Dijital güvenlik şirketi ESET, çeşitli ülkelerdeki Tibetlileri maksat almak için dini bir toplantı olan Monlam Şenliği’nden yararlanan bir siber casusluk kampanyası keşfetti. ESET araştırma grubu bu kampanyayı Çin ilişkili Evasive Panda Gelişmiş Kalıcı Tehdit (APT) kümesine bağlıyor.
ESET araştırmacıları, Eylül 2023’ten bu yana Tibetlileri gaye alan bir siber casusluk kampanyası keşfetti. Araştırmacılara nazaran saldırganlar bir watering-hole (stratejik web tehlikesi) ve Tibet lisanı çeviri yazılımının truva atı yükleyicilerini sunmak için bir tedarik zinciri tehlikesini metot olarak kullandılar. Saldırganlar, web sitesi ziyaretçilerini MgBot ve şimdi kamuya açıklanmamış bir art kapı ile tehlikeye atmak için hem Windows hem de macOS için makus gayeli indiriciler dağıtmayı amaçladı. ESET buna Nightdoor ismini verdi. Çin’e bağlı Evasive Panda APT kümesi tarafından yürütülen kampanya, çeşitli ülkelerdeki Tibetlileri maksat almak için dini bir toplantı olan Monlam Şenliği’nden yararlandı. Hedeflenen ağlar Hindistan, Tayvan, Hong Kong, Avustralya ve Amerika Birleşik Devletleri’nde bulunuyordu.
ESET, siber casusluk operasyonunu Ocak 2024’te keşfetti. Watering-hole kullanılarak ele geçirilmiş web sitesi (saldırgan, kurbanın muhtemelen yahut nizamlı olarak kullandığı bir web sitesini istila eder), Tibet Budizmini milletlerarası alanda teşvik eden Hindistan merkezli bir kuruluş olan Kagyu International Monlam Trust’a ilişkin. Atak, her yıl Ocak ayında Hindistan’ın Bodhgaya kentinde düzenlenen Kagyu Monlam Şenliği’ne olan memleketler arası ilgiden faydalanmayı amaçlamış olabilir. Amerika Birleşik Devletleri’ndeki Georgia Institute of Technology (Georgia Tech olarak da bilinir) ağı, hedeflenen IP adres aralıklarında tespit edilen kuruluşlar ortasında. Geçmişte bu üniversitenin ismi Çin Komünist Partisi’nin ABD’deki eğitim kurumları üzerindeki tesiriyle ilişkili olarak anılmıştı.
Eylül 2023 civarında saldırganlar, Tibet lisanı çeviri yazılımı üreten Hindistan merkezli bir yazılım geliştirme şirketinin web sitesini ele geçirdi. Buraya Windows yahut macOS için makus maksatlı bir indirici dağıtan birkaç truva atı uygulaması yerleştirdiler. Buna ek olarak, saldırganlar tıpkı web sitesini ve Tibetpost isimli bir Tibet haber sitesini, Windows için iki tam özellikli art kapı ve macOS için bilinmeyen sayıda yük dahil olmak üzere berbat gayeli indirmelerle elde edilen yükleri barındırmak için de berbata kullandılar.
Saldırıyı keşfeden ESET araştırmacısı Anh Ho, “Saldırganlar, sadece Evasive Panda tarafından kullanılan MgBot ve kümenin araç setine en son eklenen ve Doğu Asya’daki birçok ağı amaç almak için kullanılan Nightdoor da dahil olmak üzere çeşitli indiriciler, damlalıklar ve art kapılar kullandılar” dedi. “Tedarik zinciri hücumunda kullanılan Nightdoor art kapısı, Evasive Panda’nın araç setine yeni eklendi. Nightdoor’un bulabildiğimiz en eski sürümü, Evasive Panda’nın onu Vietnam’daki yüksek profilli bir maksadın makinesine yerleştirdiği 2020 yılına ilişkin. Ho, Yetkilendirme belirteciyle bağlantılı Google hesabının kaldırılmasını talep ettik,” diye ekledi.
ESET, kullanılan makûs maksatlı yazılımlara dayanarak bu kampanyayı Evasive Panda APT kümesiyle ilişkilendiriyor: MgBot ve Nightdoor. Geçtiğimiz iki yıl içinde, her iki art kapının da Tayvan’daki dini bir tertibe karşı yapılan ve tıpkı Komuta ve Denetim sunucusunu paylaştıkları ilgisiz bir atakta birlikte kullanıldığı görüldü.
Evasive Panda (BRONZE HIGHLAND yahut Daggerfly olarak da bilinir), en az 2012’den beri faal olan, Çince konuşan ve Çin’e bağlı bir APT kümesidir. ESET Research, kümenin Çin anakarası, Hong Kong, Makao ve Nijerya’daki bireylere karşı siber casusluk yaptığını gözlemledi. Çin, Makao ve Güneydoğu ve Doğu Asya ülkelerinde, bilhassa de Myanmar, Filipinler, Tayvan ve Vietnam’da devlet kurumları amaç alındı. Çin ve Hong Kong’daki öbür kuruluşlar da gaye alınmıştı. Kamu raporlarına nazaran, küme Hong Kong, Hindistan ve Malezya’daki bilinmeyen kuruluşları da maksat almıştı.
Grup, MgBot olarak bilinen art kapısının kurbanlarını gözetlemek ve yeteneklerini geliştirmek için modüller almasına imkan tanıyan modüler bir mimariye sahip kendi özel makûs gayeli yazılım çerçevesini kullanıyor. ESET, 2020’den bu yana Evasive Panda’nın art kapılarını, yasal yazılımların güncellemelerini ele geçiren ortadaki düşman atakları yoluyla sunma yeteneğine sahip olduğunu da gözlemledi.
Kaynak: (BYZHA) Beyaz Haber Ajansı