Siber saldırılar giderek yaygınlaşırken, hackerlar teknoloji devlerinin sistemlerindeki zayıflıkları bulup bunları sömürmeye çalışıyor. Tehditlerin büyük bir kısmının Çin ile bağlantılı olduğu ve geçmişte jeopolitik gerilimler arasında hedefli saldırılar yapıldığı iddiaları bulunuyor. Şimdi ise Google'ın Tehdit İstihbaratı Grubu (TAG), Güneydoğu Asya'daki diplomatları hedef alan Çin bağlantılı bir siber casusluk grubunu ortaya çıkardığını duyurdu. UNC6384 olarak bilinen grubun, ülkesinin siyasi çıkarlarını desteklediği ve karmaşık hack faaliyetleriyle tanındığı belirtiliyor.
Google'ın raporuna göre, Çin bağlantılı hackerların bu saldırı girişimlerine yaklaşık iki düzine diplomatın maruz kaldığı iddia ediliyor. Saldırganlar, kişileri meşru görünen yazılım güncellemelerini indirmeye teşvik eden sosyal mühendislik tekniklerine başvuruyor. Kullanıcıların farkında olmadığı ise, gizlenmiş kötü amaçlı yazılımın, saldırganlara diplomatların sistemlerine uzaktan erişim imkanı sağlamasıdır.
Hackerlar, tarayıcıları halka açık Wi-Fi'ye bağlandıklarında istismar eden ve bir giriş ekranına yönlendiren 'ortadaki saldırgan' (adversary-in-the-middle) yöntemi kullanıyor. Hedeflenen kişiler, gerçekmiş gibi görünmesi için geçerli bir dijital sertifikaya sahip olan ve adının 'STATICPLUGIN' olduğu sahte bir kurulum indirmeye yönlendirilmiş. Kurulum yapıldıktan sonra, 'SOGU.SEC' adlı gizli bir aracın bilgisayarın belleğine kurulduğu ve çalıştığı, bu da tespit edilmesini zorlaştırdığı belirtiliyor. Kötü amaçlı yazılım daha sonra gizli bir şekilde ele geçirilmiş sistemi uzaktan kontrol etmek, dosyaları çalmak ve hatta komutları yürütmek için kullanılıyor.
Google, bu kötü niyetli kampanyaları durdurmak için proaktif önlemler alarak ilgili alanları engelledi, ele geçirilmiş sertifikaları iptal etti ve etkilenen bazı kullanıcıları bilgilendirdi. Diplomatların müzakereler ve istihbarat toplama amacıyla siber saldırılar için öncelikli hedef olması göz önüne alındığında bu açıklamalar şaşırtıcı değil, ancak tehdit aktörlerinin ne kadar yaratıcı hale geldiğini de ortaya koyuyor.
Çin, iddia edilen devlet destekli hack girişimlerinin arkasında olduğunu sürekli reddetse de, bu tür iddia edilen saldırılar artıyor gibi görünüyor. Kısa bir süre önce Singapur, yine Çin bağlantılı bir grup olan UNC3886'nın kritik altyapısını hedef aldığı konusunda uyarmıştı ve şimdi de Google'ın benzer hack girişimleri iddia ettiği belirtiliyor. Bu olaylar, Güneydoğu Asya ülkelerinin siber güvenliklerini artırmaya öncelik vermeleri ve hatta Google gibi teknoloji devleriyle işbirliği yaparak gizli dijital operasyonları ortaya çıkarmaları gerektiğini vurguluyor.
