PlushDaemon'un EdgeStepper Enjeksiyonu ve SlowStepper Arka Kapı ile Küresel Casusluk Ağı

Siber güvenlik çözümlerinde dünya lideri olan ESET, Çin ile bağlantılı tehdit grubunun EdgeStepper adlı yeni bir ağ cihazı implantını kullanarak ortadaki adam saldırıları gerçekleştirdiğini tespit etti. Bu implant, tüm DNS sorgularını, güncellemeler için yönlendirilmiş olan kötü amaçlı bir harici DNS sunucusuna iletili olarak yanıt veriyor. Aynı zamanda yazılım güncelleme trafiğini hedef makinelerden ele geçirerek kullanıcı makinelerine LittleDaemon ve DaemonicLogistics indiricilerini dağıtmayı ve en sonunda SlowStepper adlı arka kapı kurtarma araç setini genişletmeyi amaçlıyor. Elinde bulunan modüller, siber casusluk operasyonlarında geniş bir araç yelpazesine sahip olan PlushDaemon’un bir parçasıdır ve bu sayede dünya çapında hedeflere zarar verme kapasitesi elde ediliyor.

Grup, 2019 yılından beri Amerika Birleşik Devletleri, Yeni Zelanda, Kamboçya, Hong Kong, Tayvan ve Çin’de sızma faaliyetleri yürütüyor. Hedefler arasında Pekin’de bir üniversite, Tayvan merkezli bir elektronik ürün firması, otomotiv sektörüne odaklanan bir şirket ve bir Japon firma iştirakinin üretim birimi bulunuyor. ESET müellifi Facundo Muñoz’un paylaştığı bulgulara göre, PlushDaemon önce hedeflerin bağlandığı bir ağ cihazını ele geçiriyor; bu ele geçirme, cihazdaki yazılımdaki güvenlik açığından ya da zayıf/varsayılan yönetici kimlik bilgilerinden faydalanılarak gerçekleştiriliyor ve saldırganların EdgeStepper ile muhtemelen diğer araçları kullanmasına olanak tanınıyor. Ardından EdgeStepper, DNS sorgularını güncelleme trafiğine uygun bir DNS düğümüne yönlendiriyor ve bu düğüm öyleyse yanlışlanan yanıtı hedefin IP adresiyle gönderiyor. Ayrıca bazı durumlarda DNS düğümü ile ele geçirme düğümü tek bir sunucuda birleşmiş durumda gözlemleniyor; bu tip sunucular kendi IP’leriyle DNS yanıtı veriyor.

Kısa süre önce Çin dışı yazılım ürünlerinin güncellemelerinin, EdgeStepper aracılığıyla PlushDaemon tarafından ele geçirildiği tespit edildi. PlushDaemon, en az 2018’den itibaren Doğu Asya-Pasifik ile Amerika Birleşik Devletleri’ndeki bireyler ve kurumlara yönelik uzun süren bir istihbarat faaliyeti yürütüyor ve ESET’in SlowStepper olarak adlandırdığı özel arka kapıyı kullanıyor. ESET Research geçmişte bu grubun web sunucularındaki güvenlik açıklarını kullanarak sisteme erişim sağlandığını da gözlemlemişti. Grup, 2023 yılında bir tedarik zinciri saldırısı gerçekleştirmiş durumda.

Kaynaklar: BYZHA – Beyaz Haber Ajansı