btbilgi

Çinli güvenlik firması Qihoo 360, yeni bir raporda DarkHotel olarak bilinen hacker grubunun Çin hükümet kurumlarına ve çeşitli ülkelerdeki elçiliklerine organize siber saldırılar yaptığını aktarmakta. 2007 yılından bu yana faaliyet gösterdiği saptanan grubun Kore yarımadasında faaliyet gösterdiğine inanılıyor ve günümüzün en gelişmiş bilgisayar korsanlığı operasyonlarından biri olarak kabul ediliyor.

DarkHotel saldırılarının Mart ayında başladığı ve mevcut Koronavirüs salgını ile ilişkili olduğu yönünde bilgiler raporda verilmiş. Grubun kurumsal ve hükümet ağlarına uzaktan erişim sağlamak için kullanılan Sangfor SSL VPN sunucularındaki bir sıfır gün güvenlik açığından faydalandığı saptanmış. Qihoo 360 bu operasyonlarda saldırıya uğramış 200’den fazla VPN sunucusu keşfettiğini söylüyor. Sunucuların 174’ünün Pekin ve Şanghay’daki devlet kurumlarının ağlarında ve yurtdışında faaliyet gösteren Çin diplomatik kurumlarının ağlarında bulunduğu açıklanmakta.

Saldırıya uğradığı iddia edilen Çin elçiliklerinin ülke listesi şu şekilde: İtalya, Birleşik Krallık, Pakistan, Kırgızistan, Endonezya, Tayland, BAE, Ermenistan, Kuzey Kore, İsrail, Vietnam, Türkiye, Malezya, İran, Etiyopya, Tacikistan, Afganistan, Suudi Arabistan ve Hindistan. Güvenlik araştırmacıları siber saldırı zincirinin karmaşık ve iyi düşünülmüş olduğunu iletiyorlar.

Saldırganlar VPN sunucularındaki sıfır günü açığını sunucular üzerinde kontrol kazanmak için kullanmışlar. Sunucularda bulunan ‘SangforUD.exe’ isimli dosya sahte versiyonla değiştiriliyor. Bu dosya gerçekte çalışanların Sangfor VPN sunucularına ve kurumsal ağlara bağlanmak için yükledikleri masaüstü uygulaması. Çalışanlar Sangfor VPN sunucularına bağlandığında sahte dosya otomatik şekilde çalışanların bilgisayarlarına güncelleme maskesi altında yükleniyor. Bu da bilgisayarlara bir arka kapı Truva atı yazılımı yüklemekte.

Google’ın Mart ayındaki bir güvenlik raporunda, DarkHotel grubunun 2019’da beş adet farklı sıfır günü güvenlik açığı kullandığını belirtmiş. Ayrıca 2020’nin Nisan ayına kadar grup üç farklı sıfır günü açığını devreye sokarak yasadışı operasyonlar gerçekleştirmiş. Araştırmacılar son saldırı dalgasının özelikle Çin hükümet kurumlarına yönelik olduğunu ve DarkHotel’in Çin hükümetinin salgını nasıl ele aldığını anlamaya çalıştığına inandıklarını söylüyorlar.

Qihoo 360 yeni saldırılarla ve sıfır günü güvenlik açığı ile ilgili keşiflerini Sangfor firmasına geçtiğimiz hafta iletmiş. Sangfor’un güvenlik açığı ve saldırılarla ilgili WeChat üzerinde bir açıklama yaptığı haber edilmekte. Bu açıklamada sadece M6.3R1 ve M6.1 yazılım sürümlerini çalıştıran Sangfor VPN sunucularının savunmasız olduğu ve yamaların hazırlanmakta olduğu ifade edilmiş.

Yorumlar
btbilgi
PAYLAŞ
blank
xTRlarge, Türkiye'nin (TR) üretici ve yenilikçi potansiyelini sergilemek; farklı bakış açılarını, yeni tarzları, x sayıda yeni değeri, girişimi, fikri yansıtmak; teknolojiden doğaya, iş yönetiminden tasarıma, insana dair faaliyetlerin en geniş ufkunu sizlerle mümkün olduğu kadar geniş 'large" paylaşabilmek için yola çıktı. Geleceğe inancı olanlarla birlikte mesafe katetmeyi planlıyor.