Siber Güvenlik

Mustang Panda Saldırıları: Bulut Depolama Casusluğa Nasıl Dönüşür?

Son dönemde siber güvenlik dünyası, devlet destekli aktörlerin sofistike taktikleriyle karşı karşıya kalıyor. Özellikle Mustang Panda saldırıları, Hint hükümetini ve kritik enerji altyapılarını hedef alarak bulut tabanlı hizmetlerin kötüye kullanımında yeni bir boyut sergiledi. Peki, sıradan bir bulut depolama platformu nasıl bir komuta ve kontrol merkezi haline gelebilir?

Mustang Panda’nın Yeni Casusluk Taktiği: Zoho WorkDrive

Çin ile bağlantılı olduğu düşünülen casusluk grubu Mustang Panda, Hindistan hükümetine ve hidrogüç tesislerine yönelik iki ayrı operasyonla dikkat çekti. Bu saldırılarda, yeni nesil zararlı yazılımlar devreye alınırken, meşru bir bulut hizmeti olan Zoho WorkDrive, saldırganların komuta ve kontrol (C2) kanalı olarak kullanıldı. Acronis Tehdit Araştırma Birimi, Hindistan hükümet ağlarında, kıdemli idari personelin kullandığı makineler de dahil olmak üzere aktif ihlaller tespit etti. Bu durum, siber istihbarat alanında meşru hizmetlerin ne denli tehlikeli bir araca dönüşebileceğini gözler önüne seriyor.

Saldırının ana fikri, ağ trafiğini normal bulut aktivitesi gibi göstermek ve böylece çalınan verilerin fark edilmeden dışarı sızmasını sağlamak. Zoho WorkDrive, Hindistan’ın kamu sektöründe yaygın olarak kullanılan bir platform; bu da Mustang Panda’nın hedeflediği ortamlarda doğal bir örtü bulmasına olanak tanıyor. Güvenlik uzmanları, bu tür “ölü damla” (dead drop) tekniklerinin tespitini zorlaştırdığını, çünkü trafik kalıplarının olağan dışı görünmediğini belirtiyor. Acaba bu durum, gelecekte daha fazla devlet destekli grubun benzer stratejilere yönelmesinin bir işareti mi?

“Siber saldırganların meşru bulut hizmetlerini kötüye kullanması, güvenlik ekiplerini çetin bir ikilemle baş başa bırakıyor: Güvenlik duvarlarından geçen ‘normal’ trafiği nasıl ayırt edebilirsiniz? Bu, derinlemesine paket denetimi ve davranış analizi olmaksızın neredeyse imkansızdır.”

Acronis, Mustang Panda’nın bu kampanyalarda üç yeni araç kullandığını ortaya koydu. Bunlar SHARDLOADER, MINIRECON ve ZOHOMURK olarak adlandırılıyor ve her biri casusluk operasyonunun farklı bir aşamasında kritik rol oynuyor. Bu yeni nesil zararlı yazılımlar, saldırganların hedeflerine sızma, kalıcılık sağlama ve veri toplama yeteneklerini artırıyor. Geleneksel güvenlik çözümlerinin bu tür gizli tehditler karşısında yetersiz kalması, yeni nesil siber savunma stratejilerinin aciliyetini ortaya koyuyor.

SHARDLOADER, MINIRECON ve ZOHOMURK: Yeni Nesil Zararlı Yazılımlar

Mustang Panda’nın cephaneliğine eklediği bu üç yeni zararlı yazılım, dikkat çekici teknik yenilikler barındırıyor. İlk olarak, SHARDLOADER adında bir yükleyici karşımıza çıkıyor. Bu zararlı, yasal olarak imzalanmış bir ikili dosya –bir kampanyada Solid PDF Creator, diğerinde Citrix Receiver– aracılığıyla kötü amaçlı bir DLL’i yan yükleme (sideloading) tekniğiyle çalıştırıyor. Yan yükleme, güvenlik yazılımlarının gözünden kaçma potansiyeli taşıdığı için giderek daha popüler bir saldırı vektörü haline geliyor. Peki, kurumlar, yasal yazılımların bu şekilde kötüye kullanılmasını nasıl engelleyebilir?

SHARDLOADER, sisteme sızdıktan sonra iki ana implanttan birini dağıtıyor. Bunlardan ilki, IBM X-Force tarafından daha önce belgelenen Toneshell arka kapısının yeniden işlenmiş bir varyantı olan MINIRECON. Bu arka kapı, artık HTTPS üzerinde WebSocket bağlantısı üzerinden sinyal göndererek daha gizli bir iletişim kuruyor. WebSocket kullanımı, geleneksel ağ trafiği analizlerini zorlaştırarak saldırganlara ek bir gizlilik katmanı sağlıyor.

