Teknoloji

Fransa, Çin Devlet Bilgisayar Korsanları Tarafından Uyardı

Bölge yetkilileri, Çin eyaletindeki bilgisayar korsanlarının Fransa’daki kuruluşlara sürekli ve devam eden bir saldırıda kullanmak için çok sayıda ev ve ofis yönlendiricisinden ödün verdiğini söyledi.

Güvenlik çevrelerinde APT31, Zirkonyum, Panda ve diğerleri olarak bilinen hacker grubu, tarihsel olarak hükümet, finans, havacılık ve savunma kuruluşlarının yanı sıra teknoloji, inşaat, mühendislik, telekomünikasyon, medya ve diğer alanlarda casusluk kampanyaları yürütmüştür. sigorta sektörü, güvenlik firması FireEye dedi. APT31 ayrıca, Çin hükümeti tarafından finanse edilen İngiltere Ulusal Siber Güvenlik Merkezi Microsoft Exchange’e yakın zamanda yapılan bir hack saldırısına karışan üç hacker grubundan biridir. Pazartesi söyledi.

Gizli toplantı ve müdahale

Çarşamba günü, ANSSI olarak kısaltılan Fransız Ulusal Bilgi Sistemleri Güvenlik Ajansı, ulusal kurum ve kuruluşları, grubun istihbarat ve saldırılardan önce müdahaleyi örtbas etmek için istihbarat ve saldırılar kullanan bir kitlesel saldırı kampanyasının arkasında olduğu konusunda uyardı.

ANSSI, “ANSSI şu anda birçok Fransız kurumunu etkileyen büyük bir müdahale kampanyası yürütüyor.” Dedi. tavsiye uyardı. “Saldırılar hala devam ediyor ve yaygın olarak APT31 olarak adlandırılan bir müdahale tarafından yönlendiriliyor. Araştırmamız, tehdit aktörünün, gizli istihbarat ve saldırılar gerçekleştirmek için operasyonel bir geçiş kutusu olarak indirimli ev yönlendiricileri ağını kullandığını gösteriyor. ”

Bir öneri içerir uzlaşma göstergeleri hangi kuruluşların bir kampanyada saldırıya uğradıklarını veya hedef alınıp alınmadıklarını belirlemek için kullanabilecekleri. Göstergeler 161 IP adresini içeriyor, ancak bunların tehlikeli yönlendiricilere mi yoksa saldırılarda kullanılan diğer İnternet bağlantılı cihazlara mı ait olduğu net değil.

bir grafik Güvenlik şirketi Cyjax’ta araştırmacı olan Will Thomas tarafından oluşturulan, IP barındıran ülkelerin en büyük konsantrasyonu Rusya’da, ardından Mısır, Fas, Tayland ve Birleşik Arap Emirlikleri geliyor.

Adreslerin hiçbiri Fransa’da veya Batı Avrupa ülkelerinde veya parçası oldukları halklarda yer almıyor. Beş göz birliği.

“APT31, bazı şüpheleri önlemek için genellikle hedef ülkelerdeki yönlendiricileri son atlama olarak kullanır, ancak bu kampanyada [French security agency] CERT-FR onları serbest bıraktı, burada yapmıyorlar, “dedi Thomas doğrudan bir mesajla. “Buradaki bir diğer zorluk, bazı yönlendiricilerin geçmişte veya aynı anda diğer saldırganlar tarafından tehdit edilmesidir.”

Yaklaşan yönlendiriciler

Microsoft tehdit analisti Ben Koehl Twitter’a gitti ek bağlam Zirkonyum için – APT31 için yazılım üreticisinin adı.

O yazdı:

ZİRKONYUM, bu eylemleri kolaylaştırmak için çok sayıda yönlendirme ağı çalıştırır. Birlikte katlanır ve stratejik olarak kullanılır. Bu IP adreslerini araştırırken, daha çok kaynak IP olarak kullanılmaları gerekir, ancak bazen ağa trafik yerleştirmeye işaret ederler.

Tarihsel olarak C2 iletişimi için klasik bir dnsname -> ip yaklaşımı olmuştur. O zamandan beri, bu trafik yönlendirme ağına aktarıldı. Bu onlara, izleme öğelerinin çabalarını yavaşlatırken birden çok trafik hedefi katmanını yönetme esnekliği verir.

Öte yandan, hedeflerini belirlemek için ülkeyi biraz terk etmek için hedef ülkelere gidebilirler.

Bilgisayar korsanları yıllardır hizmet reddi saldırılarını yakalamak, kullanıcıları kötü amaçlı sitelere yönlendirmek ve kaba kuvvet saldırıları, güvenlik açıkları, bağlantı noktası tarama ve filtreleme için güvenilir aracılar olarak hareket eden botnet’leri kullanmak için indirimli ev ve küçük ofis yönlendiricileri kullandı. Saldırı altındaki hedeflerden bilgi. 2018’de Cisco’nun Talos güvenlik grubundan araştırmacılar, çok çeşitli çirkin amaçlar için 50.000’den fazla yönlendirici kullanan Rus devlet bilgisayar korsanlarıyla bağlantılı kötü amaçlı bir program olan VPNFilter’i keşfettiler. Aynı yıl, Akamai’deki araştırmacılar ayrıntılar adı verilen bir teknik kullanarak yönlendirici işlemleri UPnProxy.

Çoğu yönlendirici kötü amaçlı yazılımı yeniden başlatamayacağından, cihazlarının risk altında olduğundan endişe duyan kişiler zaman zaman cihazlarını yeniden başlatmalıdır. Kullanıcılar ayrıca uzaktan kumandanın kapalı olduğundan (gerçekten gerekli olmadıkça ve kilitlenmedikçe) ve DNS sunucularının ve diğer yapılandırmaların kötü amaçlarla değiştirilmediğinden emin olmalıdır. Her zaman olduğu gibi, bellenim güncellemelerini hemen yüklemek iyi bir fikirdir.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu