Giriş
Son dönemde, Asya merkezli belgelenmemiş bir siber casusluk grubunun, 37 ülkede en az 70 hükümet ve kritik altyapı kuruluşuna girdiği tespit edildi. Bu durum, uluslararası güvenlik ve kritik hizmetler açısından ciddi bir tehdit oluşturmaktadır.
Saldırı Nasıl Çalışıyor?
TGR-STA-1030 olarak adlandırılan bu grup, saldırılarını phishing e-postalarıyla başlatmaktadır. Örnek einesi, Almanya merkezli bir dosya barındırma hizmeti olan MEGA‘ya yönlendiren bir bağlantı içermekte ve burada ZIP arşivi sıkıştırılmış bir dosya (Diaoyu Loader) bulunmaktadır. Bu arşiv içerisinde “pic1.png” adında sıfır baytlık bir dosya da mevcuttur.
Malware, otomatik sandbox analizlerini engellemek için çift aşamalı bir yürütme koruma mekanizması kullanmaktadır. Bu aşamada, belirli bir dosyanın (pic1.png) varlığı kontrol edilir. Eğer dosya mevcut değilse, kötü amaçlı yazılım çalışmayı sonlandırır. Bu kontrol sağlandıktan sonra, malware, bazı güvenlik yazılımlarının varlığına göre davranış sergilemektedir.
Etkilenen Sistemler
TGR-STA-1030 grubunun hedef aldığı sistemler arasında aşağıdakiler bulunmaktadır:
- Devlet Bakanlıkları
- Finans Bakanlıkları
- Sınır kontrol kuruluşları
- Ekonomi ve ticaretle ilgili diğer hükümet departmanları
Bu grup, Microsoft, SAP, Atlassian gibi geniş bir yazılım yelpazesinde N-day açıklarını istismar ederek hedef ağlara sızmak için çaba göstermektedir.
Çözüm ve Korunma
Siber güvenlik firması Unit 42, TGR-STA-1030’un saldırı tekniklerini izleyerek önemli tespitlerde bulunmuştur. Aşağıdaki önlemler alınmalıdır:
- Tüm sistemlerinizi güncel tutun ve güvenlik yamalarını uygulayın.
- Güvenlik duvarlarınızı (firewall) etkin bir şekilde kullanın.
- Şüpheli e-postalara karşı dikkatli olun ve kimlik avı saldırılarına karşı farkındalık sağlayın.
- Kritik sistem hizmetlerinizi izleyin ve anormallikler tespit ettiğinizde hızlıca müdahale edin.
Sonuç
TGR-STA-1030’un faaliyetleri, global güvenlik için ciddi bir tehdit oluşturmaktadır. Kuruluşlar, güvenlik açıklarını kapatmak ve potansiyel saldırılara karşı hazırlık yapmak için hemen güncellemelerini yapmalı ve gerekli önlemleri almalıdır. Unutmayın, siber güvenlik, sürekli bir dikkat ve güncelleme gerektiren bir alanıdır.
