Çinli Siber Korsanlar Havayolunu Kullanan Yolcuların Bilgilerini Çalıyor

Çin merkezli bir siber suç örgütünün belli hedefleri takip edebilmek amacıyla birkaç yıldır havayolu şirketlerine ait yolcu bilgilerini çaldığı ortaya çıktı. Tehdit unsurunun, siber güvenlik çevreleri tarafından “Chimera” olarak adlandırıldığı ifade edildi.

Siber saldırılara ait ilk bilgilendirme Black Hat 2020 konferansında CyCraft şirketine bağlı güvenlik uzmanları tarafından yapılmıştı. Sunulan ilk raporda, koordineli saldırıların Tayvan süper iletken sanayisini hedeflediği ifade edilmişti. Geçtiğimiz hafta sunulan en yeni raporda ise siber suç örgütünün hedeflerinin sanılandan daha fazla olduğu ve havayolu şirketlerine de saldırı düzenlendiği bildirildi.

En son raporda, siber suç örgütünün faaliyetlerinin Ekim 2019 ile Nisan 2020 tarihleri arasında takip edildiği ve söz konusu tarih aralığında Asya dışındaki farklı bölgelerde hem süper iletken hem de havayolu sektörünün hedeflendiği ifade edildi. Siber suçluların hedefledikleri verileri çalabilmek için sızdıkları bazı bilgisayar ağlarının içerisinde üç yıla kadar saklandıkları anlaşıldı.

Teknik detaylar…
Uçuş rezervasyon bilgilerinin saklandığı sunuculara sızıldı

Süper iletken sanayisine yönelik saldırıların veri ile patent hırsızlığına yönelik olduğu ortaya çıkarılırken, havayolu şirketlerine yönelik saldırıların hedefi güvenlik uzmanlarını şaşırttı. Analizler, saldırılarda Yolcu İsim Kayıtları’nın (PNR) ele geçirilmeye çalışıldığını gösterdi.

Siber korsanların PNR bilgilerini çalmak için çeşitli yöntemler kullandıkları, en sık rastlanan yöntemin ise özel DLL dosyaları kullanarak sistemlerin belleğinden PNR verisi çekmek olduğu belirtildi. Söz konusu sistemlerde yolcu bilgilerinin yanı sıra uçuş rezervasyonları gibi bilgilerin de yer aldığı not düşüldü.

Chimera grubunun çalışma sistemi, genelde kullanıcı bilgilerini toplamak ile başlıyor. Siber suç örgütü bu bilgilere şirketlerden çalınan ve ardından satışa çıkarılan veriler aracılığıyla ulaşıyor. Satın alınan veya çalınan çalışan bilgileri başta e-posta hesapları olmak üzere çeşitli hesaplara sızmak için kullanılıyor. Hesaplara sızmayı başardıktan sonra, Chimera’nın bir sonraki hedefi Citrix sistemleri ve VPN (sanal özel ağ) uygulamalarının hesaplarını kırmak oluyor.

Bilgisayar ağına sızmalarının ardından, Chimera penetrasyon test çerçevesi Cobalt Strike kullanarak ağ içinde olabildiğince fazla sisteme erişim sağlıyor ve IP ile yolcu bilgilerini ele geçirmeye çalışıyor.

Güvenlik uzmanları, Chimera’nın operasyonlarında son derece sabırlı ve titiz olduğunu, hedeflenen bilgilere ulaşabilmek için çapraz sistemler arasında gezindiklerini kaydediyor

Chimera, istediği verilere ulaşmasının ardından OneDrive, Dropbox veya Google Drive gibi bulut depolama hizmetlerine yüklüyor. Bu hizmetlerin tercih edilmesinin sebebi, sızılan ağlar içinde denetlenme veya bloke edilme ihtimalinden uzak olmaları olarak beliriyor.

Belirli hedefleri takip etme süreci

Devlet sponsorluğundaki siber suç örgütlerinin belirli hedeflerin hareketlerini ve iletişimlerini takip etmek için genelde havayolu şirketlerini, otel zincirlerini ve telekomünikasyon şirketlerini hedef aldıkları biliniyor.

Bu amaçla operasyon gösteren bir diğer Çin merkezli siber suç örgütü APT41 olarak hafızalarda yer edinmişti. APT41, telekomünikasyon şirketlerini özel geliştirilen kötü amaçlı yazılım ile SMS çalmak için hedef alıyordu. Çin’in bu eylemlerle Uygur halkının hareketlerini takip etmeye çalıştığı, aynı amaçla telekomünikasyon şirketlerini de hedeflediği düşünülüyor.

Telekomünikasyon şirketlerini hedef alan bir diğer Çin merkezli siber örgüt APT10 (veya Gallium) olarak biliniyor. Çin devleti sponsorluğundaki siber suç örgütlerinin yakın geçmişte gerçekleştirdiği bir diğer saldırı Marriott otel zincirini hedef almış ve müşterilerin yıllar öncesine uzanan rezervasyon bilgileri ele geçirilmişti.

Öte yandan, benzer saldırıları İran merkezli siber suç örgütlerinin de gerçekleştirdiği biliniyor. APT39, telekomünikasyon şirketleri ve seyahat acentalarından İranlı muhaliflere ait bilgiler çalarken, Greenbug adlı bir diğer İranlı grubun Güneydoğu Asya’da birçok telekomünikasyon şirketini hedeflediği biliniyor.

Akıllarda kalan bir diğer ilginç saldırı, Britanya merkezli Operation Specialist olmuştu. Operasyonlarda Belçika merkezli Belgacom telekomünikasyon şirketi 2010 ve 2013 yılları arasında hedef alınmıştı.