Saldırının Genel Çerçevesi
UNC2814 adlı tehdit aktörü, 2017’den beri izlenen ve Afrika, Asya ile Amerika kıtalarında hükümetler ve küresel telekomünikasyon kuruluşlarını hedef alan kapsamlı bir siber casusluk kampanyası yürütüyor. Son analizlere göre, bu grup en az 42 ülkede 53 kurumsal ağı ihlal etti. Kampanyanın merkezinde, Google Sheets API’sini kötüye kullanan GRIDTIDE adlı yeni nesil bir arka kapı yer alıyor. Bu yöntemle, komut ve kontrol (C2) trafiği zararsız gibi gizlenerek tespit edilmesi zorlaştırılıyor.
Saldırı Zinciri ve Teknik Detaylar
GRIDTIDE, C tabanlı bir kötü amaçlı yazılım olup, Google Sheets üzerinde hücre tabanlı çift yönlü iletişim mekanizması kullanıyor. Örneğin, A1 hücresi saldırgan komutlarını taşırken, A2 hücresi komut çıktısı ve dosya transferi için kullanılıyor. V1 hücresi ise hedef sistemden toplanan verileri depoluyor. Başlangıç erişimi tam olarak bilinmemekle birlikte, UNC2814’ün web sunucuları ve uç sistemlerdeki zafiyetleri sömürerek ilerlediği tespit edildi.
Saldırganlar, ortam içinde yatay hareket için SSH üzerinden servis hesaplarını kullanıyor ve yerleşik sistem ikili dosyalarını (Living off the Land – LotL) keşif, ayrıcalık yükseltme ve kalıcılık için istismar ediyor. Kalıcılık sağlamak amacıyla /etc/systemd/system/xapt.service yolunda kötü amaçlı bir servis oluşturuluyor ve bu servis /usr/sbin/xapt üzerinden yeni kötü amaçlı yazılım örnekleri başlatıyor.
Ayrıca, dış IP adreslerine şifreli bağlantı kurmak için SoftEther VPN Bridge kullanılıyor. Bu VPN aracı, daha önce Çinli hacker grupları tarafından da kötüye kullanılmıştır. GRIDTIDE’nin hedef sistemlerde kişisel olarak tanımlanabilir bilgiler (PII) bıraktığı, ancak veri sızıntısı gözlemlenmediği bildirildi.
Hangi Sistemler Risk Altında?
Kampanya özellikle hükümet kurumları ve telekomünikasyon sektöründeki kuruluşları hedef alıyor. Bu sektörlerde kullanılan web sunucuları, uç noktalar ve servis hesapları saldırganların öncelikli hedefleri arasında. Ayrıca, ağ kenarında bulunan ve genellikle güvenlik denetimlerinden kaçan cihazlar, UNC2814 için erişim noktası olarak kullanılıyor. Bu durum, bulut güvenliği ve ağ segmentasyonu stratejilerinin önemini artırıyor.
Siber Güvenlik Ekipleri İçin Öneriler
- Google Cloud ve Google Sheets API erişimlerini düzenli olarak denetleyin ve şüpheli aktiviteleri izleyin.
- SSH servis hesaplarının kullanımını kısıtlayın ve çok faktörlü kimlik doğrulama (MFA) uygulayın.
- EDR çözümleri ile LotL tekniklerini kullanan kötü amaçlı yazılımları tespit etmeye odaklanın.
- Systemd servis dosyalarını ve yeni oluşturulan servisleri düzenli olarak kontrol edin.
- SoftEther VPN ve benzeri araçların ağda kullanımını izleyin ve gereksiz erişimleri engelleyin.
- Olay müdahale (incident response) planlarını güncel tutun ve özellikle C2 iletişim kanallarına odaklanın.
- Ağ segmentasyonu ile kritik sistemleri dış ağlardan izole edin.
- Log yönetimi ve SIEM sistemlerini kullanarak API çağrıları ve sistem aktivitelerini detaylı analiz edin.
Teknik Özet
- Zararlılar ve Araçlar: GRIDTIDE arka kapısı, SoftEther VPN Bridge, LotL teknikleri
- Hedef Sektörler: Hükümet kurumları, telekomünikasyon
- Kullanılan Teknikler: Google Sheets API üzerinden C2 iletişimi, SSH servis hesapları ile yatay hareket, systemd servisi ile kalıcılık
- Saldırı Zinciri: Başlangıç erişimi (bilinmiyor), C2 iletişimi için SaaS API kullanımı, kalıcılık ve yatay hareket
- Önerilen Savunma: MFA, EDR, ağ segmentasyonu, düzenli log analizi, API erişim kontrolleri
Bu gelişme, özellikle bulut tabanlı hizmetlerin ve API iletişiminin saldırganlar tarafından nasıl istismar edilebileceğini gösteriyor. Kurumsal ortamlar, e-posta güvenliği ve bulut güvenliği önlemlerini güçlendirirken, olay müdahale süreçlerini de bu tür sofistike tehditlere göre güncellemelidir.