Daha fazla dil
English
German
فارسی
Italia
Português
Français
РУССКИЙ
Español
日本語
العربية
조선어
Melayu
TiếngViệt
ພາສາລາວ
ភាសាខ្មែរ
ภาษา:ภาษ
Indones
ျမန္မာ
MONGOL
नेपाली
हिन्दी
বাংলা
Türkçe
简体中文
繁體中文
mevcut konum:haberler > news > metin
ABD Siber Saldırı, Ülkemin Akıllı Enerjisi ve Dijital Bilgilerinde Büyük Bir Yüksek Teknoloji Girişimi ve Ulusal İnternet Acil Durum Merkezi Soruşturma Raporu'nu Yayınlar
2025-04-26 kaynak:CCTV.com

CCTV Haberleri: 17 Ocak'ta Ulusal İnternet Acil Durum Merkezi CNCERT bir rapor yayınladı ve ABD'nin ülkemin akıllı enerjisi ve dijital bilgilerindeki büyük bir yüksek teknoloji işletmesine yönelik siber saldırısının ayrıntılarını açıkladı. Daha önce, 18 Aralık 2024'te Amerika Birleşik Devletleri'ndeki büyük teknoloji şirketlerine iki siber saldırının keşfedildiğini ve ele alındığını duyurdu.

/> </p> <p> 1. Siber Saldırı İşlemi </p> <p> (i) İçeri girmek için posta sunucusu güvenlik açıklarını kullanın </p> <p> Şirketin posta sunucusu Microsoft Exchange posta sistemini kullanır. Saldırgan, önce belirli bir hesaba saldırmak için belirli bir kullanıcı dövme kırılganlığı kullanarak ve daha sonra keyfi kod yürütme amacına ulaşmak için tekrar saldırmak için belirli bir seansizasyon kırılganlığı kullanarak iki Microsoft Exchange güvenlik açığı kullandı. </p> <p> (ii) Posta sunucusuna son derece gizli bellek truva atlarını implante etmek </p> <p> Keşfedilmekten kaçınmak için, saldırgan posta sunucusuna yalnızca bellekte çalışan ve sert diskte saklanmayan iki saldırı silahı implante etti. Sanallaştırma teknolojisini kullanır ve sanalın erişim yolları /wa/auth/xxx/xx.aspx ve /owa/auth/xxx/yy.aspx vardır. Saldırı silahlarının ana işlevleri arasında hassas bilgi hırsızlığı, komut yürütme ve intranet penetrasyonu bulunur. İntranet penetrasyon programı, güvenlik yazılımı algılamasını gizlemeden kaçınır ve saldırgan trafiğini diğer hedef cihazlara ileterek diğer intranet cihazlarına saldırma amacına ulaşır. </p> <p> (iii) İntranette 30'dan fazla önemli cihazdan yararlanmak </p> <p> Saldırganlar, posta sunucusunu bir sıçrama tahtası olarak kullandılar ve intranette gizli bir şifreli şanzıman tüneli oluşturmak için intranet tarama ve penetrasyonu kullandılar, şirketin 30'dan fazla önemli bakımı ve diğer yöntemler üzerinden kontrol ettiler. Kişisel bilgisayarlar, sunucular ve ağ ekipmanları dahil; Kontrollü sunucular arasında posta sunucuları, ofis sistemi sunucuları, kod yönetimi sunucuları, test sunucuları, geliştirme yönetimi sunucuları ve dosya yönetimi sunucuları bulunur. Kalıcı kontrol elde etmek için saldırgan, ilgili sunucularda ve ağ yöneticisi bilgisayarlarında bir WebSocket+SSH tüneli oluşturabilen bir saldırı ve çalma silahı implante etti ve saldırgan talimatlarının gizli yönlendirme ve veri hırsızlığını gerçekleştirdi. Keşfedilmekten kaçınmak için, WeChat ile ilgili program olarak gizlenmiş saldırı casusluk programı wechatxxxxxxx.exe. Saldırgan ayrıca, kurban sunucusundaki süreçler arasında iletişim kurmak için boru boru hatlarını kullanarak iki modüler kötü amaçlı program implante etti ve iletişim boru hattının yapımını gerçekleştirdi. </p> <p> 2. Çok miktarda ticari sır bilgisi çalın </p> <p> (i) Çok miktarda hassas e -posta verisi çalın </p> <p> Saldırgan e -posta dışarısı dışlama işlemlerini gerçekleştirmek için e -posta sunucusu yönetici hesabını kullandı. Çalma sırlarının hedefi esas olarak şirketin üst yönetimi ve önemli departman personeli idi. Saldırgan dışa aktarma komutunu yürüttüğünde, e -postaları dışa aktarmak için zaman aralığı ayarlanır. Bazı hesaplar tüm e -postaları dışa aktarır ve birçok hesap, casusluk verilerinin miktarını azaltmak ve keşfedilme riskini azaltmak için belirtilen zaman aralığına göre e -postaları dışa aktarır. </p> <p> (ii) Çekirdek Ağ Ekipmanı Hesabı ve Yapılandırma Bilgilerini Çalma </p> <p> Saldırgan, şirketin üç ağ yöneticisinin bilgisayarlarına saldırdı ve şirketin temel ağ ekipman hesabı ve yapılandırma bilgilerini sık sık çaldı. For example, on May 2, 2023, the attacker used the proxy server (95.179.XX.XX) located in Germany as a springboard, and then used the email server as a springboard to attack the company's network administrator computer, and stole sensitive files such as

(iii) Proje Yönetimi Dosyalarını Çalmak

Saldırgan, şirketin kod sunucularına, geliştirme sunucularına vb. Saldırarak şirketin ilgili geliştirme proje verilerini sık sık çalıyor. Örneğin 26 Temmuz 2023'te Saldırgan, Finland'de bulunan Proxy Server'ı (65.21.xx.xx) bir sıçrama tahtası olarak kullandı. Şirketin posta sunucusuna saldırdıktan sonra, şirketin kod sunucusuna implante edilen arka kapı saldırısı silahlarına sık sık erişmek için bir sıçrama tahtası olarak kullandı ve 1.03GB'a kadar veri çaldı. Keşfedilmekten kaçınmak için, arka kapı programı, açık kaynak projesinde "Zen Tao" dan "TIP4XXXXXXXX.PHP" dosyası olarak gizlenir.

