Sentinellabs, Temmuz 2024 ve Mart 2025 arasında 70’den fazla küresel organizasyonu ve siber güvenlik firmasını hedefleyen yaygın Çin bağlantılı siber casusluk ortaya çıkarır.
Siber güvenlik firması Sentinellabs’ın yeni bir raporu, geniş kapsamlı bir siber saldırı kampanyası açığa çıkardı ve bu da Çin. Temmuz 2024’ten Mart 2025’e kadar gerçekleşen bu faaliyetler, devlet kurumları, medya şirketleri ve özellikle Sentinelone dahil olmak üzere küresel olarak çok sayıda kuruluşa yönelikti.
Saldırıların ölçeği önemli olsa da, Sentinellabs kendi altyapısının tavizsiz kaldığını doğruladı. Bildirildiğine göre, Ekim 2024’te Sentinellabs saptanmış Sentinelone’un İnternet tarafından erişilebilir sistemlerini hedefleyen erken problama faaliyetleri. Bu, Purplehaze (aka Vixen Panda) adlı daha büyük bir şüpheli aktivite kümesinin bir parçasıydı.
Daha sonra, 2025’in başlarında, Sentinellabs ayrı bir izinsiz girişi durdurmaya yardımcı oldu. Bu olay “ShadowPad” adı verilen daha geniş bir operasyona bağlandı ve Sentinelone personeli için bilgisayar ekipmanlarını yönetmekten sorumlu bir şirketi etkiledi. Her iki senaryoda da, Sentinellabs tarafından yapılan kapsamlı kontroller, Sentinelone’un kendi ağının, yazılımının ve cihazlarının tehlikeye atılmadığını doğruladı.
Birleşik Purplehaze ve Shadowpad çabaları burada durmadı. Güney Asya’daki bir devlet kuruluşu ve büyük bir Avrupa medya organizasyonu da dahil olmak üzere dünyanın 70’den fazla farklı kuruluşunu etkilediler. Bunların ötesinde, imalat, finans, telekomünikasyon ve araştırmalarda çok çeşitli işletmeler de etkilenmiştir.
Sentinellabs, bu koordineli saldırıları “Çin-Nexus tehdit aktörleri” olarak adlandırdıkları şeyle güvenle ilişkilendirdi. Bunlar, Çin hükümetinin casusluk programlarıyla güçlü bağları olduğundan şüphelenilen gruplardır. Soruşturma, bazı Purplehaze saldırıları ile tanınmış Çin siber casusluk grupları arasında, özellikle APT15 ve UNC5174 arasında bağlantılar buldu.
Bilgisayar korsanları çeşitli gelişmiş araçlar ve teknikler kullandılar. Önemli bir kötü amaçlı yazılım parçası, bu Çin bağlantılı gruplar tarafından casusluk ve uzaktan erişim elde etmek için sıklıkla kullanılan “kapalı kaynaklı modüler arka kapı platformu” olarak tanımlanan Shadowpad’dı. Başka bir araç, Goreshell ailesinin bir parçası, reverse_ssh Arka kapı varyantları da dağıtıldı.
Bu gruplar, sürekli değişen bir kontrol noktaları ağı oluşturmalarını sağlayan ve etkinliklerini izlemeyi ve tanımlamayı zorlaştıran bir yöntem olan operasyonel röle kutusu (ORB) ağlarını sıklıkla kullanmıştır. Ayrıca, CVE-2024-8963 ve CVE-2024-8190 gibi belirli yazılım zayıflıklarından da yararlandılar, hatta bazen bu güvenlik açıkları kamuya açıklanmadan önce bunları sömürdüler. Ayrıca, bazı saldırılar, siber güvenlik araştırmacıları topluluğu olan Hacker’s Choice (THC) ‘dan kamuya açık araçlar içeriyordu.
Bu ayrıntılı bulgular, bu devlet destekli operasyonların sofistike ve kalıcı doğasını vurgulamakta ve tüm sektörlerde sürekli izleme konusundaki kritik ihtiyacı vurgulamaktadır.
(Pixabay’dan Monica Volpin tarafından resim)