Siber Güvenlikte Çin Bağlantılı Tehditler ve Yeni Yöntemler
Son yıllarda, siber güvenlik araştırmacıları, özellikle Çin ile bağlantılı bazı kötü niyetli grupların, bulut tabanlı sistemleri istismar etme konusunda yeteneklerini artırdıklarını keşfetmişlerdir. Bu grupların başında, “Murky Panda” olarak bilinen siber casusluk ekibi yer almaktadır. Murky Panda, güvenilir bulut ilişkilerini istismar ederek şirket ağlarını ihlal etmekte uzmanlaşmıştır.
CrowdStrike‘ın yaptığı bir rapora göre, bu grup, N-günü ve sıfır-gün açıklarını hızla silahlandırma yeteneğine sahiptir. İlk erişim elde etme konusunda, internet üzerinden erişilebilen cihazları hedef alarak saldırılara başlamaktadır. Örneğin, Murky Panda’nın en çok bilinen saldırılarından biri, 2021 yılında Microsoft Exchange Server‘ın açıklarından yararlanarak gerçekleştirilen saldırılardır. Bu grup, Kuzey Amerika’daki hükümet, teknoloji, akademik ve profesyonel hizmetler gibi çeşitli alanları hedef almıştır.
Murky Panda’nın Yeni Stratejileri
Mart 2023’te Microsoft, Murky Panda’nın taktiklerinde bir değişiklik olduğunu açıklamış ve bu grubun bilişim teknolojisi (IT) tedarik zincirini hedef alarak kurumsal ağlara erişim sağladığını belirtmiştir. Murky Panda’nın operasyonları, esasen istihbarat toplama amaçlıdır. Diğer Çinli hacker gruplarında olduğu gibi, Murky Panda da internet üzerinden erişilebilen cihazları kullanarak ilk erişimi elde etmektedir. Aynı zamanda, hedef ülkede coğrafi olarak konumlanmış küçük ofis/ev ofis (SOHO) cihazlarını da istismar ederek belirli bir çıkış düğümü oluşturmakta ve böylece tespit edilme çabalarını sabote etmektedir.
Murky Panda’nın kullandığı diğer enfeksiyon yolları arasında Citrix NetScaler ADC ve NetScaler Gateway gibi bilinen güvenlik açıklarının istismar edilmesi bulunmaktadır. Ayrıca, bu grup, ilk erişimi elde ettikten sonra neo-reGeorg gibi web kabukları kullanarak süreklilik sağlamaktadır. Nihayetinde, CloudedHope adında özel bir kötü amaçlı yazılım bırakmaktadır. CloudedHope, Golang ile yazılmış bir 64-bit ELF binary‘sidir ve temel bir uzaktan erişim aracı (RAT) olarak işlev görürken, varlıklarını gizlemek için çeşitli güvenlik önlemleri almaktadır.
Genesis Panda’nın Yükselişi
Murky Panda’nın dışında, bulut hizmetlerini manipüle etme konusunda yetenekli bir diğer tehdit aktörü de Genesis Panda‘dır. Bu grup, bulut hizmet sağlayıcı (CSP) hesaplarını hedef alarak erişim sağlamakta ve süreklilik sağlamak için yedek mekanizmalar kurmaktadır. 2024 yılından itibaren aktif olduğu bilinen Genesis Panda, finansal hizmetler, medya, telekomünikasyon ve teknoloji sektörlerini hedeflemekte, çok sayıda ülkeyi kapsamaktadır.
Genesis Panda, çeşitli sistemleri hedef almasına rağmen, bulut barındırma sistemlerini ele geçirmeye yönelik sürekli bir ilgi sergilemektedir. CrowdStrike tarafından yapılan tespitler, bu grubun bulut kontrol düzleminde hareket ederek karşıya geçiş ve sürekli erişim sağlamak için verileri çıkartma faaliyetlerini gerçekleştirdiğini göstermektedir.
Grubun, bulut tabanlı sistemler üzerinde yetki kazanmak amacıyla sürekli olarak Instance Metadata Service (IMDS) sorguladığı ve hedeflemenin derinlemesine sürdüğü gözlemlenmiştir.
Glacial Panda ve Telekomünikasyon Sektörüne Yönelik Tehditler
CrowdStrike, telekomünikasyon sektöründe, ulus devlet etkinliğinde son bir yıl içinde %130’lik bir artış olduğunu belirtmektedir. Çin bağlantılı bir diğer tehdit aktörü olan Glacial Panda, bu sektörü hedef alan en son grup olmuştur. Bu grup, kapsamı itibarıyla Afganistan, Hindistan, Japonya, Meksika ve ABD gibi ülkeleri içine alarak telekomünikasyon şirketlerinin gizli bilgilerine ulaşmaya çalışmaktadır.
Glacial Panda, özellikle telekomünikasyon endüstrisinde yaygın olarak kullanılan Linux sistemleri üzerinde saldırılar düzenlemekte ve zayıf parolalar ile bilinen güvenlik açıklarını istismar etmektedir. Saldırı zincirleri, internet üzerinden erişilebilen sunucuları hedef alarak gerçekleştirilmekte ve belirli açıklar üzerinden yetki yükseltme yöntemleri ile devam etmektedir. Bu grup, ayrıca, kullanıcı oturumlarını ve kimlik bilgilerini toplamak için ShieldSlide adı verilen kötü niyetli bileşenler kullanarak sistemlere sızmaktadır.
Glacial Panda’nın kullandığı SSH sunucusu ise, hardcoded bir şifre ile herhangi bir hesap için geri kapı erişimi sağlamaktadır. Bu da, grubun hedeflerine ulaşma konusunda nasıl bir strateji geliştirdiğini gözler önüne sermektedir.
