Teknoloji

Siber Casusluğun Yeni Yüzü

HaberTR fotoğrafı HaberTR Bir e-posta göndermek 2 saat önce
4 dakika okuma süresi
Siber Casusluğun Yeni Yüzü
Siber Casusluğun Yeni Yüzü

Siber Casusluğun Yeni Yüzü: FishMonger ve Windows Ekosistemindeki “Görünmez” Tehdit! Siber casusluk dünyası, sürekli evrilen bir satranç tahtası gibidir. Bir taraf yeni bir savunma kalkanı inşa ederken, diğer taraf bu kalkanın etrafından dolaşacak daha sofistike bir anahtar geliştirir. Son dönemde siber güvenlik dünyasını alarma geçiren gelişme, Çin bağlantılı olduğu değerlendirilen FishMonger grubunun, klasik Linux odaklı saldırı araçlarını Windows ekosistemine taşıyarak tehlikeyi bir üst seviyeye taşıması oldu. Siber güvenlik şirketi ESET tarafından yapılan detaylı analizler, bu grubun sadece kodlarını güncellemekle kalmadığını, aynı zamanda çekirdek (kernel) seviyesinde operasyonel bir gizlilik inşa ettiğini ortaya koyuyor.

SprySOCKS: Bir Arka Kapıdan Çok Daha Fazlası

FishMonger grubu, uzun süredir siber güvenlik literatüründe “Winnti” grubu çatısı altında faaliyet gösteren, stratejik odaklı ve oldukça yetenekli bir casusluk yapısı olarak biliniyor. Grubun en dikkat çekici enstrümanlarından biri olan SprySOCKS, daha önce ağırlıklı olarak Linux sunucularını hedefleyen bir arka kapı (backdoor) yazılımıydı. Ancak ESET araştırmacılarının Nisan 2024’te keşfettiği yeni Windows varyantları, saldırganların hedef yelpazesini genişlettiğini kanıtlıyor.

Analizler, FishMonger’ın Windows sürümü için Linux mimarisinin temel mantığını koruduğunu, ancak Windows’un işletim sistemi mimarisine özgü mekanizmalarla bu yapıyı güçlendirdiğini gösteriyor. Bu durum, saldırganların çapraz platform (cross-platform) yeteneklerini geliştirerek, heterojen IT altyapılarına sahip devlet kurumlarını hedeflemeyi kolaylaştırdığını kanıtlıyor.

Teknoloji ve Gizlilik: Kernel Seviyesinde Saklambaç

SprySOCKS Windows varyantını sıradan bir casus yazılımdan ayıran en temel özellik, çekirdek sürücüsü (kernel driver) kullanımıdır. Yazılım, kendini işletim sisteminin en derin katmanlarında saklayarak şu işlevleri gerçekleştiriyor:

  • Görünmezlik: Kötü amaçlı yazılım; ağ bağlantılarını, aktif işlemleri, dosya sistemindeki varlığını ve kayıt defteri (registry) anahtarlarını sistem yöneticilerinden gizlemek için özel bir sürücü kullanıyor.

  • TCP Trafiği Manipülasyonu: Yazılım, standart dinleme portları açmak yerine, kurbanın cihazındaki rastgele bir TCP bağlantı noktası üzerinden trafiği yönlendiriyor. Bu yöntem, geleneksel güvenlik duvarı (firewall) kurallarını bypass etmek için oldukça etkili.

  • Komuta ve Kontrol (C&C): 30’dan fazla komutu destekleyen bu arka kapı, sistem bilgilerini toplama, işlem numaralandırma, dosya aktarımı ve silme gibi işlemleri operatörün tek bir emriyle saniyeler içinde gerçekleştirebiliyor.

Hedefte Hükümetler ve Devlet Kurumları

ESET’in telemetri verilerine göre FishMonger, 2023-2024 yılları arasındaki saldırılarında rotasını Asya ve Latin Amerika’ya çevirmiş durumda. Honduras, Tayvan, Tayland ve Pakistan gibi ülkelerdeki devlet kurumları, grubun ana hedef tahtasında.

Bu durum, FishMonger’ın faaliyetlerinin bir “finansal kazanç” değil, “stratejik bilgi toplama” amacı taşıdığını bir kez daha doğruluyor. Devlet kurumlarını hedef alan bir grubun, bu denli sofistike bir “kernel-level” gizlenme mekanizması geliştirmesi, operasyonel güvenliklerini (OPSEC) en üst seviyede tuttuklarını gösteriyor.

UEFI Bootkit Tehlikesi: Sınırın Ötesi

FishMonger ile ilgili belki de en endişe verici bulgu, CVE-2023-24932 güvenlik açığını istismar eden bir UEFI bootkit bileşeninin kullanılıyor olabileceğine dair kanıtlar. UEFI seviyesinde bir saldırı, işletim sistemi yeniden kurulsa veya sabit disk değişse bile siber saldırganın sistemde kalıcı olmasını sağlar. Bu düzeyde bir müdahale, siber güvenlikte “sınırsız yetki” anlamına gelir ve saptanması en güç saldırı türleri arasındadır.

