Lotus Panda kimdir? Bu grubun amacı nedir? Hangi teknikleri kullanıyor? Saldırılar nereleri hedef alıyor?
Lotus Panda kimdir?
Lotus Panda, Çin’le bağlantılı bir siber casusluk grubudur. Grubun faaliyetleri, en azından 2009’dan bu yana oldukça dikkat çekmiştir. 2015 yılında Palo Alto Networks tarafından yapılan bir analiz, Lotus Panda’nın hedef aldığı devlet kurumlarına yönelik sürekli bir spear-phishing kampanyasını gündeme getirmiştir. Grubun ismi, aynı zamanda farklı kod adlarıyla da anılmaktadır; Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon ve Thrip gibi isimler bunlar arasındadır. Lotus Panda’nın geçmişteki saldırıları genellikle hükümet ve askeri kuruluşları hedef almayı içermektedir.
Bu grubun amacı nedir?
Lotus Panda’nın temel amacı, hedef ülkelerdeki bilgi ve verileri ele geçirmek olarak özetlenebilir. Siber casusluk faaliyetleri, özellikle devlet ve stratejik sektörlerde bilgi edinme çabalarını kapsamaktadır. Bu tür gruplar, genellikle kritik altyapıları hedef alarak, siyasi ve askeri anlamda avantaj sağlamak amacıyla hareket ederler. Symantec tarafından yapılan bir analizde, Lotus Panda’nın Tayland’daki bir hükümet bakanlığı, hava trafik kontrol kuruluşu, telekomünikasyon operatörü ve inşaat şirketini hedef aldığı belirtilmiştir. Bu tür saldırılar, grupların ülkelerin siyasi ve ekonomik istikrarını zayıflatma çabalarının bir parçası olarak değerlendirilmektedir.
Hangi teknikleri kullanıyor?
Lotus Panda, çeşitli siber saldırı teknikleri ve araçları kullanarak hedeflerine ulaşmaktadır. Grubun kullandığı araçlar arasında özel olarak geliştirilmiş yazılımlar ve mevcuttaki yazılımları istismar eden yöntemler bulunmaktadır. Özellikle, son saldırılarda "tmdbglog.exe" ve "bds.exe" gibi meşru uygulamaları kullanarak zararlı DLL dosyalarını yükledikleri tespit edilmiştir. Bu yöntem, içerdikleri bir sonraki aşama yükünü deşifre etmek ve çalıştırmak için kullanılmaktadır. Ayrıca, Grup, Sagerunex adı verilen bir arka kapı aracı kullanarak hedef sistemlerden bilgi toplama, verileri şifreleme ve bu bilgileri dış bir sunucuya aktarma gibi işlemleri gerçekleştirmektedir.
Saldırılar nereleri hedef alıyor?
Lotus Panda’nın siber saldırıları, Güneydoğu Asya’daki çeşitli ülkelere yöneliktir. 2024-2025 yılları arasında, özellikle Tayland’ın yanı sıra Filipinler, Vietnam, Hong Kong ve Tayvan gibi bölgedeki devlet ve özel sektör kuruluşlarına sızmayı başarmıştır. Saldırılar, hükümetin yanı sıra, ulaşım, telekomünikasyon ve medya sektörlerini de içermektedir. Bu çok yönlü hedef alma stratejisi, grubun siber casusluk faaliyetlerinin kapsamını genişletse de, aynı zamanda bu ülkelerin kritik altyapılarına yönelik tehdit oluşturmuştur.
Grup, aynı zamanda, haber ajansları gibi daha az öne çıkan hedefleri de vurgulamaktadır. Bu durum, Lotus Panda’nın sadece büyük kuruluşları değil, geniş bir yelpazedeki hedefi gözetleyerek bilgi toplama amacını gütmesine işaret etmektedir. Ayrıca, saldırılar sırasında kullanılan pek çok araç ve teknik, önceden belirlenmiş hedefleri aşmak için daha da geliştirilmiştir. Bu tür sürekli gelişim, grubun siber tehdit landscape’inde önemli bir yer edinmesine zemin hazırlamaktadır.
Günümüzde mücadele edilen bu tür siber tehditler, yalnızca hedef alınan ülkelerin devletleri ve kuruluşları için değil, aynı zamanda global güvenlik için de önemli bir tehdit oluşturmaktadır. Lotus Panda gibi grupların etkinliği, siber güvenlik alanında sürekli bir çaba gerektirmektedir. Bu bağlamda, ülkelere yönelik siber savunma stratejilerinin geliştirilmesi ve uygulanması, bu tür tehditlerin bertaraf edilmesi açısından kritik öneme sahiptir.
