Özellikle Dikkat Edilmesi Gereken Siber Tehditler
Son dönemde, Çin bağlantılı bir casusluk grubunun Kuzey Amerika’daki tıbbi, akademik ve askeri araştırma ağları içinde bir yıl boyunca gizlice hareket ettiği ortaya çıktı. Bu grup, hassas araştırmalar ve savunma e-postalarını çalmayı başardı.
Saldırı Nasıl Çalışıyor?
Saldırganlar, REDCap araştırma sunucularında bir arka kapı kullanarak giriş yaptılar ve bu sayede oturum açma kimlik bilgilerini çaldılar. İlginç olan ise, saldırganların kurbanların kendi Google Workspace kurallarını yeniden yapılandırarak, belirledikleri anahtar kelimeleri içeren her mesajı, kontrol ettikleri bir gelen kutusuna kopyalamalarıydı.
Google’ın Tehdit İstihbarat Grubu (GTIG), bu kampanyayı yayınladığı raporda detaylandırarak, bu grubu UNC6508 olarak tanımladı. Saldırganın kullandığı REDCap arka kapısı, daha önce de hasar vermek amacıyla kullanılmıştı.
Etkilenen Sistemler
Saldırganlar, özellikle dışarıya bakan REDCap sunucularını hedef almışlardır. Google, başlangıç erişim vektörünü belirleyemedi ancak grubun eski, savunmasız sistemleri taradığını gözlemledi. Yaklaşık üç ay sonra, GTIG tarafından çağrılan özel bir kötü amaçlı yazılım olan INFINITERED kuruldu. Bu yazılım, REDCap’ın kendi sistem dosyalarını trojanlaşarak aşağıdaki işlemleri gerçekleştirdi:
- Güncelleme işlemini ele geçirerek, her yeni REDCap sürümünde kodun yeniden yerleştirilmesini sağladı.
- Giriş sayfasından kullanıcı adlarını ve şifreleri toplayarak, bunları yerel veri tabanı tablolarında şifreli bir şekilde sakladı.
- HTTP çerezleri üzerinden komut alarak arka kapı işlevi gördü ve her sayfa yüklemesinde çalıştığı için sürekli erişim sağladı.
Çalınan E-posta Nasıl Elde Edildi?
E-posta bilgileri, zaten mevcut olan bir özellik aracılığıyla çalındı. UNC6508, Google Workspace yöneticisi tarafından gönderilen içerik uygunluğu kurallarını kötüye kullanarak e-posta anahtar kelimelerini taradı ve eşleşen mesajları, sessiz bir şekilde, kontrol ettikleri Gmail adresine BCC olarak gönderdi. Bu süreçte herhangi bir kötü amaçlı yazılım kullanmadılar; sadece Google Workspace’in yerleşik bir özelliğini kullandılar.
Bu teknik, MITRE tarafından e-posta ile yönlendirme kuralı suistimali olarak biliniyor. Ancak GTIG, burada dikkat çekici olanın, bir Çin bağlantılı aktörün içerik uygunluğu kurallarını bu amaçla kullanması olduğunu vurguladı.
Çözüm ve Korunma
Kullanıcıların REDCap üzerinde başlayarak aşağıdaki adımları izlemeleri önemlidir:
- Dışarıya bakan sunucuları güncelleyin ve eski sürümleri tamamen kaldırın; yalnızca mevcut versiyonların yanında tutmayın.
- Google Workspace veya eşdeğer bir platform üzerinde içerik uygunluğu ve e-posta yönlendirme kurallarını kontrol edin.
- Yönetici denetim günlüklerini inceleyin; yalnızca şu anki kurallar değil, değişikliklerin ne zaman yapıldığını da kontrol edin.
- GTIG’nin yayımladığı göstergeleri takip edin ve INFINITERED aramaları yapın.
- Yönetici hesaplarına phishing saldırılarına karşı dayanıklı çok faktörlü kimlik doğrulaması (MFA) ekleyin.
Google, UNC6508’in REDCap sunucularına nasıl ilk erişim sağladığını henüz tam olarak bilemiyor. Ancak, bir saldırgan yönetici erişimi sağladığında, bulut hizmetinin yerleşik bir özelliği gizlice bir veri sızdırma yolu haline gelebilir. Bu nedenle, defenderların yalnızca REDCap arka kapısını değil, aynı zamanda e-posta yönlendirme kuralının kullanımını da denetlemeleri gerekmektedir.
