Tehdit ve Önemi
Son zamanlarda Google, en az 53 kuruluşu hedef alan ve 42 ülkede faaliyet gösterdiği tespit edilen bir siber casusluk grubunun altyapısını dağıttığını duyurdu. Bu grubun tanımlanmış isim kodu UNC2814 olup, uluslararası hükümetler ve global telekomünikasyon kuruluşlarını hedef alma geçmişine sahiptir.
Saldırı Nasıl Çalışıyor?
UNC2814 grubunun merkezinde, Google Sheets API’sini iletişim kanalı olarak kullanan yeni bir arka kapı olan GRIDTIDE yer alıyor. Bu malware, komut ve kontrol (C2) trafiğini gizlemek ve ham verilerin iletilmesini sağlamak için bu API’yi kullanmaktadır. GRIDTIDE, dosya yükleme/indirme ve rastgele kabuk komutlarının çalıştırılmasına olanak tanıyan, C tabanlı bir zararlıdır.
Saldırıların nasıl işlendiği henüz tam olarak bilinmemekte, ancak grubun web sunucularını ve kenar sistemlerini istismar etme geçmişi bulunmaktadır. Anlaşılan o ki, tehdit aktörü, ortamda SSH üzerinden yan hareket ederek bir hizmet hesabı kullanmıştır.
- Tehdit aktörü, malware için /etc/systemd/system/xapt.service adresinde bir hizmet yaratmış ve etkinleştirdiğinde /usr/sbin/xapt üzerinden yeni bir malware örneği çalıştırmıştır.
- Ayrıca, dış bir IP adresine encrypted bağlantı kurmak için SoftEther VPN Bridge kullanmaktadır.
Etkilenen Sistemler
GRIDTIDE, şahsi tanımlayıcı bilgileri (PII) içeren son noktalarda kullanılmakta ve bu durum, izlenmek istenen kişilere yönelik siber casusluk faaliyetlerinin bir göstergesi olarak değerlendirilmektedir. Google, kampanya sırasında herhangi bir veri sızdırma tespit etmediğini belirtmiştir.
Çözüm ve Korunma
Google, tehdit aktörünün kontrolündeki tüm Google Cloud projelerini sonlandırmış, bilinmeyen tüm UNC2814 altyapısını devre dışı bırakmış ve aktör tarafından komut ve kontrol amacıyla kullanılan Google Sheets API çağrılarına erişimi kesmiştir.
Tehditin etkisini azaltmak için, şu adımları takip etmenizi öneriyoruz:
- Sistemlerinizi güncelleyerek en son güvenlik yamalarını uygulayın.
- Ağ yapılandırmalarınızda güçlü erişim kontrol listelerini uygulayın.
- SoftEther VPN kullanıyorsanız, gereksiz erişimleri kapatın ve yapılandırmalarınızı kontrol edin.
- Şahsi tanımlayıcı bilgilerinizi barındıran sistemleri güvence altına alın.
- Güvenlik duvarlarınızı ve diğer savunma araçlarınızı güncel ve etkin tutun.
Sonuç olarak, UNC2814 grubunun küresel saldırıları, siber tehditler karşısında sürekli bir alarm durumu gerektirmektedir. İşletmelerin güvenlik önlemlerini artırmaları ve potansiyel bir saldırıya karşı proaktif bir yaklaşım sergilemeleri önemlidir.
