Vatikan ve Pekin arasında diplomasi yürüten kuruluşları hedef alan bir hackleme kampanyasının açığa çıkmasından aylar sonra, bilgisayar korsanlarının operasyonlarına devam ettiği ortaya çıktı.

Recorded Future adlı güvenlik şirketinden araştırmacılar Mustang Panda adlı bir grupla bağlantılı hackerları, ilk olarak temmuz ayında gündeme getirmiş, söz konusu grubu tarihsel olarak hassas bir konu olan Çin’deki Katolik Kilisesi’nin operasyonlarıyla ilgili müzakereleri yürüten hedeflere karşı casusluk yaptıkları iddiası ile suçlamıştı.

Recorded Future, hackerlık hakkındaki araştırmasını yayınladıktan sonra, saldırganlar operasyonlarını yalnızca iki hafta ara vermek suretiyle aynı araçlarla devam ettirmişlerdi.

FARK EDİLMEMEK İÇİN SALDIRI ARAÇLARINI GÜNCELLEDİLER

Son yayınlanan Proofpoint araştırmasına göre, bu kez saldırganlar fark edilmemek için kötü amaçlı yazılım yerleştirme tekniklerinde güncellemeye gitti. Proofpoint’e göre hackerlar bu yılın başlarında, “RedDelta PlugX” adlı bir PlugX varyantı olan uzaktan erişim truva atını kullanarak diplomatik varlıkları hedef alırken, şimdi hedeflerinin peşinden gitmek için bir programlama dili olan Golang’de yazılmış yeni bir tür kötü amaçlı yazılım kullanıyorlar.

Son hacker saldırısı, Katolik Asya Haberleri Birliği’nden gazetecileri taklit ettiği anlaşılan aldatıcı e-posta başlıklarını içeriyor. Saldırı ayrıca Vatikan ile Çin Komünist Partisi arasında yakın zamanda yenilenen geçici anlaşmaya atıfta bulunan sosyal mühendislik yemlerinin kullanımını içeriyor.

Proofpoint araştırmacıları, son değişikliklerin “RedDelta” veya “TA416” olarak da bilinen Çin bağlantılı aktörleri izlemeyi kısmen daha zor hale getirirken araştırmacıları tamamen karanlıkta bırakmadığını söyledi.

Araştırmacılar konuyla ilgili bir blog yazısında şu değerlendirmelere yer verdi: “Söz konusu grup, güvenlik araştırmacıları tarafından deşifre edildikçe, saldırı araçlarını değiştirme yoluna gidiyorlar. Böylece haklarında yapılan analizleri boşa çıkartıyorlar ve tespit edilmelerinin önüne geçmiş oluyorlar. Veri yüklerindeki temel değişiklikler, operasyonları TA416 ile ilişkilendirme zorluğunu büyük ölçüde artırmasa da virüs bulaştırma zincirinden bağımsız kötü amaçlı yazılım bileşenlerinin otomatik olarak algılanmasını araştırmacılar için daha zor hale getiriyor.”

HEDEFTE ÇİN-VATİKAN DİPLOMATİK İLİŞKİLERİ VAR

En son bulgular, hackerların Vatikan ile Çin Komünist Partisi arasında diplomatik faaliyetlerde bulunan kuruluşlar hakkında istihbarat toplama niyetinde olduklarının kanıtı. Proofpoint’e göre, saldırıların yeniden başlatılması, Vatikan’ın Pekin ile Çin’deki piskoposların atanması konusunda anlaşmayı uzattığını resmi olarak açıklamasından birkaç gün önce gerçekleşti. Pekin daha önce eylül ayında Çin’deki Katolik Kilisesi’nin statüsü konusunda bir uzlaşmaya varıldığını duyurmuş olsa da Vatikan 1951’de Çin ile diplomatik ilişkileri kestiğinden beri Çin’deki Katoliklik hakkındaki bilgiler Çin hükümeti tarafından uzun yıllardır büyük ilgi görüyordu.

MYANMAR VE AFRİKA DA SALDIRGANLARIN HEDEFİNDE

Bilgisayar korsanları, son zamanlarda Myanmar’daki kuruluşları ve Afrika’da diplomasi yürüten kuruluşları da hedef alıyordu. Son bulgular bilgisayar korsanlarının son aylarda görev değişiklikleri yapmış olabileceğini öne sürüyor. Recorded Future araştırmasına göre hackerlar, son aylarda Hindistan ve Endonezya’daki devlet kuruluşlarının yanı sıra Hong Kong ve Avustralya’daki kimliği belirsiz kuruluşları da hedef alıyor.

Proofpoint, kötü amaçlı dosyaların ilk olarak nasıl yerleştirildiğine dair bir bilgiye sahip değil, ancak hacker grubu, geçmişte, PlugX adlı kötü amaçlı yazılımları dağıtabilen spam içerikli Google Drive veya Dropbox URL’lerine sahip kimlik avı e-postalarını kullandığı bilinen bir durum.

Siber Bülten abone listesine kaydolmak için formu doldurunuz