APT31: Çin Bağlantılı Tehdit Grubu ve Siber Saldırılar
Çin ile bağlantılı olan APT31, 2024 ve 2025 yılları arasında Rusya’nın bilgi teknolojileri (BT) sektörüne yönelik siber saldırılar gerçekleştirdi. Uzun süre boyunca tespit edilmeden faaliyet gösteren bu grup, hedef aldığı şirketlerle ilgili olarak önemli zararlar vermektedir. Positive Technologies araştırmacıları Daniil Grigoryan ve Varvara Koloskova, bu dönemde Rusya’daki BT sektörüne yönelik bir dizi hedefli saldırı yapıldığını belirtmiştir.
APT31’in Tarihçesi ve Hedefleri
APT31, aynı zamanda Altaire, Bronze Vinewood ve Judgement Panda gibi çeşitli isimlerle de bilinmektedir. 2010 yılından beri aktif olduğu değerlendirilen bu grup, hükümetler, finans, havacılık, savunma, yüksek teknoloji ve medya gibi geniş bir sektöre kâr amacı gütmeyen şirketler üzerinde yoğunlaşmaktadır. Temel amaçları, Pekin ve devlet sahipliğindeki şirketlere siyasi, ekonomik ve askeri avantaj sağlamak için istihbarat toplamaktır.
Saldırılar ve Metodolojileri
Aşamalı saldırı stratejileriyle dikkat çeken APT31, Rusya’nın BT sektörü özelinde Yandex Cloud gibi meşru bulut hizmetlerini kullanarak komut ve kontrol (C2) faaliyetlerini sürdürmektedir. Bu durum, normal internet trafiğiyle karışmasını ve tespit edilmesini zorlaştırmaktadır. Saldırılar, hafta sonları ve tatil günlerinde yoğunlaşmakta, bu da saldırganların fark edilmeden hareket etmelerine yardımcı olmaktadır.
Sosyal Medya ve Phishing Saldırıları
APT31, sosyal medya profillerine şifreli komutlar yerleştirirken, aynı zamanda hedef şirketlerin ağlarına sızmak için phishing e-postaları kullanmaktadır. Örneğin, Aralık 2024’te gerçekleştirilen bir saldırıda, kötü niyetli bir e-posta açıldığında, Cobalt Strike yükleyicisi olan CloudyLoader devreye alınmıştır. Kaspersky’nin raporuna göre, bu tür saldırılar, daha önce belirlenen doğu rüzgârı (EastWind) tehdidi ile de örtüşmektedir.
Kullanılan Araçlar ve Süreklilik
APT31, saldırının sonraki aşamalarını kolaylaştırmak için, kamuya açık ve özel olarak geliştirilmiş çok sayıda araç kullanmaktadır. Saldırganlar, Yandex Disk ve Google Chrome gibi meşru uygulamaları taklit eden planlı görevler oluşturarak sistemde kalıcılık sağlamaktadır. Kullanılan bazı araçlar şunlardır:
- SharpADUserIP: Keşif ve analiz için C# aracı.
- SharpChrome.exe: Google Chrome ve Microsoft Edge’den şifre ve çerezleri çıkarmak için.
- SharpDir: Dosya aramak için.
- CloudSorcerer: Bulut hizmetlerini C2 olarak kullanan bir arka kapı.
- YaLeak: Yandex Cloud’a bilgi yüklemek için kullanılan bir .NET aracı.
Sonuç
APT31’in faaliyetleri, siber güvenlik alanında ciddi bir tehdit oluşturmaktadır. Eğitim, farkındalık ve güvenlik önlemleri artırılmadığı takdirde, hedefteki kuruluşlar için potansiyel riskler büyümeye devam edecektir. Bulut tabanlı hizmetlerin yaygın kullanımı, bu tarz tehditlere karşı daha dikkatli olunması gerektiğini gösteriyor. İşletmeler, bulut güvenliğine dair proaktif önlemler alarak, bu tür siber saldırılardan korunmalıdır.
