ESET, Çin bağlantılı yeni tehdit grubunu ortaya çıkardı
Dünya genelinde dijital güvenlik konusunda öncü olan ESET, Çin bağlantılı yeni bir sürekli gelişmiş tehdit (APT) grubunu ve bu grubun kullandığı sofistike bir implant olan NSPX30'u keşfetti. ESET, bu tehdit grubunu "Blackwood" olarak adlandırdı.
Blackwood, meşru yazılımlardan gelen güncelleme taleplerini ele geçirme amacı güden ortadaki adam tekniklerini kullanarak implantı dağıtmaktadır. Çin, Japonya ve Birleşik Krallık'ta bireylere ve şirketlere karşı siber casusluk operasyonları düzenleyen Blackwood, NSPX30 implantını Tencent QQ, WPS Office ve Sogou Pinyin gibi yasal yazılımların güncelleme mekanizmaları aracılığıyla dağıtmaktadır.
ESET'in yaptığı araştırmaya göre, NSPX30'un gelişimi 2005 yılında başlamış ve küçük bir arka kapı olan "Project Wood" adlı önceki bir tehdidin izini sürmektedir. NSPX30, damlalık, yükleyiciler, orkestratör ve arka kapı gibi çeşitli bileşenleri içeren çok aşamalı bir implant olarak dikkat çekmektedir. Ayrıca, NSPX30 çeşitli Çin kötü amaçlı yazılımlarından koruma çözümlerinde kendisini izin verilenler listesine ekleyebilme yeteneğine sahiptir.
ESET Research, Blackwood'un en az 2018'den beri faaliyet gösterdiğini ve bu tehdit grubunun aktivitelerini "muteks" adı verilen yinelenen bir tema üzerine inşa ettiğini belirtti. NSPX30 implantı, Çin ve Japonya'da kimliği belirsiz kişilere, Birleşik Krallık'taki bir kamu araştırma üniversitesinin yüksek profilli bir ağına, Çince konuşan bir kişiye ve Çin merkezli bir üretim ve ticaret şirketine yönelik siber casusluk operasyonları gerçekleştirmektedir.
ESET, NSPX30'un az sayıda sistemde tespit edildiğini ve saldırganların erişimi kaybetmeleri durumunda sistemleri yeniden ele geçirmeye çalıştığını gözlemledi. NSPX30, Skype, Telegram, Tencent QQ ve WeChat gibi uygulamalar için casusluk yetenekleri uygulayan özel eklenti setlerine sahip olmasıyla dikkat çekmektedir. Saldırganların, Baidu'nun meşru ağlarıyla iletişim kurarak gerçek altyapılarını anonimleştirdiği ve engelleme yeteneği kazandığı belirtilmiştir.
ESET araştırmacısı Facundo Muñoz, saldırganların NSPX30'u kötü niyetli güncellemeler olarak nasıl sunduklarını henüz bilmediklerini ifade etti. Ancak Muñoz, bu tür yetenekleri sergileyen Çin bağlantılı tehdit aktörleriyle ilgili deneyimleri ve MustangPanda gibi başka bir Çinli grupla ilgili son araştırmalara dayanarak, saldırganların savunmasız ağ cihazlarına ağ implantı yerleştirmiş olabileceklerini tahmin ettiklerini belirtti.