Nöbetçi Eczaneler
ABD Federal Soruşturma Bürosu (FBI), kamuya açık bir çağrı yaparak çeşitli şirketlerin ve devlet kurumlarının ağlarına yönelik geniş çaplı siber saldırılarda sorumluluğu olduğu iddia edilen bireylerin kimliklerinin belirlenmesi için kamuoyundan destek istedi. FBI, bu soruşturmanın, dünya genelindeki güvenlik duvarlarına yönelik saldırılarla hassas verilerin çalındığı bir dizi olayla ilgili olduğunu açıkladı.
Güvenlik şirketi Sophos’un raporlarına göre, bu saldırılar 2018 yılından 2023’e kadar uzanan bir süreçte gerçekleşti ve özellikle Sophos’un altyapı cihazlarını hedef alarak özel olarak tasarlanmış kötü amaçlı yazılımlar kullanıldı. Bu saldırılar, Çin devleti destekli APT31, APT41 ve Volt Typhoon gibi gruplara atfediliyor. İlk saldırı, 2018’in sonunda Sophos’un Hindistan’daki iştiraki Cyberoam’a yapıldı.
Sophos, bu saldırıların Güney ve Güneydoğu Asya’daki küçük ve büyük çaplı kritik altyapı tesisleri, devlet bakanlıkları, nükleer enerji tedarikçileri, bir askeri hastane ve bir ulusal havalimanı gibi kurumları hedef aldığını belirtti. Bu saldırılarda, Sophos güvenlik duvarlarında CVE-2020-12271, CVE-2020-15069 gibi açıklar kullanılarak sistemlere sızıldı ve cihazların yazılımları değiştirildi.
FBI’a göre, saldırganlar 2021’den itibaren geniş çaplı saldırılar yerine belirli devlet kurumları, sağlık ve finans sektörü gibi hedeflere yönelik daha dar kapsamlı ve “klavyede elle” yürütülen saldırılara geçiş yaptı. 2022 ortalarından itibaren, Asnarök ve Gh0st RAT gibi zararlı yazılımlar kullanarak daha derin erişimler sağlamayı hedefleyen saldırganlar, normal ağ trafiğine gizlenerek keşif ve bilgi toplama operasyonları gerçekleştirdi. Bu zararlı yazılımlardan biri olan Pygmy Goat, Sophos XG Güvenlik Duvarları gibi cihazlara kalıcı erişim sağlamak üzere geliştirilmiş karmaşık bir arka kapı yazılımı olarak dikkat çekiyor.
Sophos, Pygmy Goat’un CVE-2022-1040 açığından yararlanarak bir hükümet cihazı, teknoloji ortağı ve bir askeri hastanede kullanıldığını gözlemledi. Bu arka kapı yazılımının, özel olarak oluşturulmuş ICMP paketlerine yanıt vererek saldırganların uzaktan cihazlara erişim sağlamasına olanak tanıdığı belirtiliyor.
Sophos araştırmacılarına göre, bu saldırılar, Çin’in elektronik bilim araştırmalarında öncü Chengdu Elektronik Bilimler ve Teknoloji Üniversitesi’ne (UESTC) bağlantılı olan “Tstark” adlı bir Çinli tehdit aktörüne dayanıyor. Sophos, Çinli tehdit gruplarına ait bazı cihazlara özel olarak tasarlanmış bir yazılım yerleştirerek saldırıları önceden tespit edebildiğini belirtti. Bu süreçte özellikle Sichuan bölgesindeki araştırma kurumlarının Çin devleti destekli bu tür siber saldırılar için zemin hazırladığı gözlemlendi.
Çin’in sınır güvenlik cihazlarını hedef alma oranının giderek arttığını belirten Sophos Bilgi Güvenliği Müdürü Ross McKerchar, Çin’deki araştırmacıların buldukları açıkları devlete rapor etme zorunluluğunun bu saldırıların temel kaynağı olduğunu ifade etti.
Kanada Siber Güvenlik Merkezi tarafından yapılan değerlendirmelerde de, son dört yıl içinde Kanada’da yaklaşık 20 devlet ağına Çinli hacker gruplarının sızdığı ve stratejik, ekonomik ve diplomatik amaçlarla hassas bilgilere erişim sağladıkları belirtildi.
CUMHA – CUMHUR HABER AJANSI