Operasyonun en dikkat çekici parçası ise tamamen yeni bir zararlı olan ZOHOMURK. Bu zararlı, sabit kodlanmış Zoho OAuth kimlik bilgilerini taşıyor ve bunları saldırganlar tarafından kontrol edilen bir WorkDrive hesabını ölü damla olarak kullanmak için devreye sokuyor. ZOHOMURK, komutları bir gelen kutusu klasöründen okuyor ve çalınan çıktıları bir giden kutusu klasörüne yazıyor. Bu yöntem, C2 trafiğinin Zoho sunucuları üzerinden meşru bir bulut aktivitesi gibi görünmesini sağlayarak tespit edilme riskini önemli ölçüde azaltıyor. Bu kadar sofistike bir yaklaşım karşısında, şirketler bulut hizmetlerini izleme stratejilerini yeniden değerlendirmeli mi?

Her iki kampanya da kötü amaçlı DLL’in gizli olarak işaretlendiği ZIP arşivleri şeklinde geliyor. Uzmanlar, bu arşivlerin oltalama saldırılarıyla dağıtıldığına inanıyor. Oltalama e-postaları, hedeflerin ilgisini çekecek şekilde özel olarak tasarlanmış. Bir kampanya, hidrogüç işbirliği önerisi temasıyla, diğeri ise Hint ve Tayvan kurumları arasında bir mutabakat zaptı etrafında kurgulanmış. Bu, saldırganların hedefleri hakkında derinlemesine istihbarat topladığını ve sosyal mühendislik yeteneklerinin ne kadar gelişmiş olduğunu gösteriyor.

Operasyonel Güvenlik İhlalleri ve Hedef Odaklı Oltalar

Mustang Panda’nın bu Mustang Panda saldırıları, dikkat çekici derecede sofistike olmasına rağmen, operasyonel güvenlik (OpSec) tarafında bazı zayıflıklar barındırıyordu. Sabit kodlanmış token’lar, düz metin tanımlayıcıları ve yeniden kullanılan altyapı, analistlerin grubu yüksek güvenle belirlemesine yardımcı oldu. Rapora göre, kullanılan Solid PDF Creator yan yükleme zincirleri, Toneshell ile kod örtüşmeleri, IBM X-Force’un daha önce grupla ilişkilendirdiği C2 sunucularının aynı ağ bloğunda bulunması ve birden fazla implantta tekrar eden “RunOnece” yazım hatası, bu zayıflıkları ortaya koydu.

Aktif sinyal gönderimi 12 Haziran – 22 Haziran 2026 tarihleri arasında gerçekleşti. Bu, Mustang Panda’nın Hint hedeflerine yönelik sürekli baskısının bir devamı niteliğinde. Nisan ayında da grubun LOTUSLITE arka kapısının, yine meşru bir bulut hizmeti aracılığıyla Hindistan’ın bankacılık sektörüne ve Güney Kore’deki politika çevrelerine yönelik saldırılarla ilişkilendirildiği belirtilmişti. Çin bağlantılı grupların Hindistan’ın enerji sektörüne olan ilgisi daha da eskiye dayanıyor; 2021’deki RedEcho kampanyası, ülkenin elektrik şebekesini ShadowPad ile hedef almıştı. Bu kronoloji, bir süredir devam eden ve belirli stratejik hedeflere odaklanan sistematik bir çabanın resmini çizmiyor mu?

Bu saldırılarda uygulanacak “yama” benzeri bir çözüm bulunmuyor. Savunma, teslimat mekanizmasının ve bulut hizmetinin kötüye kullanımının yakalanması üzerine kurulu. Acronis, kalıcılık sağlayan Run anahtarları, `SolidPDFPcl2Bmp` adındaki zamanlanmış görev, `couldinstallup[.]com` C2 alanı ve tarayıcı olmayan süreçlerde görünen Zoho kullanıcı aracıları gibi göstergeler ve avlanma ipuçları yayınladı. Bu göstergeler, tehdit avcılığı yapan kurumlar için kritik önem taşıyor.

Türkiye İçin Dersler: Siber Savunmada Bulut Zafiyetleri

Hindistan’daki bu Mustang Panda saldırıları, Türkiye’deki kamu kurumları ve kritik altyapı sağlayıcıları için de önemli dersler barındırıyor. Türkiye’de de yaygın olarak kullanılan bulut depolama ve işbirliği platformları, benzer istihbarat toplama çabalarının hedefi haline gelebilir. Özellikle enerji, savunma ve hükümet sektörlerindeki kurumlar, uluslararası anlaşmalar ve stratejik projelerle ilgili hassas bilgilere sahip oldukları için sürekli risk altındadır. Türk şirketleri ve kamu kurumları, siber güvenlik stratejilerini bu yeni tehdit vektörüne göre güncellemek zorunda değil mi?

