Siber Güvenlik

Mustang Panda Saldırıları: Bulut Depolama Casusluğun Yeni Kalesi mi?

Son dönemde Hindistan hükümetini hedef alan Mustang Panda saldırıları, siber casusluk faaliyetlerinin sofistike bir evresine işaret ediyor. Çin yanlısı olduğu bilinen bu grup, kritik devlet ve hidroelektrik tesislerine yönelik iki ayrı kampanya yürütürken, zararlı yazılımlarını yaymak ve komuta kontrol mekanizması kurmak için meşru bulut hizmetlerini kötüye kullanıyor.

Hint hükümet ağları içerisinde aktif sızmalar tespit edilmiş durumda; bu ihlaller arasında üst düzey idari personelin kullandığı makineler de bulunuyor. Peki, saldırganlar bu kadar geniş çaplı bir sızmayı nasıl başardı ve hedef alınan kurumlar bu görünmez tehdide karşı ne tür önlemler almalı?

Gizli Operasyonun Anatomisi: Zoho WorkDrive Nasıl Kullanıldı?

Siber saldırıların merkezinde, Hindistan’ın kamu sektöründe yaygın olarak kullanılan Zoho WorkDrive adlı bulut depolama platformunun kötüye kullanımı yatıyor. Mustang Panda, bu platformu hem komutları iletmek hem de çalınan verileri sızdırmak için bir köprü görevi görecek şekilde tasarladı. Bu yöntem, ağ trafiğinin sıradan bir bulut etkinliği gibi görünmesini sağlayarak, sızma faaliyetlerini gizlemekte büyük avantaj sunuyor.

Saldırılarda üç yeni araç öne çıkıyor. Bunlardan ilki olan SHARDLOADER, meşru olarak imzalanmış bir ikili dosya üzerinden zararlı bir DLL’yi yan yükleme (sideloading) yoluyla çalıştıran bir yükleyici. Bir kampanyada Solid PDF Creator, diğerinde ise Citrix Receiver ikili dosyaları kullanılarak zararlı DLL’ler sistemlere enjekte edilmiş. Bu, saldırganların güvenlik yazılımlarını atlatmak için ne kadar yaratıcı yollar bulabildiğini gösteriyor.

SHARDLOADER iki farklı implanttan birini dağıtıyor. Bunlardan ZOHOMURK, saldırgan tarafından kontrol edilen bir WorkDrive hesabını ölü posta kutusu (dead drop) gibi kullanan tamamen yeni bir araç. İçerisine sabit kodlanmış Zoho OAuth kimlik bilgileri barındıran ZOHOMURK, komutları gelen kutusu klasöründen okuyor ve çalınan çıktıları giden kutusuna yazıyor. Bu taktik, ağ yöneticileri için sıradan görünen bulut trafiği içinde gizlenmeyi başaran gerçek bir Truva atı işlevi görüyor.

Yeni Nesil Tehditler: MINIRECON ve Siber Casusluğun Evrimi

İkinci implant olan MINIRECON, IBM X-Force tarafından daha önce belgelenen Toneshell arka kapısının yeniden işlenmiş bir varyantı. MINIRECON, artık HTTPS üzerinden bir WebSocket bağlantısı aracılığıyla sinyal gönderiyor. Bu, tespit edilmesini zorlaştıran bir başka sofistike özellik olarak karşımıza çıkıyor. Toneshell’in evrimi, siber casusluk gruplarının araçlarını sürekli güncellediğini ve mevcut güvenlik önlemlerini aşmak için yeni protokoller kullandığını kanıtlıyor.

Her iki kampanya da kötü amaçlı DLL’nin gizli olarak işaretlendiği ZIP arşivleri şeklinde ulaşıyor. Uzmanlar, bu teslimatın oltalama (spear-phishing) saldırılarıyla yapıldığına inanıyor. Oltalama e-postalarındaki yemler de hedeflere göre titizlikle hazırlanmış. Bir kampanya hidroelektrik işbirliği teklifi etrafında şekillenirken, diğeri Hint ve Tayvan kurumları arasındaki mutabakat zaptı temalıydı. Bu, saldırganların sosyal mühendislik yeteneklerinin de ne denli gelişmiş olduğunu ortaya koyuyor.

Bu saldırılar, yalnızca teknolojik zafiyetleri değil, aynı zamanda jeopolitik hassasiyetleri de hedef alan sofistike siber casusluk faaliyetlerinin küresel ölçekte ne kadar yaygınlaştığını çarpıcı bir şekilde gözler önüne seriyor. Bulut hizmetlerinin kötüye kullanımı, savunma katmanlarını aşmanın yeni ve tehlikeli bir yolunu sunuyor.

Mustang Panda’nın bu faaliyetleri yüksek güvenle atfediliyor. Uzmanlar, yeniden kullanılan Solid PDF Creator yan yükleme zincirini, Toneshell ile kod örtüşmesini, IBM X-Force’un grupla ilişkilendirdiği altyapıyla aynı ağ bloğunda bulunan komuta sunucularını ve birden fazla implantta tekrarlayan ‘RunOnece’ yazım hatasını bu atfın kanıtları olarak gösteriyor. Bu tür operasyonel güvenlik zayıflıkları, analistlerin saldırıları grupla ilişkilendirmesine yardımcı olan kritik detaylar oluyor.

