Hacker Grubu Earth Estries, Casusluk Kampanyaları ile Küresel Endüstrileri Hedef Alıyor

Dünya Estries, bir Çinli hacker grubu, ileri düzey zararlı yazılımlarla küresel endüstrileri hedef alır, zafiyetleri sömürür ve kritik sektörler boyunca uzun vadeli casusluk faaliyetleri yürütür.

Salt Typhoon, yakın zamanda Verizon, AT&T, Lumen Technologies ve T-Mobile gibi Amerikan telekomünikasyon devlerini hedef alan ve Çin’le bağlantılı casusluk kampanyasıyla dikkat çekti. Bu durum The Record tarafından belirtildi. Saldırganların, hükümet veya politik faaliyetlerle bağlantılı bireyler üzerinde yoğunlaşarak müşteri çağrı verilerine eriştiği bildirildi.

Pazartesi günü, siber güvenlik firması Trend Micro, Salt Typhoon için kullandıkları terim olan Earth Estries ile bağlantılı başka bir kampanyayı, yeni bir arka kapı aracı olan GhostSpider ile Güneydoğu Asya telekomünikasyonlarını hedef alarak raporladı.

Çin siber casusluk grubu Earth Estries, 2023 yılından bu yana küresel olarak kritik sektörleri, telekomünikasyon ve hükümet sektörlerini dahil olmak üzere, hedef alıyor.

Grup, ABD, Asya-Pasifik, Orta Doğu ve Güney Afrika’da 20’den fazla kuruluşa sızmış, uzun süreli casusluk operasyonları yürütmek için ileri teknikler kullanmıştır. Kurbanlar arasında teknoloji, danışmanlık, kimya ve ulaşım sektörlerindeki şirketlerin yanı sıra kar amacı gütmeyen organizasyonlar ve devlet kurumları da bulunmaktadır.

Earth Estries, ilk erişimi kazanmak için halka açık sunuculardaki zafiyetleri kullanır, “topraktan yaşayan ikililer” olarak bilinen meşru sistem araçlarını kullanarak ağlar içinde tespit edilemez bir şekilde hareket eder.

Bir kez içeri girdiklerinde, grup, GHOSTSPIDER, SNAPPYBEE ve MASOL RAT gibi özel kötü amaçlı yazılımları kontrol sağlamak ve hassas bilgileri çıkarmak için kullanır.

Son saldırılar, GHOSTSPIDER’ın, modüler bir arka kapı olduğunu ve belirli görevler için farklı araçlar yüklemek üzere tasarlandığını ortaya koydu. Bu, grubun taktiklerini değiştirirken algılanmayı engellemesini sağlar. Grubun operasyonları, kampanyalarının belirli yönlerini yöneten farklı ekiplerle yüksek düzeyde koordinasyon gösterir.

Taktiklerinde, tekniklerinde ve prosedürlerinde diğer Çinli hacker gruplarıyla olan örtüşmeler, muhtemelen bir hizmet olarak zararlı yazılım sunan yer altı pazarları aracılığıyla ortak araçları önermektedir.

Earth Estries üzerine yapılan araştırmalar, genellikle dolaylı yoldan asıl hedeflerine erişim sağlamak için tedarikçi sistemleri hedef alarak, telekomünikasyon ve hükümet ağlarına olan odaklarını vurgulamıştır.

Bir durumda, önemli bir telekomünikasyon müteahhidi tarafından kullanılan makineleri tehlikeye atmak için DEMODEX rootkit’ini kullandılar, bu da onların fark edilmeden etkilerini genişletmelerine olanak sağladı.

Analistler, Earth Estries’in operasyonlarının kenar cihazlarından bulut sistemlerine kadar uzandığını belirtiyorlar, bu da onları özellikle tanımlamayı ve hafifletmeyi zorlaştırıyor.

Teknikleri arasında sunucu zafiyetlerini sömürme ve hedeflerinin ağlarında sürekliliği sağlamak için sofistike araçlar kullanma bulunmaktadır. Uzmanlar, Earth Estries’in faaliyetlerinin siber casusluk kampanyalarının giderek karmaşıklaştığını gösterdiği konusunda uyarıyorlar.

Organizasyonların bilinen zafiyetleri ele alarak, ağ aktivitelerini izleyerek ve saldırıları sürecin erken aşamalarında tespit edip engellemek için ileri tehdit tespit sistemlerini kullanarak siber güvenlik savunmalarını güçlendirmeleri önerilmektedir.

Trend Micro, Dünya Estries’in stratejilerini geliştirmeye devam etmesi ve küresel endüstrilere ve hükümetlere ciddi bir tehdit oluşturması nedeniyle, önleyici önlemlerin gerekliliğini vurgulamaktadır.