Siber Casusluk: Türkiye Destekli Tehdit Grubu ve Sıfır Gün Açıkları
Son dönemde siber güvenlik alanında yaşanan gelişmeler, özellikle Türk hükümeti destekli siber casusluk gruplarının etkinliği göz önüne alındığında dikkat çekmektedir. Marbled Dust olarak bilinen bu grup, Irak’taki Kürt askeri unsurlara bağlı Output Messenger kullanıcılarını hedef alarak önemli bir güvenlik açığından faydalanmıştır.
Sıfır Gün Açığı ve Etkileri
Bilgisayar güvenlik uzmanları, bu saldırıların arka planında yatan CVE-2025-27920 kodlu bir sıfır gün açığı keşfetmiştir. Bu açık, LAN mesajlaşma uygulaması içinde bir dizin geçişi zafiyeti olarak tanımlanmıştır. Yetkilendirilmiş saldırganların, beklenmeyen dizinlerdeki hassas dosyalara erişmesine veya zararlı yükleri sunucunun başlangıç dizinine yerleştirmesine olanak tanımaktadır.
Srimax, uygulamanın geliştiricisi, konuyla ilgili yayımladığı güvenlik tavsiyesinde “Saldırganlar, yapılandırma dosyaları, hassas kullanıcı verileri veya hatta kaynak kodu gibi dosyalara erişebilir. Dosyanın içeriğine bağlı olarak bu durum, uzaktan kod çalıştırmaya kadar varabilen daha fazla suistimale yol açabilir” demektedir.
Hedeflenen Kullanıcılar ve Saldırı Yöntemleri
Microsoft Tehdit İstihbarat analistleri, saldırıların özellikle güncellemelerini yapmamış kullanıcılara yönelik olduğunu tespit etmiştir. Bu saldırılar sonucunda, Output Messenger Sunucu Yöneticisi uygulamasına erişim sağlandıktan sonra, zararlı yazılımlar yüklenmiştir. Saldırganlar, sunucuyu tehlikeye atarak hassas verileri çalabilir, tüm kullanıcı iletişimlerine erişebilir ve kullanıcıları taklit edebilirler.
Söz konusu saldırgan grubun, DNS kaçırma veya typo-squatted (yanlış yazılmış) alan adları kullanarak yetkilendirmeleri ele geçirdiği değerlendirilmektedir. Microsoft, “Marbled Dust’ın daha önce gözlemlenen kötü niyetli faaliyetleri sırasında bu teknikleri kullandığını görmekteyiz” demektedir.
Arkaya Yerleştirilen Zararlı Yazılım
Saldırganlar, kurbanların cihazlarına bir arka kapı olan OMServerService.exe dosyasını yerleştirmişlerdir. Bu dosya, saldırganın kontrolündeki bir komut ve kontrol alanıyla (api.wordinfos[.]com) bağlantı kontrolü yaparak, kurbanların bilgilerini toplar.
Bir olayda, bir kurbanın cihazındaki Output Messenger istemcisi, Marbled Dust grubuna bağlı bir IP adresine bağlanarak verilerin sızdırılmasına yönelik faaliyetlerde bulunmuştur. Zararlının talimatıyla dosyaları toplama ve bunları RAR arşivine dönüştürme işlemi gerçekleştirilmiştir.
Hedef Yelpazesi ve Operasyonel Yöntemler
Marbled Dust, Avrupa ve Orta Doğu’da faaliyet gösteren siber suç örgütleri arasında dikkat çeken isimlerden biridir. Telekomünikasyon ve BT şirketleri ile Türk hükümetine muhalefet eden kuruluşları hedef almasıyla tanınmaktadır.
Altyapı sağlayıcılarının ağlarına sızmak için, internete açık cihazlarda açıklar aramakta ve ele geçirdikleri DNS kayıtlarını kullanarak hükümet kurumlarının DNS sunucu yapılandırmalarında değişiklikler yapmaktadırlar. Bu, ortadaki adam saldırılarında trafiği ele geçirerek kimlik bilgilerini çalmalarına olanak tanımaktadır.
Teknik Yeteneklerin Gelişimi
Microsoft, bu yeni saldırının Marbled Dust grubunun yeteneklerinde önemli bir değişimi işaret ettiğini belirtmektedir. Sıfır gün açığı kullanımının başarılı bir örneği olarak değerlendirilen bu saldırılar, grubun teknik becerilerinin ve hedef önceliklerinin artmış olabileceğini göstermektedir.
Geçtiğimiz yıl, Marbled Dust, özellikle telekomünikasyon şirketleri, internet servis sağlayıcıları ve Kürt web siteleri gibi organizasyonları hedef alan çok sayıda casusluk kampanyasına da karışmıştır.
Sonuç ve Önlemler
Siber güvenlik alanındaki bu tür tehditler, bireylerin ve kurumların dijital varlıklarını korumak için daha fazla önlem almalarını zorunlu hale getirmektedir. Kurumların, yazılımlarını güncel tutmaları, güvenlik açıklarını hızlı bir şekilde kapatmaları ve sürekli siber güvenlik eğitimleri alması, bu tür saldırıların etkilerini en aza indirmeye yardımcı olacaktır.
Sonuç olarak, Marbled Dust gibi grupların saldırıları, teknoloji ve güvenlik önlemlerinin sürekli olarak gözden geçirilmesi gerekliliğini vurgulamaktadır.
