Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar
Çin Bağlantılı Kötü Amaçlı Yazılım Kampanyası, İzlemenin Zayıf Olduğu Kritik Ortamları Hedefliyor
Chris Riotta (@chrisriotta) •
4 Aralık 2025
ABD federal hükümeti, Brickstorm kötü amaçlı yazılımının VMware vCenter sunucuları ve Windows sistemlerinde uzun vadeli kalıcılığa nasıl olanak sağladığını ayrıntılarıyla anlatan bir mektupta, Çin devleti destekli bilgisayar korsanlarının kritik altyapı ortamlarına gizli bir arka kapı yerleştirdiği konusunda uyardı.
Ayrıca bakınız: İsteğe Bağlı | Kuzey Kore’nin Gizli Bilişim Ordusu ve Bununla Nasıl Mücadele Edilir?
Ulus devlet tehdit aktörleri, kimlik bilgilerini toplama çabasının bir parçası olarak Brickstorm’u kriptografik anahtarları çalmak ve sanal makine anlık görüntülerini klonlamak için kullandı. Yetkililer, kötü amaçlı yazılımın komuta ve kontrol için HTTPS üzerinden DNS de dahil olmak üzere birden fazla şifreleme katmanı kullandığını ve kesintiye uğraması durumunda kendini yeniden yükleyebileceğini söyledi.
Siber Güvenlik ve Altyapı Güvenliği Ajansı, Ulusal Güvenlik Ajansı ve Kanada Siber Güvenlik Merkezi, perşembe günü operatörlere ortamlarını değerlendirmelerini ve şüpheli etkinlikleri siber savunma kurumuna bildirmelerini tavsiye etti. CISA, mağdur kuruluşlardan elde edilen sekiz Brickstorm örneğini analiz ettiğini söyledi; bunlardan biri, Çinli bilgisayar korsanlarının vCenter yönetim konsollarına ve etki alanı denetleyicilerine erişim sağlamak ve bu erişimi sürdürmek için arka kapıyı kullandıktan sonra ajansın olaya müdahale gerçekleştirdiği yer.
CISA Siber Güvenlikten Sorumlu Direktör Yardımcısı Nick Andersen, bir medya brifinginde gazetecilere verdiği demeçte, Brickstorm araçlarının operatörlerin yatay olarak hareket etmesine, dosyaları manipüle etmesine, ağlarda daha derin tüneller açmasına ve sanallaştırılmış ortamlarda hileli sanal makineler oluşturmasına olanak tanıdığını ve bunu yaparken de gizli teknikler ve gizli API uç noktaları yoluyla tespitten kaçtığını söyledi. Ajans, Çinli ulus devlet aktörlerinin Brickstorm ile ABD’deki kritik altyapı operatörlerini hedef aldığını biliyor ancak Andersen hangi kurum veya sektörlerin etkilendiğini belirtmeyi reddetti.
Güvenlik analistleri, Brickstorm kampanyasının, bir yıldan fazla bir süredir ABD altyapısına ve büyük hizmet sağlayıcılarına sessizce yerleşen ve geleneksel olarak güçlü izlemeden yoksun ortamları hedef alan sürekli bir Çin casusluk çabasını yansıttığını söyledi. Mandiant, etkinliği Mart 2025’ten bu yana takip ettiğini bildirdi ve SaaS satıcılarını, hukuk firmalarını, iş süreci dış kaynak sağlayıcılarını ve teknoloji sağlayıcılarını etkileyen izinsiz girişler tespit etti (bkz.: Mandiant: ABD Sistemlerine Gömülü Çin Casusluk Aracı).
Hükümet, kuruluşları sağlanan YARA ve Sigma kurallarıyla sistemleri taramaya, ağ uç cihazlarını izlemeye ve sıkı bir bölümlendirme uygulamaya çağırdı. CISA, operatörlerin vSphere dağıtımlarını yükseltmeleri ve güçlendirmeleri, HTTPS trafiği üzerinden yetkisiz DNS’yi engellemeleri, hizmet hesabı izinlerini kısıtlamaları ve şüpheli erişim modellerini izlemeyi artırmaları gerektiğini söyledi.
CISA Direktör Vekili Madhu Gottumukkala yaptığı açıklamada, tavsiye kararının “Çin Halk Cumhuriyeti’nin oluşturduğu, ABD’ye, müttefiklerimize ve hepimizin bağlı olduğu kritik altyapıya sürekli siber güvenlik açıkları ve maliyetleri yaratan ciddi tehditlerinin altını çizdiğini” söyledi. Devlet destekli aktörlerin “uzun vadeli erişim, kesinti ve potansiyel sabotaj sağlamak için kendilerini yerleştirdiklerini” de sözlerine ekledi.