Devletlerin yeni sorunu siber casusluk (CeranaKeeper)
Siber güvenlik alanında faaliyet gösteren ESET, Tayland’daki devlet kurumlarını hedef alan ve CeranaKeeper adı verilen yeni bir Çin bağlantılı gelişmiş kalıcı tehdit (APT) grubunu tespit etti. Bu grubun Tayland hükümetine yönelik saldırılarında, büyük miktarda verinin dışarıya sızdırıldığı belirtildi. CeranaKeeper, tespit edilmekten kaçınmak için sürekli olarak arka kapılarını güncelliyor ve yöntemlerini çeşitlendirerek veri hırsızlığına devam ediyor.
ESET araştırmacıları, 2023 yılından itibaren Tayland’daki devlet kurumlarına yönelik birkaç hedefli saldırı kampanyasını keşfettiler. Bu kampanyalarda, Dropbox, PixelDrain, GitHub ve OneDrive gibi yasal dosya paylaşım hizmetleri kötüye kullanılarak büyük veri sızıntıları gerçekleştirildi. ESET’in araştırmalarına göre, bu saldırılar CeranaKeeper adlı yeni bir tehdit grubuna atfediliyor. Grubun araçlarının kodunda "bectrl" dizesinin sıkça geçmesi, ESET’e bu tehdit grubuna "CeranaKeeper" ismini verme ilhamını sağladı. Bu isim, arı türü olan Asya bal arısı (Apis Cerana) ve "aracı" kelimesi arasında yapılan bir kelime oyunundan türetilmiş. ESET, bu tehdit grubu hakkındaki bulgularını 2024’teki Virus Bulletin konferansında kamuoyuyla paylaştı.
CeranaKeeper’ın Tayland hükümetine karşı gerçekleştirdiği saldırılar oldukça tehlikeli olarak nitelendiriliyor. Grup, araçlarını ve yöntemlerini sürekli geliştiriyor ve hızlı bir şekilde tespit edilmekten kaçınmayı başarıyor. Grubun temel amacı mümkün olduğunca fazla veri toplamak ve bunu gerçekleştirmek için belirli bileşenler geliştirmek. CeranaKeeper, özellikle bulut ve dosya paylaşım hizmetlerini kullanarak bu hizmetler üzerindeki trafiği meşru göstermek amacıyla hareket ediyor. Bu strateji, saldırıların tespit edilmesini zorlaştırıyor.
Uzmanlar, CeranaKeeper’ın en az 2022’den bu yana aktif olduğunu ve özellikle Tayland, Myanmar, Filipinler, Japonya ve Tayvan’daki devlet kurumlarını hedef aldığını belirtiyor. Tayland’a yönelik saldırılarda kullanılan araçlar, daha önce Çin bağlantılı APT grubu Mustang Panda’ya atfedilen bileşenlerin yenilenmiş sürümlerini içeriyor. Pastebin, Dropbox, GitHub ve OneDrive gibi platformlar kötüye kullanılarak, ele geçirilen bilgisayarlarda komutlar çalıştırıldı ve hassas belgeler dışarıya sızdırıldı. Ancak ESET’in yaptığı incelemeler sonucunda, kod ve altyapı tutarsızlıkları nedeniyle CeranaKeeper ve Mustang Panda’nın ayrı tehdit aktörleri olduğu düşünülüyor. ESET’e göre, her iki grup da aynı araçların bir alt kümesini paylaşıyor olabilir, ancak operasyonel farklılıklar dikkat çekici.
ESET araştırmacılarından Romain Dumont, yaptığı açıklamada, CeranaKeeper ve Mustang Panda arasındaki benzerliklere rağmen, iki grup arasında kullanılan araç setleri, altyapılar ve operasyonel yöntemler açısından belirgin farklar tespit ettiklerini vurguladı. Dumont, her iki grubun benzer görevleri yerine getirme yöntemlerinin de farklı olduğunu belirtti.
CeranaKeeper, özellikle "TONESHELL" adı verilen ve yan yükleme tekniğine dayanan bir araç seti kullanıyor. Bu araç, ele geçirilen ağlardan veri sızdırmak için özelleştirilmiş komutlar çalıştırıyor. Grup, operasyonlarında kendilerine özgü bileşenleri konuşlandırıyor ve geliştirme süreçlerine dair bazı meta verileri kodlarına bırakarak ESET’in CeranaKeeper’a olan atfını daha da güçlendiriyor.
Saldırganlar, ağda ayrıcalıklı erişim elde ettikten sonra TONESHELL arka kapısını kuruyor ve kimlik bilgilerini çalmak için özel araçlar kullanıyorlar. Ele geçirdikleri makinelerdeki güvenlik yazılımlarını devre dışı bırakmak için yasal bir Avast sürücüsünü manipüle eden uygulamaları kullanarak saldırılarını derinleştiriyorlar. Ayrıca, bir uzaktan yönetim konsolu aracılığıyla ağdaki diğer bilgisayarlara arka kapılarını yayıyorlar. Yeni bir BAT betiği dağıtarak Etki Alanı Yöneticisi ayrıcalıkları elde etmeye çalışıyor ve böylece ağ üzerindeki erişimlerini genişletiyorlar.
CeranaKeeper, Tayland hükümetine yönelik saldırılarda, daha önce belgelenmemiş araçları kullanarak belirli bilgisayarlarda yoğunlaşmayı başardı. Bu araçlar, yalnızca belgelerin halka açık depolama hizmetlerine sızdırılmasını sağlamakla kalmıyor, aynı zamanda alternatif arka kapı görevi de görüyor. Grubun kullandığı en dikkat çekici tekniklerden biri, GitHub gibi platformların pull request ve sorun yorumu özelliklerini kullanarak ters kabuk oluşturup, bu platformu bir C&C sunucusu olarak kullanmalarıdır.
CeranaKeeper, saldırı yöntemlerini sürekli olarak yenileyerek tespit edilmekten kaçınma konusunda oldukça başarılı bir tehdit grubu olarak karşımıza çıkıyor. Grup, özellikle veri hırsızlığı ve sızma teknikleriyle dikkat çekiyor ve saldırılarıyla Tayland gibi Asya’daki hükümetlere büyük zarar veriyor.