Küresel Güvenlik araştırmacıları bu hafta, gelişmiş bir siber casusluk grubunun en az 37 ülkedeki hükümet ve şirket ağlarına sızdığını ve son yılların en kapsamlı siber saldırı kampanyalarından birini gerçekleştirdiğini bildirdi.
Birden fazla siber güvenlik firmasının ortak analizine göre, devlet bağlantılı olduğuna inanılan düşman, bakanlıkları, savunma yüklenicilerini, altyapı sağlayıcılarını ve çok uluslu işletmeleri hedef alan uzun süreli sızmalar gerçekleştirdi. İlk olarak 2024 ortalarında iç kayıtlarda ortaya çıkmaya başlayan kampanya, birçok ortamda aylarca tespit edilemedi.
Araştırmacıların Buldukları
Siber güvenlik analistleri saldırganların, sıfırıncı gün açıklarını, özel arka kapılarını, gizli kimlik bilgisi toplama araçlarını, tespit edilmekten kaçınmak için meşru sistem yardımcı programlarını kullanma tekniklerini kullandıklarını söyledi.
Saldırılar, ağ telemetrisi, uç nokta adli tıp incelemesi ve endüstri ortakları arasında tehdit istihbaratı paylaşımının bir kombinasyonu yoluyla tespit edildi. Araştırmacılar, grubun bir ağa girdikten sonra kalıcı erişim sağladığını ve hassas hükümet belgelerine, savunma ve Ar-Ge kuruluşlarından fikri mülkiyetlere, iç iletişime, kimlik doğrulama belirteçleri ve kimlik bilgilere ulaşabildiklerini söyledi.
Kanıtlar, veri sızdırmanın uzun süreler boyunca, birçok durumda tespit edilmeden önce aylar hatta bir yıldan fazla bir süre boyunca sessizce gerçekleştiğini gösteriyor.
Kimler Hedef Alındı?
Devam eden soruşturmalar nedeniyle etkilenen kuruluşların tam listesi kamuoyuna açıklanmamış olsa da, güvenlik firmaları kampanyanın, devlet idareleri ve bakanlıkları, savunma ve havacılık kurumlarını, telekomünikasyon altyapısını, enerji ve kamu hizmetlerini ve finansal hizmetlerini hedefledikleri tahmin ediliyor.
Coğrafi olarak, ihlal kampanyası hem Batı ülkeleri hem de Asya, Avrupa ve Afrika’daki stratejik ortaklar dahil olmak üzere 37 ülkeyi kapsadı. Araştırmacılar operasyonu belirli bir ulus devlete açıkça atfetmedi, ancak kullanılan araçlar ve yöntemlerin analizi, kaynak açısından zengin bir stratejik istihbarat aktörüne bağlantılar olduğunu gösteriyor.
Grubun Çalışma Şekli
Saldırı kampanyası, çok aşamalı bir saldırı zincirini ortaya çıkardı. İlk erişim, kimlik avı, sıfır gün açıklarından yararlanma veya ele geçirilmiş satıcı yazılımları aracılığıyla gerçekleşti. Özel eklentiler ve kötü amaçlı yazılımlar kullanılarak kimlik bilgilerinin toplandığı, yüksek yetkilere sahip ağlar arasında yatay hareketler yapıldığı, şifreli kanallar kullanılarak komuta ve kontrol (C2) kalıcılığı sağladıkları ve gizli kanallar kullanılarak veri sızdırdıkları anlaşılıyor.
Güvenlik analistleri, grubun faaliyetlerini normal trafik modelleriyle harmanlamada usta olduğunu ve gelişmiş izleme araçları olmadan tespit edilmelerinin zor olduğunu belirtti. Kıdemli bir tehdit araştırmacısı şunları söyledi:
“Bu aktör fırsatçı değil; sabırlı, disiplinli ve hedeflerinde son derece kasıtlı.”
Önceki Kampanyalarla Karşılaştırmalar
Uzmanlar, operasyonu, SolarWinds veya Microsoft Exchange istismar kampanyaları gibi yüksek profilli ulus devlet olayları dışında görülen en gelişmiş operasyonlardan biri olarak değerlendiriyor.
Yaklaşık otuz ülkeyi ve birçok kritik altyapı sektörünü kapsayan bu ölçek, endişeyi tipik suçlu fidye yazılımı veya hackleme ve satma operasyonlarının ötesine, jeopolitik sonuçları olan stratejik casusluğa yükseltiyor.
Açıklamalara yanıt olarak, birkaç ulusal siber güvenlik merkezi, acil olay müdahale incelemeleri öneren uyarılar yayınladı. Etkilenen kuruluşlara, kimlik doğrulama kayıtlarını denetlemeleri, kimlik bilgilerini yenilemeleri ve gelişmiş uç nokta tespit sistemleri uygulamaları tavsiye ediliyor. Hükümet siber güvenlik kurumları, sıfır güven mimarisinin benimsenmesi ve düzenli tehdit avlama tatbikatlarının gerekliliğini vurguladı.
Hükümetler arası bir siber güvenlik girişiminin sözcüsü şunları söyledi:
“Bu kampanya, geleneksel çevre tabanlı savunmaların artık yeterli olmadığını gösteriyor; gelişmiş düşmanlar, sağlam tespit ve müdahale sistemleri kurulmadığı sürece modern savunmalara rağmen varlıklarını sürdürebilirler.”
Siber güvenlik araştırmacıları tarafından soruşturmalar ilerledikçe mağdurların ifşa edilmeye devam etmesi, adli kanıtlar sağlamlaştıkça hükümetler tarafından olası kamuoyuna açıklama yapılması bekleniyor. Diğer kuruluşların varlığı tespit etmesine yardımcı olmak için ihlal göstergelerinin (IOC’ler) yayınlanması ve hasarın boyutuna ve sorumluluğun belirlenmesine bağlı olarak, kolluk kuvvetleri de koordineli uluslararası eylemlere yönelmesi isteniyor.
Türkiye İçinde mi?
Palo Alto Networks’ün Unit 42 araştırmacıları, tehdit aktörünü TGR-STA-1030 (aynı zamanda UNC6619 olarak da bilinir) olarak takip ettikleri bir grup olarak tanımladılar ve bunu Asya’dan faaliyet gösteren devlete bağlı bir siber casusluk grubu olarak nitelendirdiler. Belirli bir ülkenin adını kamuoyuna açıklamaktan özellikle kaçındılar; ancak dış analistler, Çin devletiyle bağlantılı bir kökene işaret eden güçlü göstergeler görüyorlar.
Şu anda, bu özel saldırıda sistemleri ihlal edilen 37 ülke arasında Türkiye’nin adı, Axios özetinde açıkça listelenmedi. Bununla birlikte, araştırmacılar, tehdit aktörünün 155 ülkede keşif (tarama) yaptığını ve henüz doğrulanmış bir ihlal olmasa bile, keşif aşamalarında Türk hükümet sistemlerini de içermiş olabileceğini söyledi.
Palo Alto Networks’ten güvenlik araştırmacıları tam bir ülke listesi yayınlamadı, ancak Axios, Brezilya, Meksika, Panama, Venezuela, Kıbrıs, Yunanistan, Endonezya, Malezya, Moğolistan, Tayland, Demokratik Kongo Cumhuriyeti, Cibuti, Zambiya gibi bir kaç ülkenin ismini verdi. Endonezya ve Yunanistan, belirli hükümet veya altyapı hedefleri için raporda belirtildi.
Kaynak : 