  • Bulut Hizmeti İzlemi: Meşru bulut hizmetlerinin anormal kullanımını tespit etmek için gelişmiş davranış analizi ve log yönetimi çözümleri hayati önem taşıyor. Zoho WorkDrive örneğinde olduğu gibi, iç ağdaki bulut trafiğinin detaylı incelenmesi gerekiyor.
  • Çalışan Eğitimi: Oltalama saldırıları, bu tür operasyonların ilk adımı olmaya devam ediyor. Çalışanların jeopolitik temalı oltalama e-postalarını tanıma ve şüpheli ekleri açmama konusunda sürekli eğitilmesi şarttır.
  • Uç Nokta Koruması: Yan yükleme saldırılarını tespit edebilen ve engelleyebilen gelişmiş uç nokta koruma (EDR) çözümleri, yasal imzalı ikililerin kötüye kullanımını yakalamada kritik rol oynuyor.
  • Tedarik Zinciri Güvenliği: Kullanılan üçüncü taraf yazılımların ve hizmetlerin güvenlik açıkları ile ilgili risklerin düzenli olarak değerlendirilmesi, tedarik zinciri zafiyetlerinin önüne geçebilir.

Bu olaylar, siber güvenlikte “içeriden dışarıya” tehdit modelinin ne kadar geçerli olduğunu bir kez daha kanıtlıyor. Ağın içinden gelen, ancak dışarıdaki bir C2 sunucusuyla iletişim kuran trafiği yakalamak, sadece imza tabanlı tespitlerle mümkün değil. Türkiye’nin siber güvenlik ekosistemi, bu karmaşık ve gizli tehditlere karşı daha proaktif ve bütünsel bir yaklaşım benimsemek zorunda.

Bu Casusluk Saldırıları Sizi Nasıl Etkiler?

Herhangi bir kuruluşta, özellikle de stratejik öneme sahip sektörlerde faaliyet gösterenlerde, bu tür casusluk saldırılarının potansiyel etkisi yıkıcı olabilir. Eğer bir devlet kurumu veya enerji şirketiyseniz, ülkenizin stratejik planları, savunma bilgileri veya kritik altyapı detayları gibi hassas verilerinizi hedef alan bu tür saldırılara karşı tetikte olmalısınız. Mustang Panda’nın taktikleri, sıradan bir kullanıcı veya küçük işletme için doğrudan bir tehdit oluşturmasa da, kullandıkları yöntemler gelecekte daha geniş kitlelere yayılabilir. Şirketler, işbirliği için kullandıkları bulut hizmetlerinin güvenlik politikalarını ve izleme yeteneklerini sorgulamalı, tedarikçileriyle bu konuları aktif olarak görüşmelidir.

Unutmayın, “yama” olmaması, sürekli bir uyanıklık gerektirir. Uç nokta süreçlerinizde anormal Zoho kullanıcı aracıları aramak, zamanlanmış görevleri denetlemek ve özellikle coğrafi-politik cazibelerle gelen oltalama e-postalarına karşı dikkatli olmak, ilk savunma hattınızı oluşturur. Siber güvenlik, artık sadece teknik bir mesele değil; aynı zamanda stratejik bir ulusal güvenlik meselesidir. Mevcut tehdit ortamında, “güvenilir” görünen her kanalın potansiyel bir zafiyet taşıdığını kabul etmek, en önemli adımdır.

Sık Sorulan Sorular

Mustang Panda kimdir?

Mustang Panda, Çin ile bağlantılı olduğu düşünülen, özellikle Güneydoğu Asya ve komşu ülkelerdeki hükümetleri ve kritik altyapıları hedef alan bir casusluk (APT) grubudur.

Zoho WorkDrive neden casusluk için kullanıldı?

Zoho WorkDrive, meşru bir bulut depolama hizmeti olduğu için saldırganlar, trafiği normal bulut aktivitesi gibi göstererek tespit edilmeden komutları iletmek ve veri sızdırmak amacıyla kullandı.

Bu saldırılardan korunmak için ne yapılmalı?

Kurumlar, gelişmiş uç nokta koruma (EDR) çözümleri kullanmalı, bulut hizmeti kullanımını detaylı izlemeli, çalışanlarını oltalama saldırılarına karşı eğitmeli ve tedarik zinciri güvenliğine dikkat etmelidir.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu