Uygur casus kampanyasında kullanılan Truva Metin Editörü Yazılımı

Güvenilir bir araç hain döndü. Yeni bir vatandaş laboratuvarı soruşturması, meşru açık kaynaklı Uyghur-dili metin editörü olan Uyghureditpp’in Dünya Uyghur Kongresi (WUC) üyelerine casusluk yapmak için silahlandırıldığını ortaya koyuyor. Mart 2025’te ortaya çıkarılan saldırı, tehdit aktörlerinin Diaspora topluluklarına karşı siber-ihale kampanyaları başlatmak için güvenilir kültürel araçları sömürmeye nasıl geçtiğini gösteriyor.

Saldırı eski moda bir şekilde başladı-bir e-posta ile. WUC üyeleri ortak kuruluş olarak poz veren bir spearfishing mesajı aldı. Zahmetsiz bir görev gibi görünen şeyi sundu-bir Uyghur-dili yazılım aracını indirin ve test edin. E-posta, şifre korumalı bir arşive Google Drive bağlantısı içeriyordu. İçeri? Uyghureditpp’in bubi sıkışmış bir versiyonu.

Trojanize uygulama, arayüzüne kadar gerçek bir anlaşma gibi görünüyordu ve davrandı. Ancak kaputun altına gizlenmiş, kurbanların sistemlerine sessizce gömmek için tasarlanmış kötü amaçlı yazılım kullandı. Yüklendikten sonra, sistem bilgilerini toplayabilir, dosyaları yükleyebilir veya indirebilir ve hatta daha karmaşık işlemler için özel eklentileri çalıştırabilir.

Uygur kılık değiştirmiş özel bir arka kapı

Citizen Lab’ın teknik yıkımı, kötü amaçlı yazılımların komut ve kontrol (C2) sunucularıyla iletişim kurduğunu gösterdi. tengri.ooguy.com Ve anar.gleeze.comOrta Asya Kültürel Referanslarından büyük borçlanma. Bu sunucular, siber suçlular tarafından gevşek kontroller ve sık sık kötüye kullanımla bilinen bir bulut sağlayıcısının içinde barındırıldı.

Aldatmaya ek olarak, Microsoft’u taklit eden sahte TLS sertifikaları sunan sunucular vardı. Akıllı bir ploy – tarayıcılar ve güvenlik yazılımı genellikle tanıdık sertifikalara daha az şüphe ile davranır ve kötü amaçlı trafiğin radarın altında uçmasına yardımcı olur.

Sadece bir kerelik değil: uzun vadeli planlamanın kanıtı

Bu hızlı ve kirli bir operasyon değildi. Saldırganlar gibi web siteleri kurar gheyret.com Ve gheyret.netUygur yazılım geliştiricilerine aitmiş gibi görünmek için tasarlanmıştır. Hatta kötü amaçlı dosyanın meşru görünmesi için Uyghureditpp için indirme sayfaları bile.

Vatandaş laboratuvar araştırmacıları, kampanyanın yüksek düzeyde bir planlama ve kaynak yatırımını yansıttığına inanıyor ve muhtemelen Uygur topluluklarına dijital yollarla sızmak için uzun vadeli bir taahhüt gösteriyor.

Ayrıca okuyun: Küresel Siber Güvenlik Ajansları Uygur, Tibet ve Tayvanlı toplulukları hedefleyen casus yazılımları uyarıyor

Bir organizasyondan daha büyük

Bu özel kampanya WUC’yi hedef alırken, daha geniş bir dijital ulus ötesi baskı modelinin bir parçası. Geçtiğimiz on yılda, birden fazla soruşturma Uygur aktivistlerini ve muhalifleri yurtdışında taciz etme, izleme ve susturma girişimlerini belgeledi.

Yöntemler değişir. Kimlik avı saldırılarından ve casus yazılım kampanyalarından sosyal mühendislik ve dezenformasyona kadar, tehdit aktörleri taktiklerini sürekli olarak uyarladılar. En son bükülme – kültürel açıdan önemli bir yazılım – rahatsız edici bir evrimdir. Güvenilir araçları ele geçirerek, saldırganlar topluluk güveninin temellerini aşındırıyor.

Kendi dilinizi silahlandıran birine benziyor. Sadece teknik değil, psikolojik savaş. Vatandaş laboratuvar araştırmacıları, “Hedefler güvensizlik, suçluluk, korku, belirsizlik, zihinsel ve duygusal sıkıntı ve bu saldırılardan tükenmişlik yaşadıklarını bildirdi” dedi.

Kötü amaçlı yazılım oyun kitabının içinde

Citizen Lab’ın teknik bulgularına göre, Uyghureditpp ile birlikte arka kapı sıradan bir casus yazılım değildi. Modüler eklentiler içeriyordu ve saldırganların operasyonlarını hedefe göre uyarlamasına izin verdi. Temel yetenekleri arasında:

• Sistem profili: Enfekte cihaz hakkında bilgi toplar
• Dosya İşlemleri: Dosyaları yükler, indirir ve yürütür
• Komut yürütme: Talep üzerine keyfi sistem komutları çalıştırır
• Özel eklentiler: Yeni kötü amaçlı yazılımları yeniden düzenlemeden işlevselliği genişletir

Meşru yazılım işlevselliğini gizli gözetim yetenekleriyle harmanlayarak, saldırganlar güçlü bir kullanılabilirlik ve gizlilik dengesi elde etti.

Atıf: Tanıdık bir oyun kitabı, bilinmeyen bir aktör

Citizen Lab, saldırıyı doğrudan bilinen bir hükümete veya hackleme grubuna atfetmeyi bıraktı. Bununla birlikte, teknikler, hedefler ve altyapı, Uygur bireylerine ve örgütlere yönelik geçmiş geçmiş Çin uyumlu siber operasyonlara güçlü bir benzerlik taşımaktadır.

Bu kampanyanın karmaşıklığı, önemli kaynaklara erişim ve Uygur kültürel dinamiklerinin derin bir şekilde anlaşılmasını önermektedir-her ikisi de devlet destekli siber-ihlallerin ayırt edici özellikleri.

Risk altındaki topluluklar için dijital güvenlik dersleri

WUC Saldırısı, sadece Uygur aktivistleri için değil, aynı zamanda marjinal veya hedeflenen her topluluk için çevrimiçi bir uyandırma çağrısıdır. Güven, kırıldıktan sonra yeniden inşa edilmesi zordur. Yazılım-tanıdık, açık kaynaklı araçlar bile-artık sağlıklı bir şüphecilik katmanı ile ele alınmalıdır.

Vatandaş Laboratuvarı:

• İndirmeleri doğrulayın: Her zaman yazılımı doğrudan resmi depolardan, üçüncü taraf bağlantılardan değil, kaynak.
• Uç nokta korumasını kullanın: Saygın antivirüs ve davranış izleme araçlarına yatırım yapın.
• İki faktörlü kimlik doğrulama kullanın: Saldırganların, kötü amaçlı yazılımlarda bile hesapları kaçırması daha zor.
• Güncellenin: Sistemleri yamalı tutun ve topluluğunuzla ilgili siber güvenlik danışmanlarına abone olun.

Siber çatışmanın kişisel maliyeti

Bunun gibi siber saldırılar sadece teknik çatışmalar değil. Kişisel. Güven, dil, kimliği – toplulukları bir arada tutan görünmez konuları hedefler.

Uyghureditpp’i silahlandırma, yaratıcılık ve zulüm düzeyini gösterir. Zaten zulüm görmüş bir topluluğa, izlemek, korkutmak ve nihayetinde kontrol etmek için tasarlanmış dijital bir saldırıdır.

Bu kampanyanın gösterdiği gibi, siber tellere karşı savunmak sadece güvenlik duvarları ve yamalarla ilgili değil. Aynı zamanda kültürü, topluluğu ve güvenli iletişim kurma hakkını savunmakla ilgilidir.

İlgili