ABD Adalet Bakanlığı (DOJ) ve Federal Soruşturma Bürosu (FBI), PlugX kötü amaçlı yazılımının ABD’deki 4.200’den fazla bilgisayardan başarıyla kaldırıldığını duyurdu. Uluslararası ortaklarla işbirliği içinde yürütülen bu birkaç ay süren operasyon, Çin Halk Cumhuriyeti (PRC) ile bağlantılı bir bilgisayar korsanlığı grubunun oluşturduğu yaygın siber tehdidi ele aldı.
Pensilvanya’nın Doğu Bölgesi’nde açığa çıkan mahkeme belgelerine göre, bu operasyonun arkasındaki bilgisayar korsanları, siber güvenlik çevrelerinde “Mustang Panda” ve “Twill Typhoon” olarak bilinen ÇHC destekli gruplarla bağlantılı. Bu grupların kurban sistemlerine sızmak, kontrol etmek ve hassas bilgileri çıkarmak için PlugX kötü amaçlı yazılımının gelişmiş bir sürümünü kullandığına inanılıyor.
PlugX Kötü Amaçlı Yazılımı ve Tehdidi
PlugX, en az 2008’den beri piyasada olan bir uzaktan erişim aracıdır (RAT). Temel işlevi, saldırganlara virüs bulaşmış sistemler üzerinde tam kontrol sağlayarak bilgi çalmalarına, ek kötü amaçlı yazılım yüklemelerine ve tespit edilmeden sistem ayarlarını değiştirmelerine olanak sağlamaktır. Kötü amaçlı yazılım yıllar boyunca çeşitli bilgisayar korsanlığı grupları tarafından kullanılmış olsa da Mustang Panda ile bağlantılı sürüm, gelişmiş yetenekleri ve yaygın erişimi nedeniyle özellikle endişe verici.
Adalet Bakanlığı’na göre Mustang Panda bilgisayar korsanları, ABD’li işletmeler, Avrupa ve Asya hükümetleri ve Çinli muhalif gruplar da dahil olmak üzere çok çeşitli kurbanları hedef aldı. Siber güvenlik uyarılarına rağmen, çoğu kullanıcı cihazlarında gizlenen kötü amaçlı yazılımlardan habersiz olduğundan, virüs bulaşmış birçok sistemin güvenliği ihlal edilmeye devam etti.
ÇHC hükümetinin, PlugX’in bu özel çeşidini geliştirmek için Mustang Panda’ya fon sağladığı iddia ediliyor. Grubun en az 2014 yılına kadar uzanan hackleme kampanyaları, küresel siber güvenliği baltalamayı amaçlayan devlet destekli siber tehditlerin artan eğilimini gösteriyor.
Tehdide Karşı Koordineli Çabalar
PlugX enfeksiyonlarının boyutunun ve ciddiyetinin farkında olan Adalet Bakanlığı ve FBI, tehdidi azaltmak için koordineli bir operasyon başlattı. Mahkemenin verdiği izinlere dayanan operasyon, kötü amaçlı yazılımın bulaştığı ABD merkezli bilgisayarlardan silinmesini içeriyordu.
Adalet Bakanlığı Ulusal Güvenlik Bölümü’nden Başsavcı Yardımcısı Matthew G. Olsen, “Adalet Bakanlığı, ABD’li mağdurları zarardan korumak için siber tehditleri proaktif bir şekilde engellemeye öncelik veriyor” dedi. Olsen, bu operasyonun Volt Typhoon, Flax Typhoon ve APT28 gibi bilgisayar korsanlığı gruplarına karşı benzer çabalara dayandığını vurguladı.
Operasyon ABD ile sınırlı değildi. Fransız kolluk kuvvetleri ve Fransa merkezli bir siber güvenlik şirketi olan Sekoia.io önemli bir rol oynadı. Sekoia.io, PlugX kötü amaçlı yazılımını virüslü cihazlardan uzaktan silme yeteneğini tespit etti ve FBI, bu komutların etkinliğini test etmek ve doğrulamak için uluslararası ortaklarıyla birlikte çalıştı.
Ağustos 2024’te Adalet Bakanlığı ve FBI, kötü amaçlı yazılımın kaldırılmasına izin veren dokuz mahkeme emrinden ilkini aldı. Nihai emrin süresi 3 Ocak 2025’te sona erdi ve bu, operasyonun ABD kısmının sona erdiğini gösteriyor. Girişim sonunda PlugX ülke genelindeki yaklaşık 4.258 bilgisayardan başarıyla kaldırıldı.
Siber Güvenliğe İşbirlikçi Bir Yaklaşım
Pensilvanya Doğu Bölgesi ABD Başsavcısı Jacqueline Romero, “Binlerce Windows tabanlı bilgisayara bu geniş kapsamlı saldırı ve uzun süreli bulaşma, ÇHC devlet destekli bilgisayar korsanlarının pervasızlığını ve saldırganlığını gösteriyor” dedi. Siber tehditlere karşı savunmada “tüm toplum” yaklaşımının önemini vurgulayarak, uluslararası ve özel sektör ortaklıklarının kritik rolüne dikkat çekti.
FBI’ın Siber Bölümünden Direktör Yardımcısı Bryan Vorndran da işbirliğinin öneminin altını çizerek şunları söyledi: “Fransız kolluk kuvvetleriyle ortaklığımızdan yararlanan FBI, ABD bilgisayarlarını ÇHC devlet destekli bilgisayar korsanlarının daha fazla tehlikeye atmasına karşı korumak için harekete geçti.”
Operasyonun başarısı, FBI’ın Philadelphia Saha Ofisi, Adalet Bakanlığı’nın Ulusal Güvenlik Siber Bölümü, Paris Savcılığı Siber Bölümü, Fransız Jandarma Siber Birimi C3N ve Sekoia.io’nun katkılarıyla mümkün oldu.
Mağdurları Korumak ve Yeniden Enfeksiyonu Önlemek
FBI şu anda etkilenen kullanıcıları internet servis sağlayıcıları aracılığıyla bilgilendirmeye çalışıyor. Mağdurlara antivirüs yazılımlarını güncellemeleri, güvenlik yamaları uygulamaları ve olası yeniden enfeksiyona karşı dikkatli olmaları tavsiye ediliyor.
Bilgisayarlarının veya cihazlarının tehlikede olabileceğinden şüphelenen kişilere yardımcı olmak için FBI, İnternet Suçları Şikayet Merkezini (IC3) ziyaret etmenizi veya yerel bir FBI saha ofisiyle iletişime geçmenizi önerir.
Operasyonun Daha Geniş Etkileri
Bu operasyon, siber tehditlerle mücadelede uluslararası işbirliğinin artan öneminin bir kanıtıdır. Hükümetler ve özel kuruluşlar birlikte çalışarak dünya çapında bireyleri, işletmeleri ve kritik altyapıyı hedef alan bilgisayar korsanlığı kampanyalarına karşı koyabilirler.
PlugX kötü amaçlı yazılımının kaldırılması yalnızca binlerce virüslü sistemi korumakla kalmıyor, aynı zamanda devlet destekli bilgisayar korsanlığı gruplarına da açık bir mesaj gönderiyor: Siber saldırganlığa koordineli ve kararlı bir yanıt verilecek.
Siber Güvenlik En İyi Uygulamalarına Yönelik Dersler
PlugX vakası, dijital sistemlerin güvenliğini sağlamak için proaktif önlemlere olan ihtiyacın altını çiziyor. Temel çıkarımlar şunları içerir:
- Düzenli Yazılım Güncellemeleri: Güvenlik açıklarını azaltmak için tüm cihazların en son güvenlik yamalarını çalıştırdığından emin olun.
- Antivirüs Yazılımının Kullanımı: Kötü amaçlı programları tespit etmek ve kaldırmak için saygın antivirüs araçlarını kullanın.
- Olağandışı Aktivitenin İzlenmesi: Kötü amaçlı yazılım bulaştığını gösterebilecek yetkisiz erişim veya performans sorunlarına karşı dikkatli olun.
- İşbirliği ve Raporlama: Zamanında harekete geçilmesini kolaylaştırmak için şüpheli siber olayları FBI’ın IC3’ü gibi uygun yetkililere bildirin.
Siber tehditler geliştikçe, siber güvenliğe yönelik proaktif ve işbirlikçi bir yaklaşımın önemi göz ardı edilemez. PlugX operasyonu, ulusların, kolluk kuvvetlerinin ve özel kuruluşların küresel siber güvenliği korumak için güçlerini birleştirmesiyle neler başarılabileceğinin altını çiziyor.
İlgili