Avustralya Siber Güvenlik Merkezi bir grup devlet yetkililerinin 19 Haziranda Avustralya ağlarını hacklediğini ve sömürdükleri güvenlik açıklarından birinin kötü amaçlı yazılım saldırılarıyla ilgili olduğunu söyledi.
24 Haziranda yayınlanan 48 sayfalık rapora göre tehdit aktörleri yakın zamanda Blue Mockingbird kötü amaçlı yazılım çetesi tarafından bir Monero (Xmr) madencilik yazılımı olan xmrrıg ile binlerce sistemi enfekte etmek için kullanılan CVE-2019-18935 dahil olmak üzere Telerik UIdeki dört kritik güvenlik açığından yararlandı.
Güvenlik açığı çoğunlukla şifreleme amacıyla kullanılır
Danışma bilgisayar korsanlarının son zamanlarda yaşanan büyük siber saldırı sırasında şifreleme kötü amaçlı yazılım yükleyip yüklemeyeceğini söylemese de bu tür bir güvenlik açığı şirket ağlarına kripto madenciliği uygulamalarını yüklemek için siber suçlular için tercih edilen güvenlik açığıdır.
Raporda Cointelegraphın Blue Mockingbird saldırısında bildirdiği ile benzerlikleri olan CVE-2019-18935 güvenlik açığı üzerinde duruluyor ancak bu çetenin Avustralyaya karşı siber saldırıya katıldığı anlamına gelmiyor:
“Diğer istismar yükleri en çok ACSC tarafından aktörün ters mermi girişimi başarısız olduğunda belirlendi. Bunlar: bir PowerShell ters kabuğu yürütmeye çalışan bir yük; başka bir yükü indirmek için certutil.exe yürütmeye çalışan bir yük; daha önce aktör tarafından yüklenmiş ancak kalıcılık mekanizması bulunmayan ikili kötü amaçlı yazılım (bu danışma belgesinde HTTPCore olarak tanımlanmıştır) yürüten bir yük; web kökünün mutlak yolunu numaralandıran ve bu yolu web kökündeki bir dosyaya yazan bir yük. ”
Devlet destekli Çinli hacker grupları saldırının arkasında mıydı?
Casusluk faaliyetleriyle uğraşan ve Çin hükümetiyle bağlantıları olduğu iddia edilen yaklaşık 10 Çinli hacker grubu Avustralya hükümeti raporunda tanımlanan kötü amaçlı yazılımlardan biri olan PlugX kötü amaçlı yazılımına sahip olarak biliniyor.
Bazı Avustralyalı yetkililer diplomatik konular iki ülke arasında yükselişte olduğu için Çinin büyük siber saldırının arkasında olabileceğini öne sürdü. Saldırının Avustralyanın ayrımcı bir suçlama olarak gördüğü ve ticaret misillemesi ile cevap verdiği için dragon nation yetkililerini iyi karşılamayan covid-19 virüsünün kökeni hakkında bir soruşturma başlatmasından sonra gelebileceği söylendi.
Çin hükümeti ise iddiaları reddetti.