Siber saldırılar her geçen gün artıyor. Büyük teknoloji şirketlerinin sistemlerinde açık bulan saldırganlar bu zayıflıkları hızla istismar ediyor. Son dönemde pek çok tehdidin Çin bağlantılı olduğuna dair iddialar gündemde. Daha önce de jeopolitik gerilimler sırasında hedefli saldırılar yaşanmıştı. Google’ın Tehdit Analiz Grubu (TAG) şimdi, Güneydoğu Asya’daki diplomatları hedef alan Çin bağlantılı bir siber casusluk ekibini ortaya çıkardığını söylüyor. UNC6384 adıyla bilinen bu grup, ülkesinin siyasi çıkarlarını destekleyen operasyonlar yürütüyor ve karmaşık saldırılarıyla tanınıyor.
Google’dan uyarı: Çin bağlantılı hacker’lar Güneydoğu Asyalı diplomatları hedef alıyor
Bloomberg’e göre Google, yaklaşık iki düzine diplomatın bu girişimlerin kurbanı olduğunu bildiriyor. Saldırganlar, sosyal mühendisliği kullanarak kişileri “güncelleme” gibi görünen sahte yüklemelere yönlendiriyor. Kullanıcı, yazılımın arka planda kötü amaçlı kod içerdiğini fark etmiyor. Bu kod, saldırganlara diplomatların bilgisayarlarına uzaktan erişim sağlıyor.
Grup, “araya giren saldırı” (adversary-in-the-middle) tekniğine başvuruyor. Bu yöntem özellikle kamusal Wi‑Fi’a bağlanıldığında ve bir giriş ekranı çıktığında tarayıcıyı istismar ediyor. Hedefler, STATICPLUGIN adlı sahte bir kurulum dosyasını indirmeye yönlendiriliyor. Dosya, güven verici görünmesi için geçerli bir dijital sertifika taşıyor. Kurulumdan sonra SOGU.SEC adlı gizli bir araç bellekte çalıştırılıyor. Böylece tespit edilmesi zorlaşıyor. Bu kötü amaçlı yazılım, sistemi uzaktan yönetmeye, dosyaları çalmaya ve komut çalıştırmaya imkan veriyor.
Google, kampanyayı durdurmak için proaktif adımlar attığını belirtiyor. İlgili alan adlarını engelledi, ele geçirilmiş sertifikaları iptal etti ve etkilenen bazı kullanıcıları bilgilendirdi. Diplomatların hem müzakere süreçleri hem de istihbarat amacıyla sık hedef alınması şaşırtıcı değil. Yine de bu vakalar, tehdit aktörlerinin ne kadar yaratıcı ve ısrarcı hale geldiğini gösteriyor.
Çin, devlet destekli olduğu iddia edilen siber operasyonlarla bağlantısını sürekli reddediyor. Buna karşın bu tür saldırı iddiaları artıyor. Kısa süre önce Singapur, kritik altyapıyı hedef aldığı söylenen Çin bağlantılı UNC3886 konusunda uyarıda bulunmuştu. Şimdi de Google benzer girişimlerden söz ediyor. Tüm bu gelişmeler, Güneydoğu Asya ülkelerinin siber güvenliği üst sıraya koyması ve Google gibi teknoloji şirketleriyle işbirliğini güçlendirmesi gerektiğini hatırlatıyor.
Kaynak: wccftech.com
