İmplant, tüm DNS sorgularını, güncellemeleri ele geçiren başka bir düğümün adresiyle yanıt veren kötü amaçlı bir harici DNS sunucusuna yönlendiriyor. Yazılım güncelleme trafiğini, hedef makinelere LittleDaemon ve DaemonicLogistics indiricilerini dağıtmak ve nihayetinde SlowStepper implantını yaymak amacıyla saldırganların kontrolündeki altyapıya etkili bir şekilde yeniden yönlendiriyor. SlowStepper, siber casusluk için kullanılan düzinelerce bileşene sahip bir arka kapı araç setidir. Bu implantlar, PlushDaemon’a dünyanın herhangi bir yerindeki hedefleri tehlikeye atma yeteneği kazandırıyor.

Çin ile bağlantılı bu grup 2019’dan bu yana Amerika Birleşik Devletleri, Yeni Zelanda, Kamboçya, Hong Kong, Tayvan ve Çin’de saldırılar düzenliyor. Kurbanları arasında Pekin’deki bir üniversite, elektronik ürünler üreten bir Tayvanlı şirket, otomotiv sektöründe faaliyet gösteren bir şirket ve imalat sektöründe faaliyet gösteren bir Japon şirketinin şubesi bulunuyor. 

Saldırıyı ortaya çıkaran ve analiz eden ESET araştırmacısı Facundo Muñoz şu açıklamayı yaptı:” Keşfedilen saldırı senaryosunda, PlushDaemon önce hedeflerinin bağlanabileceği bir ağ cihazını ele geçiriyor; bu ele geçirme muhtemelen cihazda çalışan yazılımdaki bir güvenlik açığını veya zayıf veya iyi bilinen varsayılan yönetici kimlik bilgilerini kullanarak gerçekleştiriliyor ve saldırganların EdgeStepper’ı (ve muhtemelen diğer araçları) kullanmasına olanak tanıyor. Ardından, EdgeStepper DNS sorgularını, DNS sorgu mesajındaki etki alanının yazılım güncellemeleriyle ilgili olup olmadığını doğrulayan kötü amaçlı bir DNS düğümüne yönlendirmeye başlar ve eğer öyleyse kaçırma düğümünün IP adresiyle yanıt verir. Alternatif olarak, bazı sunucuların hem DNS düğümü hem de ele geçirme düğümü olduğunu da gözlemledik; bu durumlarda, DNS düğümü DNS sorgularına kendi IP adresiyle yanıt verir.  Birkaç popüler Çin yazılım ürününün güncellemeleri, EdgeStepper aracılığıyla PlushDaemon tarafından ele geçirildi. 

PlushDaemon, en az 2018 yılından beri aktif olan ve Doğu Asya-Pasifik ve Amerika Birleşik Devletleri’ndeki birey ve kuruluşlara karşı casusluk faaliyetlerinde bulunan, Çin ile bağlantılı bir tehdit aktörüdür. ESET’in SlowStepper olarak izlediği özel bir arka kapı kullanır. Geçmişte, ESET Research bu grubun web sunucularındaki güvenlik açıkları yoluyla erişim sağladığını gözlemlemişti.  Grup 2023 yılında bir tedarik zinciri saldırısı gerçekleştirmişti.

Çinli tehdit grubu yazılım güncellemelerini sahte sunuculara yönlendiriyor yazısı ilk önce En Gazete üzerinde ortaya çıktı.

Dijital dönüşüm ve siber güvenlik teknolojisi ve çözümleri dağıtımcısı olan Axoft Intelligent Solutions , ürünlerinin dağıtımını yaptığı, DNS katmanında geliştirdiği siber güvenlik ürünleriyle dünyanın önde gelen firmalarından biri olan DNSSense ile birlikte 19 Eylül tarihinde İstanbul Raffles Hotel’de düzenlenen IDC Security Summit 2023’e katıldı. Etkinlikte Axoft Intelligent Solutions ve DNSSense’in siber güvenlik alanındaki uzmanlıkları ve sektörel tecrübeleri paylaşıldı ve bu alandaki en son yenilikler katılımcılara tanıtıldı. 

Siber güvenlik çözümlerine ilgi artıyor

Axoft Intelligent Solutions Ülke Müdürü Bahar Pınarlı, “Siber güvenlik, BT optimizasyonu ve DevSecOps alanında başarılı olmuş markaların dağıtıcılığını üstlenen katma değerli bir distribütör olarak IDC Güvenlik Zirvesi 2023’te yer aldık. Siber güvenlik alanındaki ihtiyaçların artması bu alana yönelik çözümlere ilginin de büyümesine yol açıyor. Axoft, siber güvenlik alanındaki en gelişmiş teknoloji, platform ve çözümlerin distribütörlüğünü yapıyor. Zirvede, ağırlıklı olarak katma değerli çözümlerimize odaklandık ve katılımcılarla bu alandaki muazzam portföyümüzü paylaştık” dedi. 

DNSSense teknolojisi bilinmeyen tehditlere karşı da koruma sağlıyor 

DNSSense Pazarlama Direktörü Serhat Şahin ise, “Siber tehditlerin daha da karmaşık hale gelmesiyle birlikte mevcut ve geleneksel siber güvenlik stratejilerini de revize etmemiz gerekiyor. Neredeyse her dijital yüzeyin merkezinde yer alan DNS’in artık görmezden gelindiği bir strateji eksik kalmaya maalesef mahkum. DNSSense, büyük network’lerin siber güvenlik olgunluğunu artırmak için mevcutta çalışan diğer güvenlik çözümleriyle tam entegre olarak kurumlara ek bir güvenlik katmanı daha oluşturmalarına imkan veriyor. Segmentinde bir ilk olan DNS-Focused Detection and Response çözümüyle artık sadece bilinen tehditlere değil bilinmeyen tehditlere karşı da koruma sağlayan DNSSense; gelenseksel imza tabanlı koruma sistemlerini arkasında bırakarak tespit edilmesi çok zor olan DNS tünelleme saldırılarını yapay zekadan gücünü alan ürünleriyle tespit edip engelliyor. Bunu yapabilen tek ürün olduğumuzu söyleyebiliriz. Bu zirvede ise bu alandaki iddiamızı sektörümüze gösterme fırsatı bulduk.” dedi.

IDC Security Summit 2023

IDC Güvenlik Zirvesi 2023’te karmaşıklığı giderek artan ve güvenlik sorunları giderek büyüyen siber dünyadaki en son gelişmeler tartışıldı. En yeni siber güvenlik teknolojileri, hibrit çalışma ortamlarının yarattığı riskler, 5G’nin getirdiği olanaklar, ihtiyaç duyulan regülasyonlar, etkinlikte alanının uzman isimleri tarafından değerlendirildi. Verileri için güvenlik arayanların işinin giderek zorlaştığının vurgulandığı etkinlikte, güvenlik konusunda yapılan yatırımların niteliği ve önümüzdeki dönemde öne çıkacak siber güvenlik konuları tartışıldı. Geniş bir katılıma sahne olan etkinliğe siber güvenlik konusunda önde gelen pek çok isim katıldı. 

Kaynak: (BYZHA) Beyaz Haber Ajansı

DNS Tünelleme Saldırıları Artık Yapay Zekayla Engellenebiliyor yazısı ilk önce En Gazete üzerinde ortaya çıktı.