Çinli Tehdit Aktörlüğü ve Siber Casusluk Faaliyetleri
Son yıllarda Güney, Güneydoğu ve Doğu Asya’da yer alan yüksek değerli kuruluşlar, bir Çinli tehdit aktörü tarafından hedef alınmıştır. Palo Alto Networks’ün Unit 42 birimi, bu faaliyetleri daha önce belgelenmemiş bir tehdit grubu olan CL-UNK-1068 ile ilişkilendirmiştir; burada “CL” küme anlamına gelirken “UNK” bilinmeyen bir motivasyonu temsil etmektedir.
Saldırı Nasıl Çalışıyor?
Tehdit aktörlerinin kullandığı araçlar hem Windows hem de Linux ortamlarına yönelik tasarlanmıştır. Bu grupta kullanılan başlıca araçlar arasında şunlar bulunmaktadır:
- Godzilla – Web shell işlevi gören bir araç.
- ANTSWORD – Yine bir web shell olarak kullanılan başka bir araç.
- Xnote – Bir Linux arka kapısı; 2015 yılından beri tespit edilmiştir.
- Fast Reverse Proxy (FRP) – Sürekli erişim sağlamak için kullanılır.
Bu araçlar, çeşitli Çinli hacking grupları tarafından daha önce de kullanılmaktaydı ve siber casusluk amacı taşıdığı değerlendirilmekteydi.
Etkilenen Sistemler
CL-UNK-1068’in saldırı zincirleri genellikle şu adımları içermektedir:
1. Web sunucularının istismar edilmesi.
2. Web shell’lerin kullanılması ve diğer sistemlere lateral hareket.
3. Aşağıdaki dosya türlerinin çalınması:
– “web.config”, “.aspx”, “.asmx”, “.asax” ve “.dll” dosyaları.
– Web tarayıcı geçmişi ve yer işaretleri.
– XLSX ve CSV dosyaları.
– MS-SQL sunucularından yedek (.bak) dosyaları.
Saldırıların ilginç bir yönü, tehdit aktörlerinin WinRAR kullanarak ilgili dosyaları arşivlemeleri ve bunları Base64 kodlama ile ekrana basmalarıdır.
Çözüm ve Korunma
Tehdit aktörlerinin dosyaları doğrudan yüklemeden veri sızdırma yöntemleri kullanması, firmaların güvenlik önlemlerini artırması gerektiğini göstermektedir. Bu bağlamda, önerilen önlemler şunlardır:
- Güvenlik yazılımlarını güncel tutmak.
- Portları kapatmak ve gereksiz hizmetleri devre dışı bırakmak.
- Yalnızca güvenilir yazılımlar ve araçlar kullanmak.
- Şifreleme ve data kaybı önleme (DLP) çözümleri uygulamak.
Güvenlik analistleri, sürekçi bir tehdit oluşumuna karşı dikkatli olmalı ve tespit sistemlerini sürekli olarak gözden geçirmelidir.
Son olarak, bu faaliyetlerin mevcudiyetine karşı, organizasyonların güvenlik stratejilerinde güncellemeler yapılması ve güvenlik duvarlarının sıkı bir şekilde yapılandırılması önerilmektedir.