Operasyonel Güvenlik Açıkları ve Hedef Belirleme

Saldırganların operasyonel güvenlik konusunda zayıf kaldığı bazı noktalar var. Sabit kodlanmış token’lar, açık metin tanımlayıcıları ve yeniden kullanılan altyapı, analistlerin bu kampanyaları net bir şekilde ortaya çıkarmasına imkan tanıdı. Aktif sinyal gönderme faaliyetleri 12 Haziran – 22 Haziran 2026 tarihleri arasında gerçekleşti. Bu zaman aralığı, hedef alınan kurumların ağlarındaki anormallikleri tespit etmek için önemli bir referans noktası sunuyor.

Bu son Mustang Panda saldırıları, grubun Hindistan hedeflerine yönelik süregelen baskısının devamı niteliğinde. Örneğin, Nisan ayında grubun LOTUSLITE arka kapı zararlı yazılımı, yine meşru bir bulut hizmeti üzerinden Hindistan’ın bankacılık sektörüne ve Güney Kore politika çevrelerine yönelik saldırılarla ilişkilendirilmişti. Çin bağlantılı grupların Hindistan’ın enerji sektörüne olan daha geniş ilgisi ise 2021’deki RedEcho kampanyasına kadar uzanıyor; o dönemde ülkenin elektrik şebekesi ShadowPad ile hedef alınmıştı.

Saldırıların ana amacı Hindistan’ın hidroelektrik planları ve Tayvan ile savunma bağları hakkında istihbarat toplamak olarak belirlendi. Bu, siber casusluğun sadece ekonomik değil, aynı zamanda jeopolitik hedeflere de hizmet ettiğini gösteriyor. Türkiye gibi bölgesel güçler ve enerji altyapısı gelişmiş ülkeler için bu tür hedeflerin her zaman masada olduğu unutulmamalıdır. Enerji sektöründeki kritik altyapıların korunması, ulusal güvenlik açısından hayati bir mesele haline gelmiştir.

Peki Kurumlar Bu Siber Casusluk Dalgasına Karşı Ne Yapmalı?

Bu tür saldırılarda uygulanacak bir yama bulunmuyor. Savunma, teslimat mekanizmasını ve bulut hizmetinin kötüye kullanımını yakalamak üzerine odaklanmalı. Hükümet ve enerji kuruluşları, özellikle de jeopolitik ilgi alanına giren uluslararası anlaşmalarla bağlantılı olanlar, oltalama yemlerine ve imzalı ikili dosyalar üzerinden yan yüklemeye karşı özel bir dikkat göstermelidir.

Uzmanlar, potansiyel tehditleri tespit etmek için çeşitli göstergeler ve avlanma ipuçları yayınladı. Bunlar arasında, kalıcılık için kullanılan Run anahtarları, SolidPDFPcl2Bmp adlı zamanlanmış görev, “couldinstallup[.]com” komuta kontrol alanı ve tarayıcı dışı süreçlerde ortaya çıkan Zoho kullanıcı ajanları yer alıyor. Bu teknik detaylar, siber güvenlik ekiplerinin proaktif savunma stratejileri geliştirmesi için kritik önem taşıyor.

  • Oltalama Farkındalığı: Çalışanları, jeopolitik temalı veya beklenmedik e-postalara karşı eğitin. Şüpheli ekleri açmaktan kaçının.
  • Uç Nokta Algılama ve Yanıt (EDR): Yan yükleme saldırılarını ve anormal süreç davranışlarını tespit edebilen gelişmiş EDR çözümlerini devreye alın.
  • Bulut Hizmeti İzleme: Zoho WorkDrive gibi bulut depolama hizmetlerinde anormal kullanıcı etkinliklerini, yetkisiz erişim denemelerini ve sıra dışı veri akışlarını sürekli izleyin.
  • Ağ Segmentasyonu: Kritik altyapıları diğer ağ bölümlerinden izole ederek saldırı yüzeyini küçültün ve yatay hareketleri zorlaştırın.
  • Yama Yönetimi: Tüm yazılımların, özellikle de Solid PDF Creator ve Citrix Receiver gibi yaygın kullanılan uygulamaların güncel olduğundan emin olun.

Türkiye’deki kurumlar da benzer risklerle karşı karşıya. Özellikle kritik altyapıya sahip, uluslararası anlaşmalar yapan veya hassas veri işleyen devlet kurumları ve özel şirketler, bu saldırı modelini yakından incelemeli. Gelişmiş tehdit avcılığı yetenekleri ve sürekli eğitim, bu sinsi casusluk faaliyetlerine karşı en güçlü kalkanı oluşturacaktır.

Sık Sorulan Sorular

Mustang Panda kimdir ve temel amacı nedir?

Mustang Panda, Çin yanlısı olduğu düşünülen bir siber casusluk grubudur. Temel amacı, genellikle jeopolitik çıkarlara hizmet eden kritik altyapılar ve hükümetler hakkında istihbarat toplamaktır.

Zoho WorkDrive saldırılarda nasıl kötüye kullanıldı?

Mustang Panda, Zoho WorkDrive'ı meşru bir bulut depolama hizmeti olmasına rağmen, zararlı yazılımlarını yaymak, komutları iletmek ve çalınan verileri sızdırmak için bir komuta kontrol kanalı olarak kullandı. Bu, ağ trafiğinin normal görünmesini sağladı.

Kurumlar bu tür sofistike siber saldırılardan kendilerini nasıl koruyabilir?

Kurumlar oltalama farkındalığını artırmalı, EDR çözümleri kullanmalı, bulut hizmeti etkinliklerini dikkatle izlemeli, ağ segmentasyonu uygulamalı ve tüm yazılımlarını güncel tutmalıdır. Ayrıca, tehdit avcılığı ve sürekli eğitim büyük önem taşır.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu