Çinli Hackerlar, Web Hosting Firmalarını Hedef Alıyor: Yeni “UAT-7237” Grubu Keşfedildi!
Siber güvenlik firması Cisco Talos‘taki araştırmacılar, Tayvan’daki web hosting şirketlerini hedef alan ve daha önce görülmemiş yeni bir hacker grubunu tespit ettiklerini duyurdu. “UAT-7237” olarak adlandırılan bu grubun temel amacının, Tayvan’ın web altyapısı kuruluşlarında “uzun vadeli kalıcılık” sağlamak olduğu belirtiliyor.
Araştırmacılar, grubun kullandığı araç ve taktiklerin, “Typhoon” ön ekine sahip diğer Çin devlet destekli gruplarla benzerlik gösterdiğini ve büyük olasılıkla bu grubun da devlet destekli olduğunu düşünüyor.
Saldırı Yöntemi: “Araziye Uyum Sağlama” (Living off the Land)
UAT-7237’nin en dikkat çekici özelliği, gürültülü ve kolayca tespit edilebilen zararlı yazılımlar (malware) yerine, normal ağ etkinliğine karışarak fark edilmemeyi hedefleyen “araziye uyum sağlama” (living-off-the-land) taktiklerine odaklanması.
- İlk Sızma: Grup, hedeflerine sızmak için genellikle internete açık ve yamalanmamış sunuculardaki bilinen güvenlik açıklarını istismar ediyor.
- Araç Seti: İçeri girdikten sonra, çoğunlukla açık kaynaklı ve özelleştirilmiş araçlar kullanıyorlar. Bunların arasında en çok öne çıkanı, “SoundBill” olarak bilinen özel bir Shellcode yükleyicisi.
- Kalıcılık: Ağda kalıcılık sağlamak için ise, doğrudan uzak masaüstü protokolü (RDP) erişimi ve SoftEther VPN istemcilerinin bir kombinasyonunu kullanıyorlar.
Cisco Talos, yakın zamanda grubun Tayvanlı bir hosting sağlayıcısına sızdığını ve özellikle kurban kuruluşun VPN ve bulut altyapısına erişim sağlamakla “özel olarak ilgilendiğini” gözlemledi.
Techneiro Analizi: Tedarik Zinciri Saldırılarının Habercisi
UAT-7237 gibi devlet destekli bir grubun, belirli bir şirketi değil de, o şirketin hizmet aldığı web hosting firmasını hedef alması, son derece stratejik ve tehlikeli bir hamledir. Bir hosting firmasına sızmak, saldırganlara sadece o firmanın kendi verilerine değil, aynı zamanda o firmanın hizmet verdiği yüzlerce veya binlerce diğer şirketin ve web sitesinin verilerine erişmek için potansiyel bir “ana anahtar” verir. Bu, klasik bir tedarik zinciri saldırısı mantığıdır. Saldırganlar, tek ve iyi korunan bir kaleye doğrudan saldırmak yerine, kalenin daha az korunan tedarik yollarını (bu durumda hosting sağlayıcısını) hedef alarak içeri sızmaya çalışır. Grubun, dikkat çekici zararlı yazılımlar yerine, açık kaynaklı ve sistemin kendi araçlarını kullanma tercihi de, modern APT (Gelişmiş Kalıcı Tehdit) gruplarının ne kadar gizli ve sabırlı çalıştığının bir kanıtıdır.
Sizce bir web sitesinin güvenliği sadece kendi kodlarına mı bağlıdır, yoksa hizmet aldığı hosting firmasının güvenliği daha mı önemlidir? Bu tür tedarik zinciri saldırılarına karşı küçük işletmeler kendilerini nasıl koruyabilir? Düşüncelerinizi yorumlarda bizimle paylaşın!
Bu Konuyla İlgili Diğer“Nedir?”Yazılarımız:
Dijital dünyada güvende kalmanızı sağlayacak en son siber güvenlik tehditleri, korunma yöntemleri ve gizlilik ipuçları için techneiro.com‘u takip etmeye devam edin!
