Çin merkezli hackerların, "Cuttlefish" adlı bir kötü amaçlı yazılım platformunu kullanarak, havayolu şirketi dahil Türkiye'deki birçok kurumu hedef aldığı belirtiliyor.
Therecord.media sitesinin haberine göre; Çin merkezli olduğu iddia edilen hackerlar, Türkiye’deki kurumların kullandığı router ve diğer ağ ekipmanlarını hedef almak için “Cuttlefish” adlı bir kötü amaçlı yazılım platformunu kullanıyorlar.
Lumen Technologies’ Black Lotus Labs’den araştırmacılar, bu kötü amaçlı yazılımın en azından 27 Temmuz 2023’ten beri etkin olduğunu ve son organize saldırının Ekim 2023 ile Nisan 2024 arasında gerçekleştiğini belirtti.
Araştırmalarına göre, saldırıların yüzde 99’u Türkiye içinde gerçekleşirken, Türkiye dışındaki birkaç kurban küresel uydu telefonu sağlayıcıları ve potansiyel ABD merkezli veri merkezleriyle ilişkilendiriliyor.
Black Lotus Labs, Cuttlefish ve Çin hükümetinin çıkarlarıyla uyumlu operasyonlarda kullanılan bir kötü amaçlı yazılım ailesi olan HiatusRat arasında önemli örtüşmeler olduğu için kampanyanın Çin’le ilişkilendirildiğine inanıyor:
“Araştırmacılar, ‘Cuttlefish’ kötü amaçlı yazılımının hedeflenen ağa bağlı kullanıcı ve cihazlardan veri yakalamak için hiç tıklama yapılmaksızın(zero-click) veri çalmayı hedefleyen bir yaklaşım sunduğunu belirtti. Bu kötü amaçlı yazılım tarafından sızıntıya uğramış ağ ekipmanları üzerinden gönderilen herhangi bir veri potansiyel olarak karşı tarafça ele geçirilebiliyor.”
Kötü amaçlı yazılım, özellikle “kurumsal sınıf küçük ofis/ev ofisi (SOHO) yönlendiricilerini” hedeflemek üzere kullanılıyor – ki bu ekipmanlar devlet bağlantılı hackerlarının hala popüler hedefleri arasında.
Black Lotus Labs, hackerların routerlara nasıl ilk erişim sağladığını bulamadı, ancak içeri girdikten sonra, cihaz üzerinden tüm trafiği izleyebildiklerini belirtiyorlar.
Kötü amaçlı yazılım belirli türde bilgileri çalmak için yapılandırılabiliyor. Araştırmacılar, Alicloud, AWS, Digital Ocean, CloudFlare ve BitBucket gibi bulut tabanlı hizmetlere erişim sağlayacak anahtarların çalındığını gözlemledi. Ayrıca kötü amaçlı yazılımın dokuz ay boyunca fark edilmeden kaldığı tespit edildi.
Uzmanlar “Bu durum dikkatimizi çekti çünkü bu hizmetlerin çoğu, ağ içinde bulunan verileri saklamak için kullanılabilir. Kimlik bilgilerini yakalamak, tehdit aktörlerinin geleneksel network yapılarında bulunan loglama veya kontrollerin olmadığı bulut kaynaklarından veri kopyalamasına izin verebilir” şeklinde açıklama yaptılar.
Saldırı için kullanılan Cuttlefish ve HiatusRat’ın yazılımlarının karşılaştırılması, ikisinin de yazılımında %77’lik bir örtüşme buldu – ki bu da “aynı geliştiricilerin her iki kötü amaçlı yazılım ailesinin arkasında olduğunu” gösteriyor.
Black Lotus Labs, HiatusRat’ın kullanımını yıllardır izliyor ve geçen yıl, ABD askeri tedarik sistemi ve Tayvan’daki kuruluşlara keşif operasyonlarında routerları hedeflemek için kullanıldığını rapor etti. Daha önce Avrupa ve Latin Amerika’daki yüzlerce kuruluşa yapılan saldırılarla ilişkilendirilmişti.
Araştırmacılar, Cuttlefish kampanyasının boyutunu belirlemekte zorlandı ancak hedeflemenin “neredeyse tamamen Türkiye ile sınırlı olduğunu, Türk altyapısına bağımlı kuruluşların geniş çapta etkilendiğini” buldular.
Enfekte olan kuruluşlar arasında Türkiye merkezli bir havayolu, uydu hizmet sağlayıcıları ve daha fazlası bulunduğu belirtiliyor.
Black Lotus Labs, Cuttlefish’in network ekipmanları için “pasif dinleme” yapan kötü amaçlı yazılımının “en son evrimi” olduğunu uyarırken, Cuttlefish’in yaptığı gibi veri dinleme ve ele geçirme yeteneğinin “nadiren gözlemlendiğini” belirtti.
Uzmanlar bulut tabanlı kimlik doğrulama materyalinin özel olarak hedeflenmesi, Rus hackerlar ve Çin grupları tarafından yapılan son kampanyaların siber güvenlik şirketlerinin hazırlanması gereken bir saldırı türü olduğunu ifade ediyorlar.