FishMonger Kimdir? (Arka Plan ve Profil)

Sektörün farklı isimlerle tanıdığı bu grup; Earth Lusca, TAG-22, Aquatic Panda veya Red Dev 10 olarak da bilinir. Çin’in Chengdu kentinden yönetildiği düşünülen bu grup, I-SOON adlı yüklenici ile bağlantılı olduğu iddiasıyla birçok kez gündeme geldi. 2019 yılındaki Hong Kong sivil protestoları sırasında üniversite ağlarına yaptıkları saldırılar, grubun siyasi ve stratejik gündemlere olan yakınlığını ortaya koymuştu.

Grup, sadece arka kapı yazılımları değil; ShadowPad, Spyder, Cobalt Strike ve BIOPASS RAT gibi zengin bir araç setini (arsenal) kullanmasıyla biliniyor. “Watering-hole” (sulama deliği) saldırıları ile kurbanlarını kendilerine çeken grup, hedef aldıkları kurumun güven duyduğu web sitelerini hackleyerek, kullanıcılara zararlı yazılım bulaştırıyor.

Güvenlik Uzmanları İçin Analiz: Neden Şimdi?

ESET araştırmacısı Martin Smolár, grubun Windows sürümüne geçişini “evrim” olarak nitelendiriyor. Temel mimariyi koruyup işletim sistemine özgü tekniklerle zenginleştirmek, saldırganların bir kurumun sadece bir sunucusunu değil, tüm ağ altyapısını ele geçirme stratejisini gösteriyor.

FishMonger, özellikle “ShadowPad” gibi modüler saldırı araçları kullanmasıyla tanınan bir grup. Bu, saldırılarını ihtiyaç anında “tak-çalıştır” şeklinde özelleştirebilecekleri anlamına geliyor. Windows varyantının ortaya çıkışı, kurumların sadece Linux sunucularını değil, tüm Windows uç noktalarını da kapsamlı bir izlemeye (monitoring) tabi tutmaları gerektiğini gösteriyor.

Sıkça Sorulan Sorular (SSS)

Soru 1: FishMonger grubu kimdir ve nereden faaliyet gösteriyor? Cevap: Çin bağlantılı, siber casusluk odaklı bir gruptur. Chengdu kentinden faaliyet gösterdiği düşünülmektedir ve I-SOON gibi yüklenicilerle bağlantılı olduğu raporlanmıştır.

Soru 2: SprySOCKS nedir ve neden tehlikelidir? Cevap: SprySOCKS, hedeflenen cihaz üzerinde tam kontrol sağlayan bir arka kapı yazılımıdır. Yeni Windows varyantı, kernel (çekirdek) seviyesinde çalıştığı ve kendini gizlediği için geleneksel antivirüs yazılımları tarafından fark edilmesi oldukça zordur.

Soru 3: UEFI bootkit saldırısı ne anlama geliyor? Cevap: UEFI seviyesindeki bir saldırı, işletim sisteminin önyükleme sürecine müdahale eder. Bu, saldırganın sistemin tamamen kontrolünü ele almasını sağlar ve format atılsa bile sistemde kalıcı olmasına izin verir.

Soru 4: Hangi ülkeler ve kurumlar hedef alınıyor? Cevap: ESET verilerine göre Honduras, Tayvan, Tayland ve Pakistan’daki devlet kurumları bu grubun ana hedef kitlesi arasındadır.

Soru 5: Siber güvenlik uzmanları bu saldırıya karşı nasıl önlem alabilir? Cevap: Kernel sürücülerini izleyen (EDR/XDR) çözümler kullanılması, ağ trafiğinin anomali bazlı tespiti ve UEFI/BIOS güncellemelerinin eksiksiz yapılması hayati önem taşımaktadır.

Soru 6: “Watering-hole” saldırısı nedir? Cevap: Saldırganın, hedef kitlenin sıkça ziyaret ettiği meşru bir web sitesini ele geçirip buraya zararlı bir kod yerleştirmesi ve siteyi ziyaret edenlerin cihazlarına virüs bulaştırması yöntemidir.

Soru 7: Bu grup neden sadece devlet kurumlarını hedefliyor? Cevap: FishMonger’ın operasyonel stratejisi casusluk üzerine kuruludur. Devlet kurumlarındaki kritik bilgiler, dış politika verileri veya askeri stratejiler, bu grubun temel motivasyon kaynağıdır.

Unutmayın, FishMonger gibi gruplar “görünmezlik” üzerine uzmanlaşmıştır. Güvenliğinizi sağlamak için savunma katmanlarınızı sadece yazılımsal değil, davranışsal izleme (EDR) sistemleriyle de güçlendirmeniz gerekmektedir.

HaberTR fotoğrafı HaberTR Bir e-posta göndermek 2 saat önce
4 dakika okuma süresi

İlgili Makaleler

Dijital Pazarlama Artık Bir Seçenek Değil

Dijital Pazarlama Artık Bir Seçenek Değil

2 gün önce
Herkes İçin Yapay Zeka Platformu Nedir? Nasıl Kullanılır?

Herkes İçin Yapay Zeka Platformu Nedir? Nasıl Kullanılır?

6 gün önce
Kişisel Markalaşma 360 Podcast Serisi

Kişisel Markalaşma 360 Podcast Serisi

1 hafta önce
Türkiye’nin Dijital Geleceği: Yapay Zeka Çağında “BİLGE” Hamlesi

Türkiye’nin Dijital Geleceği: Yapay Zeka Çağında “BİLGE” Hamlesi

1 hafta önce

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu