Haberler
DarkHotel Siber Suç Örgütü VPN Sıfır Gün Saldırıları ile Çin Hükümetine Saldırıyor
Çin hükümetine bağlı kurumlar ve bu kurumlarda çalışanlar giderek artan devlet sponsorlu siber saldırılara maruz kalıyor. Araştırmacılar, Mart ayında başlayan saldırıların Covid-19 (Koronavirüs) salgını ile bağlantılı olduğuna inanıyor.
Çinli güvenlik uzmanları tarafından tespit edilen saldırılarda siber suçluların, Sangfor SSL VPN sunucularını sıfır gün saldırıları ile hedef aldıkları belirtildi. Bir sistem veya yazılımdaki güvenlik açığı yazılım geliştiriciler tarafından değil de siber saldırganlar tarafından ortaya çıkarıldığında sıfır gün açığı meydana gelir ve saldırılar düzenlenir. Siber suçlular bu saldırılarla şirketlerin ve hükümetin bilgisayar ağlarına erişim sağlayabiliyor.
Saldırılarda şu ana kadar 200’den fazla VPN sunucuna sızıldığı bildirildi. Söz konusu sanal özel ağ (VPN) sunucularının toplam 174’ü Pekin ile Şanghay kentlerindeki hükümet kurumlarının ağları ile yabancı ülkelerdeki Çin temsilciliklerini içeriyor. Bu noktadaki ülkeler şöyle sıralanıyor;
– İtalya,
– Birleşik Krallık,
– Pakistan,
– Kırgızistan,
– Endonezya,
– Tayland,
– Birleşik Arap Emirlikleri (BAE),
– Ermenistan,
– Kuzey Kore,
– İsrail,
– Vietnam,
– Türkiye,
– Malezya,
– İran,
– Etiyopya,
– Tajikistan,
– Afganistan,
– Suudi Arabistan,
– Hindistan.
Çinli yetkililer saldırının çok koordine ve ileri seviye olduğunu, siber suçluların ele geçirdikleri Sangfor VPN sunucularında SangforUD.exe komut dosyasını tuzak içeren bir versiyon ile değiştirdiklerini ifade etti.
Değiştirilen versiyon, binlerce Çinli çalışanın bilgisayarına yüklediği Sangfor VPN masaüstü uygulaması için bir güncelleme görünümünde. Çalışanlar siber suçluların sızdığı VPN sunucularına girdiği zaman tuzak içeren SangforUD.exe dosyasını buluyor ve yükledikleri zaman bilgisayarlarına arkı kapı yüklemiş oluyorlar.
DarkHotel örgütü koronavirüs hedeflerini takip ediyor
Çinli uzmanlar saldırının DarkHotel olarak bilinen bir siber suç örgütüne işaret ettiğini belirtti. Örgütün Kore yarımadasında yer aldığı ancak Kuzey mi yoksa Güney Kore’de mi olduklarının bilinmediği ifade edildi. 2007’den bu yana faaliyette olan örgütün, günümüzdeki en kabiliyetli devlet sponsorlu siber suç organizasyonlarından biri olduğu belirtiliyor.
Google, DarkHotel’in geçtiğimiz yıl beş sıfır gün saldırısı kullanarak bu alanda tüm diğer devlet destekli örgütü geride bıraktığını açıklamıştı. Sangfor VPN ise henüz ilk yarısını geride bırakmadığımız 2020’de DarkHotel’in kullandığı üçüncü sıfır gün saldırısı.
Çinli yetkililer, DarkHotel’in Covid-19 ile bağlantılı devlet kurumlarını hedefleyerek Çin’in salgın sürecindeki faaliyetleri hakkında bilgi toplamaya çalıştığını düşünüyor. Reuters, geçtiğimiz ay DarkHotel’in Dünya Sağlık Örgütü‘nü de (DSÖ) hedef aldığı haberini yayınlamıştı.
Yamalar hazırlandı
İlk kez 3 Nisan’da duyurulan sıfır gün saldırısı hakkında açıklama yapan Sangfor, VPN sunucularında M6.3R1 ile M6.1 donanım yazılımlarının kullanıldığını ve sunucuların DarkHotel tarafından saldırıya uğradığını doğruladı. Şirket, güvenliğe dair yamaların birkaç gün içinde hazır olacağını ve aynı zamanda DarkHotel tarafından yüklenen dosyaların silinmesi için araç geliştirileceğini açıkladı.
