Çin Dilini Konuşan Hackerlar ve Trimble Cityworks Saldırısı
Son dönemde siber güvenlik alanında dikkat çeken gelişmelerden biri, Çin dilini konuşan bir hacker grubunun Trimble Cityworks adlı bir yazılım üzerindeki sıfırıncı gün zafiyetini kullanarak birçok yerel yönetim kurumunu hedef almasıdır. Trimble Cityworks, coğrafik bilgi sistemleri (GIS) tabanlı bir varlık yönetimi ve iş emri yönetimi yazılımıdır. Bu yazılım, yerel yönetimler, kamu hizmetleri ve kamu işlerini yöneten organizasyonlar tarafından, altyapı ajansları ve belediyelerin kamu varlıklarını yönetmesine, izin ve lisans işlemlerini gerçekleştirmesine olanak tanımaktadır.
Bu saldırılara sebep olan siber grup olarak bilinen UAT-6382, Rust tabanlı bir kötü amaçlı yazılım yükleyici kullanarak, Cobalt Strike sinyalleri ve VSHell kötü amaçlı yazılımlarını devreye sokmuş, böylece sisteme arka kapı sağlamış ve uzun vadeli erişim elde etmiştir. Aynı zamanda, web shell’ler ve Çince yazılmış özel kötü amaçlı araçlar da kullanılmıştır. Saldırılar, Ocak 2025’te başlamış olup, Cisco Talos bu olayların ilk belirtilerini yerel yönetimlerin ağlarında gözlemlemiştir.
Saldırıların Detayları ve İlk Belirtiler
Cisco Talos araştırmacıları, UAT-6382’nin yerel yönetimlerin işletme ağlarına erişim sağladıktan sonra altyapı yönetimiyle ilgili sisteme geçiş yapma konusunda belirgin bir ilgi gösterdiğini ifade etmektedir. Asheer Malhotra ve Brandon White, "Talos, Ocak 2025 itibariyle ABD’deki yerel yönetim kurumlarının işletme ağlarında ihlallere rastladı. İlk keşiflerin ardından, UAT-6382’nin enerji yönetimiyle ilişkili sistemlere yönelmede istekli olduğu gözlemlendi." demiştir.
Elde edilen web shell’ler arasında AntSword, chinatso/Chopper ve genel dosya yükleyiciler bulunmakta olup, mesajların Çince yazıldığı gözlemlenmiştir. Ayrıca, TetraLoader adlı özel araç, ‘MaLoader’ adlı bir kötü amaçlı yazılım oluşturucu kullanılarak inşa edilmiştir. Bu durum, saldırının Çince dilinden etkilenen bir hacker grubunun gerçekleştirdiğini net bir şekilde ortaya koymaktadır.
Güvenlik Açıkları ve Federal Ajansların Önlemleri
Saldırıların gerçekleştirildiği yazılımda bulunan güvenlik açığı CVE-2025-0994 olarak tanımlanmış ve yüksek öneme sahip bir serileştirme hatasıdır. Bu açık, yetkili tehditle karşılaşan aktörlerin, hedef alınan Microsoft Internet Information Services (IIS) sunucuları üzerinde uzaktan kod çalıştırmasına olanak tanımaktadır.
Şubat 2025’te Trimble, bu açığı kapatmak için güvenlik güncellemeleri yayınladığında, bazı Cityworks dağıtımlarını ihlal etmeye çalışan saldırganların farkında olduğunu bildirmiştir. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) da, 7 Şubat tarihinde CVE-2025-0994’ü aktif olarak sömürülen açıklar arasında duyurmuş ve federal ajansların sistemlerini üç hafta içinde güncellemeleri gerektiğini bildirmiştir.
CISA, “Bu tür açıklar, kötü niyetli siber aktörler için sık karşılaşılan saldırı vektörlerindendir ve federal işletmelere önemli riskler oluşturur.” uyarısında bulunmuştur. Bunun üzerine, 11 Şubat’ta CISA, su ve atık su sistemleri, enerji, ulaşım sistemleri, kamu hizmetleri gibi sektörlerdeki kuruluşlara, güncellenmiş sürümü hemen yüklemeleri konusunda bir uyarı yayınlamıştır.
Kötü Amaçlı Yazılımlara Karşı Alınacak Önlemler
Bu tür saldırılara karşı kuruluşların alması gereken önlemler arasında güncel yazılımların ve güvenlik yamalarının düzenli olarak uygulanması yer almaktadır. Özellikle siber güvenlik eğitimleri ile çalışanların kötü niyetli e-postalar ve yazılımlar hakkında bilinçlendirilmesi önemlidir. Ayrıca, etkili bir güvenlik duvarı ve tehdit tespit sistemleri kullanılmalıdır.
Elde edilen veriler doğrultusunda, sistemleri sürekli izlemek ve anormal aktiviteleri hızlıca tespit etmek, olası bir tehdidin erken aşamada bertaraf edilmesine yardımcı olacaktır. Kötü amaçlı yazılım ve dış tehditlerle mücadele etmek için saldırı simülasyonları ve sızma testleri yapılması, firmaların güvenlik düzeylerini artıracaktır.
Yerel yönetimlerin ve kamu hizmeti sağlayıcılarının siber güvenlik alanında daha fazla önlem alması, bu tür zafiyetlerin ve saldırıların önüne geçilmesinde hayati bir rol oynamaktadır. Kuruluşların siber tehditlere karşı proaktif bir yaklaşım benimsemesi, siber güvenlik alanındaki savunmalarını güçlendirecektir.
