Dışişleri Bakanlıklarını hedef alan yeni bir siber casusluk grubu tespit edildi!

Bilim ve Teknoloji
Mehmet Berk Yaltırık
13 Haziran 2021, 16:58
Mehmet Berk Yaltırık
13 Haziran 2021, 16:58

Afrika ve Orta Doğu’daki diplomatik kuruluşlar ile iletişim şirketlerini hedef alan bir dizi siber saldırı ile bağlantılı yeni bir siber casusluk örgütü ortaya çıkartıldı.

Siber güvenlik uzmanları, 2017’den bu yana Afrika ve Orta Doğu’daki diplomatik kuruluşlara ve telekomünikasyon şirketlerine yönelik bir dizi hedefli saldırının arkasında bulunan yeni bir siber casusluk grubunu tespit etti.

The Hacker News’in 11 Haziran 2021 tarihli haberinde aktardığına göre söz konusu siber casusluk grubu, “BackdoorDiplomacy” (Arka Kapı Diplomasisi) olarak adlandırılan harekat aracılığyıla, bir dizi siber korsanlık faaliyeti gerçekleştirmek için web sunucuları gibi internete açık cihazlarda zayıf noktaları hedef alıyor. Aynı harekat, çıkarılabilir ortamda saklanan hassas verileri dışarı sızdırma yeteneğine sahip Turian adlı özel bir implantı yerleştirmek için gerekli ağlara sızmayı da içeriyor.

SİBER CASUSLUK GRUBU NASIL HAREKET EDİYOR?

Slovak siber güvenlik firması ESET’te tehdit araştırma başkanı Jean-Ian Boutin konuyla ilgili olarak, “Arka Kapı Diplomasisi, Asya merkezli diğer gruplarla taktikleri, teknikleri ve prosedürleri paylaşıyor. Turian, muhtemelen en son 2013’te Suriye ve ABD’deki (Amerika Birleşik Devletleri) diplomatik hedeflerine karşı kullanılan bir benzer arka kapı (backdoor) yazılımı Quarian’ın bir sonraki aşama evrimini temsil ediyor” açıklamasında bulundu.

Hem Windows hem de Linux işletim sistemlerini hedef alacak şekilde tasarlanan çapraz platform grubu, ağ ekipmanı ve internete açık bağlantı noktalarına sahip sunucular için yönetim arabirimlerini seçiyor ve muhtemelen eklentisiz güvenlik açıklarından yararlanarak ilk erişim için China Chopper adlı web kabuğunu keşif amaçlı kullanarak arka kapı adlı yazılımı kuruyor. Web kabuğu, saldırıya uğrayan sistemlerde tanıtılan kötü amaçlı bir komut dosyası olarak tanımlanıyor.

Burada bahsedilen “China Chopper”, ilk olarak 2012’de keşfedilen yaklaşık 4 kilobayt boyutunda bir web kabuğu olarak biliniyor. Bu web kabuğu, web sunucularını uzaktan kontrol etmek için gelişmiş kalıcı tehdit (APT) grupları da dahil olmak üzere kötü niyetli Çinli aktörler tarafından yaygın olarak kullanılıyor.

HANGİ ÜLKELER SALDIRIYA UĞRADI? ARKALARINDA ÇİN Mİ VAR?

Siber casusluk grubunun hedeflediği cihazlar arasında F5 BIG-IP cihazları (CVE-2020-5902), Microsoft Exchange sunucuları ve Plesk web barındırma kontrol panelleri bulunuyor. Avrupa, Orta Doğu ve Asya’nın yanı sıra birden fazla Afrika ülkesinin Dışişleri Bakanlıklarının, Afrika’daki telekom sağlayıcılarının ve en az bir Orta Doğu yardım kuruluşunın saldırıya uğradığı tespit edildi.

Araştırmacılar, “Her durumda, operatörler benzer taktikler, teknikler ve prosedürler (TTP’ler) kullanmışlar, ancak yakın coğrafi bölgelerde bile kullanılan araçları değiştirmişler ve muhtemelen grubu izlemeyi daha zor hale getirmişler” diyerek “Arka Kapı Diplomasisi”nin ayrıca, Çince konuşan bir grup tarafından yürütülen daha önce bildirilen saldırılarla örtüştüğünü de ifade ettiler. ESET araştırmacıları, saldırıların Kazakistan ve Kırgızistan’daki diplomatik kuruluşları hedef alan, Asya merkezli Calypso adlı bir tehdit aktörü tarafından işletilen bir C++ arka kapı yazılımı olan WhiteBird ile neredeyse aynı olduğunu belirtiyor.