(iv) Net saldırı izleri ve anti-anti-anti-analizi yürütmek

Keşfedilmekten kaçınmak için, bir saldırgan tarafından yapılan her saldırıdan sonra, saldırgan bilgisayar günlüğündeki saldırı izlerini temizleyecek ve saldırı çalma işlemi sırasında oluşturulan geçici paketlenmiş dosyaları silecektir. Saldırgan ayrıca, makinenin kanıt toplanmasını analiz etmek ve ağ güvenlik algılaması ile mücadele etmek amacıyla sistem denetim günlüğünü, geçmiş komut kayıtlarını, SSH ile ilgili yapılandırmalar vb.

3. Saldırı davranışının özellikleri

(i) Saldırı Süresi

Analizi, saldırı faaliyetinin, ABD'nin gündüzlerinde 10:00 - 20:00 ile karşılaştırıldığında, ertesi gün 22:00 Pekin zamanı ile 8:00 arasında yoğunlaştığını buldu. Saldırı süresi esas olarak Amerika Birleşik Devletleri'nde pazartesiden cumaya dağıtıldı ve Amerika Birleşik Devletleri'nde büyük tatillere saldırı yapılmadı.

(ii) Saldırı Kaynakları

Mayıs 2023'ten Ekim 2023'e kadar saldırgan 30'dan fazla siber saldırı başlattı. Saldırgan tarafından kullanılan yurtdışı sıçrama tahtası IP'leri temel olarak tekrarlanmamıştır, bu da yüksek izlenebilirlik farkındalığını ve zengin saldırı kaynakları rezervlerini yansıtır.

(iii) Saldırı Silahları

Saldırgan tarafından implante edilen boru boru hattı işlemi iletişimi için iki modüler kötü amaçlı program "C: \\ windows \\ System32 \\" altında bulunur. .NET çerçevesini kullanırlar. Derleme süresi, esas olarak TLS şifrelemesi olan onlarca KB boyutunda silinir. Posta sunucusunun belleğine implante edilen saldırı silahlarının ana işlevleri arasında hassas bilgi hırsızlığı, komut yürütme ve intranet penetrasyonu bulunur. İlgili sunuculara ve ağ yöneticisi bilgisayarlarına implante edilen saldırı ve çalma silahı, bir WebSocket+SSH tüneli oluşturmak için HTTPS protokolünü kullanabilir ve saldırgan tarafından kontrol edilen bir alan adına geri dönecektir.

IV. Bazı sıçrama tahtası ip listesi

Okuma sıralaması
Bu yılın Ocak ayından Nisan ayına kadar, Hongqiao Uluslararası Havalimanı'na gelen ve giden iş jeti uçuşlarının toplam sayısı yıllık bazda %20 arttı.
Yeni bir rekor kırın! Çin'in pompalı depolamalı elektrik santralinin en derin şaftı tamamen bağlantılı
Bu yıl Shenzhen Limanı'na giriş ve çıkış sayısı 100 milyonu aştı
Tayvanlı siyasi partiler, çalışma koşullarının iyileştirilmesi çağrısında bulunmak üzere 1 Mayıs yürüyüşü düzenledi
Öne Çıkan Haberler
Tayvanlı siyasi partiler, çalışma koşullarının iyileştirilmesi çağrısında bulunmak üzere 1 Mayıs yürüyüşü düzenledi
Dalış Dünya Kupası Finalleri: Çin takımı ilk günde donanımları süpürdü
Çin ile diplomatik ilişkileri olan 53 Afrika ülkesi için kapsamlı bir şekilde sıfır tarife uygulayın. Ülke çapındaki ilk mal sevkiyatı Shenzhen'de gerçekleştirilecek.
“Çin'e Seyahat” kızışmaya devam ediyor Çin'in havacılık marka değeri istikrarlı bir şekilde artıyor
24 saat erişim noktası
1Tayvanlı siyasi partiler, çalışma koşullarının iyileştirilmesi çağrısında bulunmak üzere 1 Mayıs yürüyüşü düzenledi
2Dalış Dünya Kupası Finalleri: Çin takımı ilk günde donanımları süpürdü
3Çin ile diplomatik ilişkileri olan 53 Afrika ülkesi için kapsamlı bir şekilde sıfır tarife uygulayın. Ülke çapındaki ilk mal sevkiyatı Shenzhen'de gerçekleştirilecek.
4“Çin'e Seyahat” kızışmaya devam ediyor Çin'in havacılık marka değeri istikrarlı bir şekilde artıyor
English
German
فارسی
Italia
Português
Français
РУССКИЙ
Español
日本語
العربية
조선어
Melayu
TiếngViệt
ພາສາລາວ
ភាសាខ្មែរ
ภาษา:ภาษ
Indones
ျမန္မာ
MONGOL
नेपाली
हिन्दी
বাংলা
Türkçe
简体中文
繁體中文
Unified Service Email:chinanewsonline@yeah.net
Copyright@ www.china-news-online.com