Siber saldırılar her geçen gün artıyor. Büyük teknoloji şirketlerinin sistemlerinde açık bulan saldırganlar, bu zayıflıkları hızla istismar ediyor. Son dönemde pek çok tehdidin Çin bağlantılı olduğuna dair iddialar gündemde. Daha önce de jeopolitik gerilimler sırasında hedefli saldırılar yaşanmıştı. Google’ın Tehdit Analiz Grubu (TAG), şimdi de Güneydoğu Asya’daki diplomatları hedef alan Çin bağlantılı bir siber casusluk ekibini ortaya çıkardığını söylüyor. “UNC6384” adıyla bilinen bu grup, ülkesinin siyasi çıkarlarını destekleyen operasyonlar yürütüyor ve karmaşık saldırılarıyla tanınıyor.
Google, Hacker’ların Güneydoğu Asyalı Diplomatları Hedef Aldığını Söylüyor
Bloomberg’e göre Google, yaklaşık iki düzine diplomatın bu girişimlerin kurbanı olduğunu bildiriyor. Saldırganlar, sosyal mühendisliği kullanarak kişileri “güncelleme” gibi görünen sahte yüklemelere yönlendiriyor. Kullanıcı, yazılımın arka planda kötü amaçlı kod içerdiğini fark etmiyor. Bu kod, diplomatların bilgisayarlarına uzaktan erişilmesini sağlıyor.
Grup, “Adversary-in-the-Middle” saldırı tekniğine başvuruyor. Bu yöntem, özellikle kamusal Wi‑Fi’a bağlanıldığında ve bir giriş ekranı çıktığında tarayıcıyı istismar ediyor. Hedefler, “STATICPLUGIN” adlı sahte bir kurulum dosyasını indirmeye yönlendiriliyor. Dosya, güven verici görünmesi için geçerli bir dijital sertifika taşıyor. Kurulumdan sonra “SOGU.SEC” adlı gizli bir araç bellekte çalıştırılıyor. Böylece tespit edilmesi zorlaşıyor. Bu kötü amaçlı yazılım; sistemi uzaktan yönetmeye, dosyaları çalmaya ve komut çalıştırmaya imkan veriyor.
Google, grubu durdurmak için proaktif adımlar attığını belirtiyor; ilgili alan adlarını engelledi, ele geçirilmiş sertifikaları iptal etti ve etkilenen bazı kullanıcıları bilgilendirdi. Diplomatların hem müzakere süreçleri hem de istihbarat amacıyla sık hedef alınması şaşırtıcı değil. Yine de bu vakalar, tehdit aktörlerinin ne kadar yaratıcı ve ısrarcı hale geldiğini gösteriyor.
Çin, devlet destekli olduğu iddia edilen siber operasyonlarla bağlantısını sürekli reddediyor. Buna karşın bu tür saldırı iddiaları artıyor. Kısa süre önce Singapur, kritik altyapıyı hedef aldığı söylenen Çin bağlantılı “UNC3886” konusunda uyarıda bulunmuştu. Şimdi de Google, benzer girişimlerden söz ediyor. Tüm bu gelişmeler, Güneydoğu Asya ülkelerinin siber güvenliği üst sıraya koyması ve Google gibi teknoloji şirketleriyle iş birliğini güçlendirmesi gerektiğini hatırlatıyor.
Kaynak: wccftech.com