Siber güvenlik çözümlerinde dünya lideri olan ESET, Çin ile temaslı tehdit kümesi PlushDaemon’un, ESET’in EdgeStepper ismini verdiği, daha evvel belgelenmemiş bir ağ aygıtı implantını kullanarak ortadaki adam taarruzları gerçekleştirdiğini keşfetti.
İmplant, tüm DNS sorgularını, güncellemeleri ele geçiren öteki bir düğümün adresiyle cevap veren berbat emelli bir harici DNS sunucusuna yönlendiriyor. Yazılım güncelleme trafiğini, maksat makinelere LittleDaemon ve DaemonicLogistics indiricilerini dağıtmak ve nihayetinde SlowStepper implantını yaymak maksadıyla saldırganların denetimindeki altyapıya tesirli bir formda yine yönlendiriyor. SlowStepper, siber casusluk için kullanılan düzinelerce bileşene sahip bir art kapı araç setidir. Bu implantlar, PlushDaemon’a dünyanın rastgele bir yerindeki maksatları tehlikeye atma yeteneği kazandırıyor.
Çin ile temaslı bu küme 2019’dan bu yana Amerika Birleşik Devletleri, Yeni Zelanda, Kamboçya, Hong Kong, Tayvan ve Çin’de ataklar düzenliyor. Kurbanları ortasında Pekin’deki bir üniversite, elektronik eserler üreten bir Tayvanlı şirket, otomotiv bölümünde faaliyet gösteren bir şirket ve imalat kesiminde faaliyet gösteren bir Japon şirketinin şubesi bulunuyor.
Saldırıyı ortaya çıkaran ve tahlil eden ESET araştırmacısı Facundo Muñoz şu açıklamayı yaptı:” Keşfedilen hücum senaryosunda, PlushDaemon evvel gayelerinin bağlanabileceği bir ağ aygıtını ele geçiriyor; bu ele geçirme muhtemelen aygıtta çalışan yazılımdaki bir güvenlik açığını yahut zayıf yahut düzgün bilinen varsayılan yönetici kimlik bilgilerini kullanarak gerçekleştiriliyor ve saldırganların EdgeStepper’ı (ve muhtemelen öteki araçları) kullanmasına imkan tanıyor. Akabinde, EdgeStepper DNS sorgularını, DNS sorgu iletisindeki tesir alanının yazılım güncellemeleriyle ilgili olup olmadığını doğrulayan berbat hedefli bir DNS düğümüne yönlendirmeye başlar ve şayet öyleyse kaçırma düğümünün IP adresiyle cevap verir. Alternatif olarak, birtakım sunucuların hem DNS düğümü hem de ele geçirme düğümü olduğunu da gözlemledik; bu durumlarda, DNS düğümü DNS sorgularına kendi IP adresiyle cevap verir. Birkaç tanınan Çin yazılım eserinin güncellemeleri, EdgeStepper aracılığıyla PlushDaemon tarafından ele geçirildi.
PlushDaemon, en az 2018 yılından beri etkin olan ve Doğu Asya-Pasifik ve Amerika Birleşik Devletleri’ndeki birey ve kuruluşlara karşı casusluk faaliyetlerinde bulunan, Çin ile irtibatlı bir tehdit aktörüdür. ESET’in SlowStepper olarak izlediği özel bir art kapı kullanır. Geçmişte, ESET Research bu kümenin web sunucularındaki güvenlik açıkları yoluyla erişim sağladığını gözlemlemişti. Grup 2023 yılında bir tedarik zinciri saldırısı gerçekleştirmişti.
Kaynak: (BYZHA) Beyaz Haber Ajansı
