Güvenlik Açıkları ve Saldırganlar
SentinelOne, ABD merkezli bir son nokta koruma sağlayıcıdır. Şirket, siber güvenlik alanında kritik bir öneme sahip olup, birçok büyük kuruluşun altyapısını koruma görevini üstlenmektedir. Ancak, son zamanlarda Çinli siber saldırganlar tarafından gerçekleştirilen bir tedarik zinciri saldırısı, SentinelOne’ın güvenliğini tehdit eden önemli bir olay olarak kaydedilmiştir. Saldırı, IT hizmetleri ve lojistik alanında faaliyet gösteren bir firma aracılığıyla gerçekleştirilmiştir. Bu tür bir saldırının amacı, kurumsal ağlara erişim sağlamak ve bu ağlarda yapılan işlemleri gözlemlemektir.
SentinelLabs, bu saldırının ilk izlerini 2024 yılı Nisan ayında raporlamıştı. Yeni rapor, saldırının 2024 Haziran ile 2025 Mart’ı arasında 70’den fazla kuruluşa yönelik daha geniş bir kampanyanın parçası olduğunu ortaya koyuyor. Bu kapsamda, hükümet, telekomünikasyon, medya, finans, üretim, araştırma ve IT gibi birçok sektördeki kuruluşlar hedef alınmıştır.
PurpleHaze ve ShadowPad Kampanyaları
Söz konusu saldırı, iki ana cluster’a ayrılmaktadır. İlk cluster PurpleHaze olarak adlandırılmakta ve APT15 ile UNC5174 gruplarına atfedilmektedir. Bu saldırılar, Ekim 2024 döneminde SentinelOne’ı hedef almıştır. Bu süreçte, saldırganlar şirketin internetten erişilebilen sunucularını taramış ve erişilebilir hizmetleri haritalandırmaya çalışmıştır. Ayrıca, SentinelOne yapısını taklit eden bazı alan adları kaydedilmiştir.
PurpleHaze saldırısının başarılı olması durumunda, GOREshell arka kapısının kullanılacağı düşünülmektedir. Saldırılarda, ağa açık uç noktalarına sıfır-gün açıkları ile GOREshell yerleştirilmiştir.
Daha sonraki saldırı dalgası ise ShadowPad adıyla bilinmektedir ve APT41 tarafından gerçekleştirilmiştir. ShadowPad kampanyası, 2025’in başlarında tedarik zinciri saldırısı denemesi olarak ortaya çıkmıştır. Burada saldırganlar, SentinelOne ile çalışan bir IT hizmetleri ve lojistik firması üzerinden saldırıyı gerçekleştirmiştir.
Saldırganlar, zararlı yazılımı PowerShell aracılığıyla iletmiş ve bunu 60 saniyelik bir gecikme ile gerçekleştirmiştir. Böylece, sanal ortamda tespit edilmekten kaçınılmıştır. Malware, 30 dakika sonra sistem yeniden başlatması yaparak bellek üzerinde iz bırakmamıştır.
Saldırganlar, Nimbo-C2 adı verilen açık kaynaklı uzaktan erişim çerçevesini kullanarak birçok uzaktan yetenek edinmiştir. Ekran görüntüsü alma, PowerShell komutları yürütme, dosya işlemleri gibi birçok işlem gerçekleştirmişlerdir. Ayrıca, hassas kullanıcı belgelerini arayan ve bunları şifreli bir 7-Zip arşivine koyarak dışarıya sızdıran bir PowerShell script’i de kullanılmıştır.
Olası Sonuçlar ve Tehditler
SentinelOne, saldırganların hedeflerinin tam olarak ne olduğunu bilmemekle birlikte, bir tedarik zinciri ihlali olasılığının yüksek olduğunu belirtmektedir. Şirket, kendi varlıklarını kapsamlı bir şekilde incelemiş ve SentinelOne yazılımı ya da donanımında herhangi bir ihlal tespit edilmediğini rapor etmiştir.
Bu durum, siber güvenlik sektörünün içinde bulunduğu durumu gözler önüne sermektedir. Siber casusluk ve saldırıların sürekli bir tehdit oluşturduğu, bu tür saldırganların hem özel sektör hem de kamu sektöründeki kuruluşlara yönelik yüksek bir ilgi duyduğu görülmektedir.
SentinelOne, yaptığı bu araştırma ile dijital altyapıyı koruma görevini üstlenen kuruluşların da saldırganların hedefi olabileceğini vurgulamaktadır. Her ne kadar savunma mekanizmaları güçlense de, bu tür karmaşık saldırılara karşı sürekli olarak dikkatli olunması gerekmektedir.
Bu saldırılar, aynı zamanda, uluslararası ilişkilerde ve siber güvenlik alanında devletler arası gerilimlerin artmasına sebep olabilecek unsurlar taşımaktadır. Çin merkezli siber saldırılar, özellikle ekonomik ve stratejik hedeflere yönlendirildiğinde, küresel ölçekte olumsuz sonuçlar doğurabilir.
Kısaca, SentinelOne’ın karşılaştığı saldırı, modern siber güvenlik tehditlerinin boyutunu ve karmaşıklığını gözler önüne sermekte ve bu tehditler karşısında sürekli bir hazırlık ve tedbir alınmasının ne kadar önemli olduğunu ortaya çıkarmaktadır. Kuruluşların, güvenlik açıklarını belirlemeleri ve savunma mekanizmalarını güçlendirmeleri bir zorunluluk haline gelmiştir.
