Çin Bağlantılı Hackerlar 70'ten Fazla Küresel Kuruluşu Hedef Aldı, SentinelLABS

SentinelLABS, Temmuz 2024 ile Mart 2025 arasında 70'ten fazla küresel kuruluşu ve siber güvenlik firmasını hedef alan yaygın Çin bağlantılı siber casusluğu ortaya çıkardı. "PurpleHaze (diğer adıyla Vixen Panda)" ve "ShadowPad" operasyonları ve kalıcı tehditler hakkında bilgi edinin.

Siber güvenlik firması SentinelLABS'ın yeni bir raporu, Çin'den kaynaklandığına inanılan geniş kapsamlı bir siber saldırı kampanyasını ortaya çıkardı. Temmuz 2024'ten Mart 2025'e kadar gerçekleşen bu faaliyetler, hükümet kurumları, medya şirketleri ve özellikle SentinelOne dahil olmak üzere küresel çapta çok sayıda kuruluşu hedef aldı.

Saldırıların ölçeği önemli olsa da SentinelLABS kendi altyapısının tehlikeye atılmadığını doğruladı. Bildirildiğine göre, Ekim 2024'te SentinelLABS, SentinelOne'ın internete erişilebilen sistemlerini hedef alan erken araştırma faaliyetlerini tespit etti . Bu , PurpleHaze (diğer adıyla Vixen Panda) adını verdikleri daha büyük bir şüpheli faaliyet kümesinin parçasıydı.

Daha sonra, 2025'in başlarında, SentinelLABS ayrı bir saldırıyı durdurmaya yardımcı oldu. Bu olay, " ShadowPad " adlı daha geniş bir operasyonla bağlantılıydı ve SentinelOne'ın personeli için bilgisayar ekipmanlarını yönetmekten sorumlu bir şirketi etkiledi. Her iki senaryoda da, SentinelLABS tarafından yapılan kapsamlı kontroller, SentinelOne'ın kendi ağının, yazılımının ve cihazlarının tehlikeye atılmadığını doğruladı.

PurpleHaze ve ShadowPad'in birleşik çabaları burada bitmedi. Güney Asya'daki bir hükümet kuruluşu ve büyük bir Avrupa medya kuruluşu da dahil olmak üzere dünya çapında 70'ten fazla farklı kuruluşu etkilediler. Bunların ötesinde, üretim, finans, telekomünikasyon ve araştırma alanlarındaki çok çeşitli işletmeler de etkilendi.

SentinelLABS, bu koordineli saldırıları "Çin-bağlantılı tehdit aktörleri" olarak adlandırdıkları gruplara güvenle bağladı. Bunlar, Çin hükümetinin casusluk programlarıyla güçlü bağları olduğundan şüphelenilen gruplardır. Soruşturma, bazı PurpleHaze saldırıları ile iyi bilinen Çin siber casusluk grupları, özellikle APT15 ve UNC5174 arasında bağlantılar buldu.

Bilgisayar korsanları çeşitli gelişmiş araçlar ve teknikler kullandı. Kötü amaçlı yazılımların önemli bir parçası, Çin bağlantılı bu gruplar tarafından casusluk yapmak ve uzaktan erişim elde etmek için sıklıkla kullanılan "kapalı kaynaklı modüler arka kapı platformu" olarak tanımlanan ShadowPad'di. GOREshell ailesinin bir parçası olan ve reverse_ssh arka kapı varyantlarını içeren başka bir araç da konuşlandırıldı.

Bu gruplar, sürekli değişen bir kontrol noktası ağı oluşturmalarına olanak tanıyan ve faaliyetlerinin izlenmesini ve tanımlanmasını zorlaştıran bir yöntem olan Operasyonel Röle Kutusu (ORB) ağlarını sıklıkla kullandılar.

Ayrıca, CVE-2024-8963 ve CVE-2024-8190 gibi belirli yazılım zayıflıklarından da yararlandılar ve hatta bazen bu güvenlik açıkları kamuya açıklanmadan önce bile bunları istismar ettiler. Dahası, bazı saldırılar siber güvenlik araştırmacılarından oluşan bir topluluk olan The Hacker's Choice'ın (THC) kamuya açık araçlarını içeriyordu.

Kaliforniya, Redwood City merkezli yönetilen tespit ve yanıt (MDR) sağlayıcısı Ontinue'de Güvenlik Operasyonları Başkan Yardımcısı olan Craig Jones , son gelişme hakkında şu yorumu yaptı: " SentinelOne'ın şu anda gördüğü şey klasik Çin-bağlantı aktivitesidir; bu, Sophos'ta savunma faaliyetlerine liderlik ettiğim Pasifik Çemberi saldırıları sırasında izlenenlerle tam olarak örtüşüyor. "

"O zamanlar aynı oyun kitabını gördük: son derece hedefli operasyonlar, uç cihazlarda gizli implantlar ve yüksek değerli altyapıya uzun vadeli erişime amansız bir odaklanma. Bu yeni bir şey değil, iyi hazırlanmış bir stratejinin devamı, " diye ekledi Craig.

Bu ayrıntılı bulgular, devlet destekli bu tür operasyonların karmaşık ve sürekli doğasını ortaya koyuyor ve tüm sektörlerde sürekli izleme yapılmasının kritik önemini vurguluyor.

(Pixabay'dan Monica Volpin'in görseli)