Ulusal İnternet Acil Durum Merkezi, ülkemdeki gelişmiş bir Malzeme Tasarım Enstitüsü'ne ABD'nin siber saldırısı olayı hakkında bir soruşturma raporu yayınladı.-中国通讯社

CCTV Haberleri: 17 Ocak'ta Ulusal İnternet Acil Durum Merkezi CNCERT bir rapor yayınladı ve ABD'nin ülkemdeki Gelişmiş Malzeme Tasarım Enstitüsü'ne siber saldırısının ayrıntılarını açıkladı. Daha önce, 18 Aralık 2024'te Amerika Birleşik Devletleri'ndeki büyük teknoloji şirketlerine iki siber saldırının keşfedildiğini ve ele alındığını duyurdu.

Siber Saldırı Süreci

(i) 19 Ağustos 2024'te saldırıya saldırmak için güvenlik açıklarını kullanarak, saldırgan, sistemin içine girmek ve sistem yöneticisi hesap/şifre bilgilerini çalmak için ünitenin elektronik dosya sistemi enjeksiyon güvenlik açığını kullandı. 21 Ağustos 2024'te saldırgan, saldırıya uğrayan sistemin yönetim arka planına giriş yapmak için çalıntı yönetici hesabını/şifresini kullandı.

(ii) Yazılım Yükseltme Yönetimi Sunucusu, 21 Ağustos 2024'te 12: 00'de arka kapı ve Truva Programı'na implante edildi, saldırgan elektronik dosya sisteminde çalınan veri almak için arka kapı programını ve özelleştirilmiş bir Truva programını dağıttı. Tespitten kaçınmak için, bu kötü amaçlı programlar sadece bellekte bulunur ve sabit diskte saklanmaz. Truva programı, /xxx /xxxx? Flag = syn_user_policy erişim yolu ile ilgili birimin kişisel bilgisayarından çalınan hassas dosyaları almak için kullanılır. Arka kapı programı, çalınan hassas dosyaları toplamak ve bunları denizaşırı ülkeye aktarmak için kullanılır. Erişim yolu /xxx /xxxstats.

(iii) 6 Kasım 2024, 8 Kasım 2024 ve 16 Kasım 2024 tarihinde Truva atları ile büyük ölçekli bir kişisel ana bilgisayar bilgisayarı

ile implante edildi. Truva programının ana işlevi, çalmak için ana bilgisayara implante edilen hassas dosyaları taramaktır. İkincisi, saldırıya uğramış kişinin giriş hesabı sırrı gibi diğer kişisel bilgileri çalmaktır. Truva programları mümkün olan en kısa sürede silinebilir.

2. Büyük miktarda ticari gizli bilgi çalın

(i) Mağdur birimi ana bilgisayarının tam disk taraması

Saldırgan, Çin IP sıçrama tahtasını birçok kez yazılım yükseltme yönetimi sunucusuna giriş yapmak için kullandı ve sunucuyu kurban biriminin intranet ana bilgisayarını istila etmek için kullandı ve birimin intranet barındırıcısı bulmak için birimin intranet hard diskini bulmak için kullandı.

(ii) Amaç açıkça hedeflenen hırsızlığı hedefledi

6 Kasım - 16 Kasım 2024 arasında, saldırgan yazılımı yönetim sunucusuna kesmek için üç farklı sıçrama tahtası IP'leri kullandı ve Truva atlarını kişisel ana bilgisayara implante etti. Bu Truva atları, kurban biriminin iş içeriği ile yüksek oranda ilişkili olan belirli anahtar kelimelere sahiptir. Belirli anahtar kelimeler içeren dosyalar aradıktan sonra, ilgili dosyalar çalınır ve denizaşırı ülkeye iletilir. Bu üç çalma faaliyetinde kullanılan anahtar kelimeler farklıdır, bu da saldırganın her saldırıdan önce dikkatli hazırlıklar yaptığını ve oldukça hedeflendiğini gösterir. Üç Gizli Hırsızlık, toplam 4,98GB önemli ticari bilgi ve fikri mülkiyet belgesini çaldı.

3. Saldırı davranışının özellikleri

(i) Saldırı Süresi

Analizi, saldırı süresinin esas olarak 22:00 Pekin zamanı ile 8:00 arasında, ABD'nin gündüzlerinde 10:00 ila 20:00 ile karşılaştırıldığını bulmuştur. Saldırı süresi esas olarak Amerika Birleşik Devletleri'nde pazartesiden cumaya dağıtıldı ve Amerika Birleşik Devletleri'nde büyük tatillere saldırı yapılmadı.

(ii) Saldırı Kaynakları

Saldırgan tarafından kullanılan beş sıçrama tahtası IP'si hiç kopyalanmaz. Almanya ve Romanya'da bulunurlar, yüksek izlenme karşıtı farkındalıklarını ve zengin saldırı kaynakları rezervlerini yansıtırlar.

(iii) Saldırı Silahları

İlk olarak, izlenebilirliği gizlemek ve önlemek için açık kaynak veya genel araçlar kullanma iyidir. Birimin sunucusunda bulunan arka kapı programı bu kez açık kaynaklı bir genel arka kapı aracıdır. İzlenmekten kaçınmak için saldırganlar büyük miktarlarda açık kaynak veya genel amaçlı saldırı araçları kullanırlar. İkincisi, önemli arka planlar ve Truva programları sadece bellekte çalıştırılır ve sert diskte saklanmaz, bu da analizimin ve saldırı davranışlarını keşfetmemin zorluğunu büyük ölçüde artırır.

(iv) Saldırı Yöntemi

Saldırgan ünitenin elektronik dosya sistemi sunucusuna saldırdıktan sonra, sistemin istemci dağıtım programına müdahale etti ve Truva Programlarını yazılım istemci yükseltme işlevi aracılığıyla 276 kişisel ana bilgisayara teslim etti, önemli kullanıcılara hızlı ve doğru bir şekilde saldırdı. Yukarıdaki saldırı yöntemleri, saldırı organizasyonunun güçlü saldırı yeteneğini tam olarak göstermektedir.

IV. Bazı sıçrama tahtası ip listesi