Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar
Saldırganlar Daha Önce Belgelenmemiş Arka Kapının yanı sıra Geleneksel Hacking Araçlarını da Kullanıyor
Sayın Mihir (MihirBagwe) •
6 Ekim 2023
Bir Karayip ülkesinin hükümeti, Çin kökenli olduğuna dair göstergeler içeren bir siber casusluk kampanyasının hedefiydi. Siber güvenlik firması Eset, saldırganların Guyana’da kimliği belirsiz bir “hükümet kuruluşunu” hedef almak için daha önce belgelenmemiş bir arka kapının yanı sıra geleneksel hackleme araçlarını da kullandığını söyledi.
Ayrıca bakınız: Güvenlik Operasyon Merkezini Modernleştirmeye Yönelik 5 İpucu
Eset, kampanyayı orta düzeyde bir güvenle Çinli bilgisayar korsanlarına bağladı. Saldırı sırasında tehdit aktörleri, Pekin ile bağlantısı olduğundan şüphelenilen bilgisayar korsanları tarafından kullanılan bir uzaktan erişim aracı olan PlugX olarak da bilinen Korplug’un bir çeşidini kullandı (bkz: Tehdit Aktörü Korplug Arka Kapısıyla Hong Kong’u Hedef Alıyor).
Perşembe günü yayınlanan bir blog yazısında, şirketin bu atıflarını destekleyen şeyin, Şubat 2023’te Guyana yetkilileri tarafından Çinli işletmeler için kara para aklama suçlamasıyla üç kişinin tutuklanması da dahil olmak üzere Guyana’daki son gelişmeler olduğu belirtildi. Eset, siber casusluk kampanyasını “Jacana Operasyonu” olarak adlandırdı ve bunun tutuklamaların olduğu sıralarda gerçekleştiğini söyledi.
Güney Amerika ana karasında bulunan ülke, Çin’in uluslararası Kuşak ve Yol Girişimi’ne katılıyor. Girişim, Çin Devlet Başkanı Xi Jinping’in az gelişmiş ülkelerdeki altyapı projelerini finanse ederek uluslararası etki yaratmaya yönelik uzun süredir devam eden hedefidir. Guyana Devlet Başkanı Mohamed İrfaan Ali, Xi ile görüşmek üzere Temmuz ayında Çin’e gitti. Çin Dışişleri Bakanlığı bu karşılaşma hakkında “Çin ve Guyana birbirlerine güvenen ve güvenen iyi arkadaşlar olmalıdır” diye yazdı.
Jacana Operasyonu, “Başkan Mohamed Irfaan Ali’nin Nassau, Bahamalar’a Resmi Ziyareti” ve “Vietnam’daki Guyanalı kaçak” konu başlıklarıyla Guyanalıların kamu işlerine atıfta bulunan hedef odaklı kimlik avı e-postaları kullandı. İlk konu, Ali’nin Karayip Topluluğu’nun yıllık zirvesi için Bahamalar’a yaptığı geziye denk geldi.
Kimlik avı mesajları, Eset’in “DinodasRAT” olarak adlandırdığı, daha önce belgelenmemiş arka kapıyı içeren indirilebilir bir ZIP dosyasına bir bağlantı içeriyordu. Eset’in bu adı seçmesinin nedeni, komuta ve kontrol sunucularına gönderdiği kurban tanımlayıcının her zaman “Din” dizesiyle başlamasıdır. Bu, güvenlik araştırmacılarına “Yüzüklerin Efendisi”ndeki hobbit Dinoda’ları hatırlattı.
DinodasRAT, işlevleri arasında her beş dakikada bir kurban makinenin ekran görüntülerini alır ve panonun içeriğini alır. Saldırganların dosyaları manipüle etmesine, komutları yürütmesine, süreçleri numaralandırmasına, hizmetleri yönetmesine ve hatta ters kabuklar oluşturmasına olanak tanıyan kapsamlı bir komut repertuarına sahiptir. Küçük Şifreleme Algoritmasını uyguladıktan sonra bilgileri komut ve kontrol sunucusuna geri gönderir.
Saldırganlar, saldırılarını daha da artırmak için DinodasRAT’ın yanı sıra Korplug ve SoftEther sanal özel ağ istemcisini de kullandı.