Devlet Destekli Siber Saldırılar: Diplomatik Hedefler ve Yeni Tehditler
Son zamanlarda, devlet destekli siber saldırılar dünya genelinde artış göstermekte. Özellikle, Silk Typhoon aktiviteleriyle bağlantılı siber suç grupları, diplomatları hedef alarak zararlı yazılım dağıtma yöntemlerini daha da geliştirmiştir. Bu makalede, bu siber saldırıların nasıl gerçekleştirildiği, kullanılan yöntemler ve etkiledikleri hedefler üzerinde duracağız.
- Devlet Destekli Siber Saldırılar: Diplomatik Hedefler ve Yeni Tehditler
- AitM Tekniği: Açık Kapıdan Siber Saldırı
- Sahte Eklenti Güncellemeleri: Kurbanları Nasıl Tuzaklayabiliyorlar?
- SOGU.SEC: Zararlı Yazılımın Özellikleri
- Kesinti ve Yönlendirme Tespiti
- Sertifika Kullanımı ve Güvenlik Önlemleri
- Google’ın Yanıtı ve Önlemleri
- Çin Merkezli Tehdit Grupları ve Gelecek
AitM Tekniği: Açık Kapıdan Siber Saldırı
Advanced Adversary-in-the-Middle (AitM) tekniğiyle gerçekleştirilen bu saldırı, hedef ağların kapalı ağ erişim noktalarını hedef alarak yapılandırılmış. Araştırmalar, saldırganların, cihazların veya kullanıcıların internet bağlantılarından bağlantısının kesilmesini sağlamak için bu yöntemi kullandığını göstermektedir. Hedefler, daha sonra web trafiği üzerinden bir malware dağıtım sitesine yönlendiriliyor.
Chrome İstemcisi Üzerinden Yönlendirme
Saldırı, Chrome tarayıcısının bir kapalı ağ kimlik doğrulama sayfasının arkasında olup olmadığını kontrol etmesiyle başlar. Bu aşamada, hackerlar, kullanıcıların ağ bağlantısını doğrulamak için kullanacakları sayfayı ele geçirir ve kurbanları sahte bir Adobe eklenti güncelleme sayfasına yönlendirir.
Sahte Eklenti Güncellemeleri: Kurbanları Nasıl Tuzaklayabiliyorlar?
Kullanıcılar, AdobePlugins.exe adındaki dijital olarak imzalanmış bir dosyayı indirirler. Bu dosya, kurbanlara gerekli bir güncelleme olarak sunulmakta ve kullanıcılara Windows güvenlik uyarılarını geçmeleri için adım adım talimatlar verilmektedir.
Yüklenen Dosyanın Gerçek Amacı
Dosyanın yüklenmesiyle birlikte, bir Microsoft Visual C++ yükleyicisi görüntülenir. Ancak arka planda, gizli bir MSI paketi yüklenmektedir. Bu paket, etkili bir şekilde sahte yazılım yükleyerek kurbanların sistemine zarar verecek türde yazılımlar içermektedir. Yüklenen zararlı yazılım, CANONSTAGER adlı bir DLL dosyası ve SOGU.SEC adlı bir arka kapı içerir.
SOGU.SEC: Zararlı Yazılımın Özellikleri
Google’ın güvenlik araştırmaları, SOGU.SEC’nin PlugX zararlı yazılımının bir varyantı olduğunu belirtmektedir. Bu zararlı yazılım, sistem bilgilerini toplamak, dosyaları yükleyip indirmek ve uzaktan komut shell’ine erişim sağlamak gibi işlevlere sahiptir. Bu nedenle, SOGU.SEC, Çin merkezli farklı tehdit grupları tarafından aktif bir biçimde kullanılmaktadır.
Kesinti ve Yönlendirme Tespiti
Saldırının başlangıç noktası, hedefin ağında bir kenar cihazın ele geçirilmesidir. Ancak, henüz bu teoriye destek olabilecek herhangi bir delil bulunmamaktadır. AitM tekniğinin etkili bir şekilde devreye girmesi için hedef ağların güvenlik sistemlerinin de zayıflamış olması gerekmektedir.
Sertifika Kullanımı ve Güvenlik Önlemleri
Araştırmacılar, saldırılar sırasında kullanılan dosyaların imzalandığı Chengdu Nuoxin Times Technology Co., Ltd şirketinin, bu operasyonlarda bilinçli bir katılımcı mı yoksa ele geçirilmiş bir kurum mu olduğu konusunda kesin bir yargıya varamamaktadır. Ancak bu şirketten 2023 yılının başından beri en az 25 zararlı yazılım örneği rapor edilmiştir. Bu durum, sahte bir güvenlik sertifikasının kullanılmasının da önüne geçilmesi gerektiğini göstermektedir.
Google’ın Yanıtı ve Önlemleri
Google, zararlı domain ve dosya hash’lerini Safe Browsing sistemi üzerinden engellemiş ve etkilenen Gmail ve Workspace kullanıcılarına hükümet destekli saldırı uyarıları yapmıştır. Ayrıca, bu saldırılarla ilgili tespit kuralları ve zararlı yazılım örnekleri için YARA kuralları paylaşılmıştır.
Çin Merkezli Tehdit Grupları ve Gelecek
Bütün bu yaşananlar, Çin merkezli istihbarat aktörlerinin artan yeteneklerini ve gelişmiş altyapılara olan geçişlerini göstermektedir. Saldırıların gelecekte daha da kompleks hale gelmesi bekleniyor. Dolayısıyla, şirketlerin ve kurumların siber güvenlik önlemlerini artırarak bu tür tehditlere karşı daha dayanıklı olmaları gerekiyor.
Özellikle, kullanıcıların güvenli internet alışkanlıkları benimsemeleri ve bilinçli davranmaları, bu tür saldırıların etkisini en aza indirgemede kritik bir rol oynamaktadır.
