Giriş
Son dönemde, Çin menşeli bir casusluk kampanyasının, Kuzey Amerika’daki bir tıbbi kurumun REDCap sunucularını hedef alarak Infinitered zararlısını dağıttığı ve hassas verileri çaldığı tespit edilmiştir. Bu olay, sağlık ve bilim araştırmaları için kritik bir platformun nasıl tehdit edildiğini ve siber güvenlikteki önemli riskleri gözler önüne sermektedir.
Saldırı Nasıl Çalışıyor?
Araştırmacılar, saldırıyı gerçekleştiren aktörlerin UNC6508 adını verdiği bir tehdit aktörü tarafından yönetildiğini belirlemiştir. Ancak, tam başlangıç kompakt noktası tespit edilmemiştir; bununla birlikte, REDCap’ın eski sürümlerini hedef alarak sistem üzerinde keşif yapıldığı görünmektedir.
Elde edilen verilere göre, tıbbi araştırma kuruluşunun ihlali Eylül 2023‘te gerçekleşmiş ve kötü niyetli aktiviteler Kasım 2025‘e kadar devam etmiştir. Saldırganlar, ilk ihlalin ardından üç ay içerisinde REDCap sistemleri için özel olarak geliştirilmiş Infinitered zararlısını devreye almışlardır.
Infinitered, üç ana bileşenden oluşmaktadır:
- Kalıcılık/güncelleme modülü
- Kullanıcı kimlik bilgilerini toplama aracı
- Arka kapı (backdoor)
Arka kapı, HTTP çerezleri aracılığıyla komutlar alır ve UNC6508‘e aşağıdaki yetenekleri sağlar:
- Shell komutları çalıştırma
- REDCap sunucusuna dosya yükleme
- Sunucudan dosya indirme
- Rasgele SQL sorguları çalıştırma
- Çalınan kimlik bilgilerini geri alma
- Çalınan kimlik kaydı silme
- Sistem ve veritabanı bilgilerini döndürme
Bu saldırının dikkat çekici bir yönü, bulut tabanlı kurumsal ürünlerde bulunan geçerli ‘içerik uyumluluk kuralları’ özelliğinin kullanılmasıdır. UNC6508, “Patroit” adını verdiği bir içerik uyumluluk kuralı oluşturarak, belirli anahtar kelimeleri ve içerik kalıplarını taramaya başlamıştır. Eşleşme durumunda, veriler otomatik olarak bir başka e-posta adresine (şu anda Google tarafından devre dışı bırakılmış) BCC olarak gönderilmiştir.
Etkilenen Sistemler
Araştırma, REDCap platformunun tıbbi ve bilimsel araştırmalarda yaygın olarak kullanıldığını ve bu platform aracılığıyla elde edilen verilerin hassasiyetine vurgu yapmaktadır. GTIG, birçok Amerika Birleşik Devletleri ve Kanada’daki kuruluşların Infinitered zararlısı ile ihlal edildiğini bildirmiştir.
Çözüm ve Korunma
REDCap yöneticilerine tavsiye edilenler şunlardır:
- En güncel versiyonlara güncelleme yapın.
- Eski uygulamaların kaldırılmasını sağlayın.
- Yüksek ayrıcalıklı hesaplarda çok faktörlü kimlik doğrulama (MFA/2SV) kullanın.
- Oturum kaçırma saldırılarını önlemek için Aygıt Bağlı Oturum Kimlik Bilgilerini (DBSC) kullanın.
Ayrıca, YARA kuralları ve zarar gören göstergeler (IoC’ler), sistemlerin Infinitered zararlısı için taranmasına yardımcı olmak amacıyla raporda yer almaktadır.
Sonuç
Bu olay, sağlık alanındaki siber güvenlik tehditlerinin ciddiyetini bir kez daha göstermektedir. Okuyucularımızın, sistemlerini güncelleyerek ve eski sürümleri kaldırarak, ek önlemler alması büyük önem taşımaktadır. Ayrıca, böyle ihlallerin yeniden yaşanmaması için sürekli izleme ve önlem alınması gerektiği unutulmamalıdır.
