Giriş
Küresel ölçekte devlete bağlı bir siber tehdit grubu, ‘Gölge Kampanyaları’ adı verilen operasyonlar kapsamında 37 ülkedeki hükümet ve kritik altyapı ağlarına sızdı. Bu durum, siber güvenlik açısından önemli bir tehdit oluşturarak, etkilenen ülkelerin güvenlik politikalarını sorgulamaya yönlendirdi.
Saldırı Nasıl Çalışıyor?
‘Gölge Kampanyaları’ faaliyetleri, özellikle hükümet departmanları, yasalar, sınır kontrolü, finans, ticaret, enerji, madencilik, göç ve diplomatik ajansları hedef alıyor. Unit 42 araştırmacıları, bu saldırıların 70’ten fazla hükümet ve kritik altyapı kuruluşunu hedef aldığını doğruladı.
Unit 42’nin raporuna göre, tehdit grubu TGR-STA-1030/UNC6619 olarak izlenmektedir ve bu faaliyetler en azından Ocak 2024’ten itibaren devam etmektedir. Araştırmacılar, grubun Asya’dan faaliyet gösterdiğine dair yüksek bir güvene sahip.
Etkilenen Sistemler
Tehdit grubu, farklı ülkelerde birçok kuruluşu hedef almıştır; bu kuruluşlar arasında şunlar bulunmaktadır:
- Brezilya’nın Enerji ve Madenler Bakanlığı
- Bolivya’daki madencilikle ilgili bir kuruluşun ağı
- Meksika’nın iki bakanlığı
- Panama’daki bir hükümet altyapısı
- Venezuela’nın Teknoloji Sanayi Tesisine ait bir IP adresi
- Kıbrıs, Çek Cumhuriyeti, Almanya, Yunanistan, İtalya, Polonya, Portekiz ve Sırbistan’daki kamu kuruluşları
- Endonezyalı bir havayolu
- Çok sayıda Malezya hükümeti departmanı ve bakanlığı
- Mongolistan’daki bir yasa uygulama kurumu
- Tayvan’ın güç ekipmanları sanayisinde önemli bir tedarikçi
- Tayland’daki bir hükümet departmanı (muhtemel ekonomik ve uluslararası ticaret bilgileri için)
- Kongo Demokratik Cumhuriyeti, Cibuti, Etiyopya, Namibya, Nijer, Nijerya ve Zambiya’daki kritik altyapı kuruluşları
Olayın Zamansal Yapısı
Araştırmalar, ABD hükümetinin Ekim 2025’teki kapanması süresince, tehdit aktörünün Kuzey, Orta ve Güney Amerika’daki varlıkları taramada artan bir ilgi gösterdiğini ortaya koymaktadır. Ülke seçimlerine 30 gün kala Honduras hükümetine ait 200 IP adresi üzerinde önemli keşif faaliyetleri tespit edilmiştir.
Gelişmiş Phishing Yöntemleri
Gölge Kampanyaları’nın başlıca saldırı yöntemi, hükümet yetkililerine yönelik oldukça özelleştirilmiş phishing e-postalarıdır. Bu e-postalarda, iç organizasyon değişikliklerine atıfta bulunan sahte içerikler yer almakta ve zararlı arşivler içeren bağlantılar barındırmaktadır.
Unit 42, bu saldırılarda kullanılan Diaoyu yükleyici zararlı yazılımının, belirli koşullarda Cobalt Strike payloadları ve komut kontrol çerçevesi olan VShell’i alacağını tespit etti.
Yeni Linux Rootkit: ShadowGuard
TGR-STA-1030/UNC6619’ın kullandığı araç setinde, Behinder, Godzilla ve Neo-reGeorg gibi webshell’lerin yanı sıra, GO Simple Tunnel (GOST) ve Fast Reverse Proxy Server (FRPS) gibi ağ tünelleme araçları bulunmaktadır. Araştırmacılar, grubun özel olarak geliştirdiği bir Linux çekirdek eBPF rootkit adıyla bilinen ‘ShadowGuard’ adındaki zararlı yazılımı buldu.
ShadowGuard, çekirdek alanında çalıştığı için tespit edilmesi zor olup, sistem fonksiyonlarını manipüle edebilme yeteneğine sahiptir.
Çözüm ve Korunma
TGR-STA-1030/UNC6619’un gelişmiş saldırı tekniklerine karşı korunmak için aşağıdaki adımların atılması önerilmektedir:
- Sunucular ve ağlar üzerindeki tüm yazılımları düzenli olarak güncelleyiniz.
- Ağ trafiğini izlemek için güvenlik duvarları ve izleme araçlarını kurun.
- Denetim loglarını sürekli gözlemleyin ve şüpheli aktiviteleri derhal raporlayın.
- Güvenlik yazılımlarında güncellemeleri ihmal etmeyin.
Sonuç olarak, güncellemelerinizi kontrol edin, güvenlik açıklarınızı kapatın ve port kapatmayı düşünün. Düzenli güvenlik denetimleri yaparak, saldırılara karşı hazırlığınızı artırın.
