Güvenlik şirketleri tarihsel olarak Windows sistemleriyle ilgili casusluk olaylarına odaklanmıştır. Bu durum, Linux sunucularına yönelik saldırıların her geçen gün artmasına rağmen, Linux platformlarındaki benzer tehditleri gözden kaçırmalarına neden oldu.
Bilimsel araştırma, teknoloji ve eğitim gibi sektörlerdeki değerli veriler sıklıkla Linux sistemlerinde barındırıldığından, bunları korumaya yönelik artırılmış güvenlik önlemleri kritik bir ihtiyaç haline geliyor.
QiAnXin Tehdit İstihbarat Merkezi’ndeki araştırmacılar, “Veles Operasyonu” adlı bir kampanyada bilinmeyen tehdit gruplarının Linux sunucu saldırılarını izliyor. Araştırmacılar, bunlardan UTG-Q-008 ve UTG-Q-009 gibi grupların ciddi hasara neden olduğunu söyledi.
Tehdit Grubu Linux Sistemlerini Başarıyla Hedefliyor
UTG-Q-008 özellikle araştırma ve eğitim sektörlerinde casusluk amacıyla geniş bir botnet ağı kullanan Linux sistemlerini hedef alıyor. Bu grup, on yılı aşkın süredir aktif alan adları ve gelişmiş saldırı yöntemleriyle olağanüstü bir güç ve dayanıklılık sergiliyor.
UTG-Q-008’in hedefleri arasında, çoğunluğu CN CER (Çin Eğitim ve Araştırma) ağından olmak üzere toplamda 17 milyondan fazla IP adresine sahip 5.000’den fazla ağ segmenti yer alıyor. Ayrıca Çin ve Amerika Birleşik Devletleri’nde ileri biyolojik genetik ve RNA immünoterapi araştırmalarına da odaklanıyorlar.
UTG-Q-008, gece yarısından itibaren dört saatlik bir zaman diliminde saldırıları gerçekleştirmek üzere her operasyon için yeni sunucular kullanarak çok sayıda ağ kaynağına erişime sahiptir. Bu saldırılar kısa ömürlü mermiler içerir ve geleneksel uzlaşma göstergelerini etkisiz hale getirir.
Grup, açık bağlantı noktalarını belirlemek için dağıtılmış SYN taramaları kullanıyor ve araştırma sunucuları da dahil olmak üzere çeşitli sunucuların kök parolalarını minimum düzeyde tespitle kırmak için kaba kuvvet girişimleri gerçekleştiriyor.
Birçok kuruluş, ağ çevresinde bulunan Linux sunucularında varsayılan SSH bağlantı noktalarını kullanmaktan uzaklaştı. Sonuç olarak UTG-Q-008’in ilk eylemi, dağıtılmış SYN taramalarını yürütmek için botnet’lerin kapsamlı ağ özelliklerinden yararlanmayı içeriyor. Araştırmacılar ayrıca bireysel IP adresi başına SYN taramalarının sıklığını ölçtüklerini ve saniyede ortalama 25-35 tarama tahmin ettiklerini açıkladı.
Linux Sunucu Alanlarında Botnet’lerin Ortaya Çıkışı
Botnet kaynakları Çin ve Amerika Birleşik Devletleri’nde yoğunlaşmıştır ve keşif, kaba kuvvet, güvenlik açığından yararlanma ve Truva atı dağıtımı için kullanılan web sunucularını, izleme sistemlerini ve Perlbot ve Mirai gibi botnet düğümlerini içerir.
Araştırmacılar, botnet’lerin casusluk faaliyetlerine dahil olmasının nadir olmadığını, ancak katılımlarının kapsamının önemli olduğunu söyledi. Örneğin, 2024 yılında Moobot botnet, hedef odaklı kimlik avı e-posta teslimi için APT28’e ağ proxy’leri sağladı. 2019’da Lazarus, saldırı faaliyetlerine yönelik özel kötü amaçlı yazılım dağıtmak için TrickBot botnet’ini kullandı.
Ancak araştırmacılar, UTG-Q-008’in bir yıllık analizine dayanarak, bu tehdit grubunun arkasındaki botnet’in, teknik yeteneklerine dayanarak doğrudan casusluk faaliyetlerine karıştığına inanıyor.
Linux Tehdit Grubu ‘Etkileyici Sonuçlar’ Elde Etti
Araştırmacılar, uzun vadeli etkileşimlerinde ilk kez, casusluk amacıyla bir botnet’in doğrudan katılımının görüldüğü hedefli saldırıları gözlemlediler. Etkilenen kuruluşların ölçeği ve kalitesi etkileyicidir. Araştırmacılar, önceki APT vakalarında, Linux sunucu alanında bu kadar “etkileyici sonuçlara” ulaşmanın birkaç 0 günlük güvenlik açığı olmadan mümkün olamayacağını söyledi.
UTG-Q-008’in araçları sıçrama tahtası sunucularında tar formatında depolanır; birincil yük Perlbot’a benzer şekilde Nanobot’tur. Grup, dahili ağlardaki sunucuları tehlikeye atmak için dahili ağ tarayıcıları ve yanal hareket araçları kullanıyor.
UTG-Q-008, hassas verileri toplamak için casusluk eklentileri kullanıyor ve ilk erişimi kazandıktan sonra faaliyetlerini gizlemek için güvenliği ihlal edilmiş sunuculara “xmrig” kripto para madenciliği kuruyor. Grup öncelikle standart çalışma saatlerinde faaliyet gösteriyor ancak aynı zamanda muhtemelen Doğu Avrupa’da gece geç saatlerde faaliyetlerde bulunduğu da gözlemlendi.
UTG-Q-006, Windows cihazlarını hedef alsa da UTG-Q-008 ile yapılan işlemlerde ve paylaşılan etkinliklerde bazı örtüşmeler var ancak gruplar arasındaki kesin ilişki belirsiz.
UTG-Q-008’in Linux tabanlı sistemleri hedef alan karmaşık bir tehdit olarak ortaya çıkması, kritik araştırma ve geliştirme sektörlerini casusluk faaliyetlerinden korumak için güvenlik önlemlerinin arttırılmasının önemini göstermektedir. Bu tür tehditlere karşı savunmanın güçlendirilmesi, ulusal teknolojik ilerlemelerin korunması açısından hayati öneme sahiptir.