Qilin fidye yazılımı grubu, 2025 yılının son çeyreğinde Güney Kore’de önemli bir MSP (Yönetilen Hizmet Sağlayıcı) ihlalini kullanarak 28 kurbanı etkileyen büyük bir veri hırsızlığı operasyonu gerçekleştirdi. “Korean Leaks” adı verilen bu kampanya, 2 TB’tan fazla veri ve 1 milyondan fazla dosyanın sızdırılmasıyla dikkat çekti. Yapılan analizler, Qilin’in Kuzey Kore devlet destekli Moonstone Sleet aktörüyle bağlantılı olduğunu ve saldırıların finans sektöründeki varlık yönetim şirketlerine odaklandığını gösteriyor.
Türkiye İçin Ne Anlama Geliyor?
Türkiye’deki kurumlar ve KOBİ’ler, özellikle finans, e-ticaret ve kritik altyapı alanlarında benzer MSP tabanlı saldırılara karşı savunmasız olabilir. Qilin operasyonu, MSP’lerin tedarik zinciri güvenliğinin ne kadar kritik olduğunu ortaya koyuyor. Türkiye’de KVKK gibi veri koruma mevzuatları kapsamında, böyle bir ihlal hem yasal yaptırımlara hem de itibar kaybına yol açabilir.
Örneğin, bir e-ticaret platformunda MSP erişimi üzerinden gerçekleşen bir saldırı, müşteri verilerinin çalınması ve ödeme bilgilerinin sızdırılmasıyla sonuçlanabilir. Bu durum, hem müşteri güvenini zedeler hem de yasal sorumlulukları artırır. Ayrıca, kritik altyapı sağlayıcılarının MSP bağlantıları üzerinden hedef alınması, hizmet kesintilerine ve ekonomik zararlara neden olabilir.
Türkiye’deki SOC ekipleri ve BT yöneticileri, MSP erişimlerini sürekli denetlemeli, çok faktörlü kimlik doğrulama (MFA) ve en az ayrıcalık ilkesi (PoLP) gibi güvenlik önlemlerini uygulamalıdır. Ayrıca, bulut güvenliği ve e-posta güvenliği gibi alanlarda da kapsamlı politikalar geliştirilmelidir.
Sistem Yöneticileri ve SOC Ekipleri İçin Hızlı Kontrol Listesi
- MSP ve üçüncü taraf erişimlerini düzenli olarak gözden geçirin ve kısıtlayın.
- Çok Faktörlü Kimlik Doğrulama (MFA) uygulamasını zorunlu hale getirin.
- EDR ve SIEM sistemlerinde anormal davranışları ve lateral hareketleri izleyin.
- Kritik sistem ve verileri segmentlere ayırarak saldırı yüzeyini azaltın.
- Yama yönetimini sıkı tutarak bilinen CVE’leri hızlıca kapatın.
- Güvenlik duvarı ve ağ erişim kontrollerini MSP trafiği için özelleştirin.
- Fidye yazılımı saldırılarına karşı yedekleme ve kurtarma planlarını test edin.
- Çalışanlara yönelik düzenli siber güvenlik farkındalık eğitimleri düzenleyin.
Teknik Özet
- Kullanılan zararlılar ve araçlar: Qilin fidye yazılımı, Moonstone Sleet bağlantılı FakePenny varyantı, RaaS modeli, iç gazeteci ekibi destekli sosyal mühendislik.
- Hedef sektörler ve bölgeler: Güney Kore finans sektörü, özellikle varlık yönetim şirketleri.
- Kullanılan zafiyetler: MSP ihlali yoluyla ilk erişim, bilinen CVE kodları raporda belirtilmemekle birlikte, genellikle MSP yazılımlarındaki güvenlik açıkları ve zayıf kimlik doğrulama mekanizmaları kullanılıyor.
- Saldırı zinciri özeti: 1) MSP ihlali ile erişim sağlanması, 2) lateral hareketlerle finans kurumlarının sistemlerine yayılma, 3) veri sızıntısı ve fidye talepleri.
- Önerilen savunma yaklaşımı: Çok faktörlü kimlik doğrulama, en az ayrıcalık ilkesi, segmentasyon, sürekli izleme ve yama yönetimi.
Qilin grubunun operasyonlarında MCP istemcisi benzeri araçlar ve Pydantic AI destekli otomatik analizler kullanıldığı tahmin ediliyor. Ayrıca, saldırganların konteyner ortamlarında rastgele SSH portları açarak erişim sağlamaya çalıştığı gözlemlenmiştir. Bu teknik detaylar, saldırının karmaşıklığını ve profesyonelliğini gösteriyor.
Sonuç olarak, bu tür RaaS tabanlı fidye yazılımı saldırıları, MSP’ler üzerinden çok sayıda kurbanı aynı anda hedef alarak yaygın bir tehdit oluşturuyor. Türkiye’deki kurumların da benzer risklere karşı kapsamlı önlemler alması kritik önem taşıyor.