Giderek Büyüyen Siber Tehditler: SentinelOne Olayı
Son yıllarda, siber güvenlik alanında artan tehditler, hem özel sektör hem de kamusal alandaki kuruluşlar için daha büyük bir risk oluşturuyor. Özellikle siber casusluk faaliyetleri, birçok şirketin ve devletin güvenliğini tehlikeye atıyor. 2024-2025 yılları arasında, Amerikan siber güvenlik şirketi SentinelOne‘a yönelik gerçekleştirilen kapsamlı bir istihbarat operasyonu, bu durumu açıkça ortaya koyuyor.
Bu saldırıların arkasında, yüksek güvenilirlikte Çin merkezli tehdit aktörleri olduğu belirtiliyor. SentinelOne’ın güvenlik araştırmacıları, bu saldırıların, “PurpleHaze” adı verilen tehdit kümesine atfedildiğini ifade ediyor. Bu makalede, bu olayın detayları, hedefleri ve sonuçları üzerinde duracağız.
Hedefler ve Saldırıların Kapsamı
SentinelOne’ın raporuna göre, bu siber saldırılar yalnızca kendi sunucularını değil, aynı zamanda güney Asya hükümet organları, Avrupa medya organizasyonları ve farklı sektörlerden 70’ten fazla kurumu da etkilemiştir. Bu sektörler arasında üretim, hükümet, finans, telekomünikasyon ve araştırma gibi alanlar bulunmaktadır. Özellikle, SentinelOne çalışanlarının donanım lojistiğini yöneten bir IT hizmetleri ve lojistik şirketinin saldırıya uğraması dikkat çekiyor.
Hedeflenen organizasyonların çeşitli nedeniyle, tehdit aktörlerinin, sadece bir IT lojistik organizasyonunu değil, aynı zamanda diğer alt kuruluşlara da yönelmeyi planlamış olabileceği düşünülüyor.
Saldırıların Faaliyet Grupları ve Zaman Çizelgesi
SentinelOne, siber saldırıların farklı faaliyet grupları tarafından gerçekleştirildiğini tespit etti. Bu gruplar, A’dan F’ye kadar sıralanmış altı ayrı aktivite kümesi içeriyor. Detayları aşağıda bulabilirsiniz:
- Aktivite A: Güney Asya hükümet organına yönelik bir sızma (Haziran 2024)
- Aktivite B: Dünya genelindeki organizasyonlara yönelik bir dizi sızma (Temmuz 2024 – Mart 2025)
- Aktivite C: IT hizmetleri ve lojistik şirketine yönelik bir sızma (2025’in başı)
- Aktivite D: Aynı Güney Asya hükümet organına yönelik tekrar bir sızma (Ekim 2024)
- Aktivite E: SentinelOne sunucularına yönelik keşif faaliyeti (Ekim 2024)
- Aktivite F: Önde gelen bir Avrupa medya organizasyonuna yönelik bir sızma (Eylül 2024 sonu)
Bu aktivite gruplarının, siber güvenlik riskleri açısından önemli sonuçlar doğurduğu söylenebilir. Özellikle, meydana gelen sızmaların detayları, bu saldırıların karmaşık yapısını daha da gözler önüne seriyor.
Tehdit Aktörlerinin Yöntemleri
Saldırılarda kullanılan yöntemler, günümüzün en sofistike siber saldırı tekniklerini barındırıyor. Güney Asya hükümetine yönelik yapılan ilk saldırıda, ShadowPad adlı bir kötü amaçlı yazılımın kullanıldığı tespit edildi. Bu yazılım, ScatterBrain kullanılarak gizlendi. SentinelOne, bu tür siber saldırıların karmaşık doğasını ve ciddi sonuçlarını vurguluyor.
Ekim 2024’te, aynı hükümet organı için başka bir saldırı daha düzenlendi. Bu saldırıda, GoReShell adı verilen bir ters kabuk aracı kullanıldı. Bu araç, şifreleme protokolleri kullanarak enfekte olmuş bir ana ile bağlantı kurabiliyordu. Bu durum, geri planda başka bir tehdit grubunun da varlığını kanıtlıyor.
SentinelOne’ın raporuna göre, bu saldırılar sadece geçmiş siber olayların devamı değil, aynı zamanda gelecekteki siber güvenlik tehditlerinin de bir yansıması. Tehdit aktörlerinin sürekli olarak kendilerini yenilediği ve yeni yöntemler geliştirdiği gerçeği, kuruluşların daha güçlü bir siber güvenlik önlemi almasını şart koşuyor. Siber casusluk faaliyetleri, sadece hedef alınan kuruluşları değil, aynı zamanda tüm sektörü etkileyebilecek boyutlara ulaşıyor.
Bu tür olayların artışı, siber güvenlik alanında daha fazla yatırım ve bilinçlenme gerektiriyor. Kuruluşların, hem dahili güvenlik protokollerini güçlendirmeleri hem de dış tehditlerle başa çıkmaları için daha etkili stratejiler geliştirmeleri önemli bir gereklilik haline geldi. Cybersecurity (siber güvenlik) alanında kaydedilen gelişmeler, gelecekte daha güvenli bir dijital ortam oluşturulmasına katkı sağlayacaktır.
