümesi PlushDaemon’un, ESET’in EdgeStepper ismini verdiği, daha evvel belgelenmemiş bir ağ aygıtı implantını kullanarak ortadaki adam hücumları gerçekleştirdiğini keşfetti.
İmplant, tüm DNS sorgularını, güncellemeleri ele geçiren diğer bir düğümün adresiyle karşılık veren berbat maksatlı bir harici DNS sunucusuna yönlendiriyor. Yazılım güncelleme trafiğini, gaye makinelere LittleDaemon ve DaemonicLogistics indiricilerini dağıtmak ve nihayetinde SlowStepper implantını yaymak maksadıyla saldırganların denetimindeki altyapıya tesirli bir halde yine yönlendiriyor. SlowStepper, siber casusluk için kullanılan düzinelerce bileşene sahip bir art kapı araç setidir. Bu implantlar, PlushDaemon’a dünyanın rastgele bir yerindeki maksatları tehlikeye atma yeteneği kazandırıyor.
Çin ile irtibatlı bu küme 2019’dan bu yana Amerika Birleşik Devletleri, Yeni Zelanda, Kamboçya, Hong Kong, Tayvan ve Çin’de hücumlar düzenliyor. Kurbanları ortasında Pekin’deki bir üniversite, elektronik eserler üreten bir Tayvanlı şirket, otomotiv bölümünde faaliyet gösteren bir şirket ve imalat kesiminde faaliyet gösteren bir Japon şirketinin şubesi bulunuyor.
Saldırıyı ortaya çıkaran ve tahlil eden ESET araştırmacısı Facundo Muñoz şu açıklamayı yaptı:” Keşfedilen taarruz senaryosunda, PlushDaemon evvel gayelerinin bağlanabileceği bir ağ aygıtını ele geçiriyor; bu ele geçirme muhtemelen aygıtta çalışan yazılımdaki bir güvenlik açığını yahut zayıf yahut yeterli bilinen varsayılan yönetici kimlik bilgilerini kullanarak gerçekleştiriliyor ve saldırganların EdgeStepper’ı (ve muhtemelen öteki araçları) kullanmasına imkan tanıyor. Akabinde, EdgeStepper DNS sorgularını, DNS sorgu bildirisindeki tesir alanının yazılım güncellemeleriyle ilgili olup olmadığını doğrulayan makus maksatlı bir DNS düğümüne yönlendirmeye başlar ve şayet öyleyse kaçırma düğümünün IP adresiyle cevap verir. Alternatif olarak, birtakım sunucuların hem DNS düğümü hem de ele geçirme düğümü olduğunu da gözlemledik; bu durumlarda, DNS düğümü DNS sorgularına kendi IP adresiyle karşılık verir. Birkaç tanınan Çin yazılım eserinin güncellemeleri, EdgeStepper aracılığıyla PlushDaemon tarafından ele geçirildi.
PlushDaemon, en az 2018 yılından beri faal olan ve Doğu Asya-Pasifik ve Amerika Birleşik Devletleri’ndeki birey ve kuruluşlara karşı casusluk faaliyetlerinde bulunan, Çin ile irtibatlı bir tehdit aktörüdür. ESET’in SlowStepper olarak izlediği özel bir art kapı kullanır. Geçmişte, ESET Research bu kümenin web sunucularındaki güvenlik açıkları yoluyla erişim sağladığını gözlemlemişti. Grup 2023 yılında bir tedarik zinciri saldırısı gerçekleştirmişti.
Kaynak: (BYZHA) Beyaz Haber Ajansı