Giriş:
Son zamanlarda, Çin siber güvenlik otoriteleri tarafından yayımlanan bir rapor, ABD Ulusal Güvenlik Ajansı’nın (NSA) Northwestern Polytechnical University (NPU) üzerinde yıllar süren siber casusluk faaliyetlerinde bulunduğunu iddia ediyor. Bu olay, siber güvenlik alanındaki uluslararası gerilimleri artırırken, devletler arası siber saldırıların boyutunu ortaya koyuyor. NPU, savunma ve havacılık alanlarındaki kritik araştırmalarıyla tanınan bir kurum olduğundan, bu tür bir saldırı özellikle dikkat çekiyor.
Teknik Açıklamalar:
Raporda, NSA’nın Tailored Access Operations (TAO) biriminin “APT-C-40” kod adıyla bilinen bir operasyon gerçekleştirdiği belirtiliyor. Bu operasyon süresince, 2020 ve 2022 yılları arasında NPU’nun ağlarına 40’tan fazla özel zararlı yazılımın yerleştirildiği iddia ediliyor. Saldırganlar, hassas araştırma verileri, ağ altyapısı planları ve operasyonel kimlik bilgileri gibi bilgileri çalmayı başardılar.
Saldırıya yönelik teknik mimari, Solaris tabanlı sunucuların komşu ülkelerdeki hassasiyetinin kötüye kullanılmasıyla başladığı öne sürülüyor. SHAVER adındaki otomatik bir sömürü aracı kullanılarak, bu sunucular üzerinden NPU personeline yönelik oltalama kampanyaları gerçekleştirildi. TAO operatörleri, SECONDDATE isimli bir ağ izleme aracını kullanarak iç ağ trafiğini NSA’nın FOXACID platformuna yönlendirdiler. FOXACID, hedef kullanıcıların tarayıcılarını kullanarak belirli web sitelerine eriştiğinde zararlı yazılımlar göndermek için kullanılan bir siber saldırı çerçevesidir.
Bu saldırılarda, kullanıcıların karşılaştığı web sitelerinde zararlı yazılım yüklenmesi için Man-in-the-Middle (MiTM) tekniği kullanıldı. Saldırı sırasında kritik bir hata, bir Perl betiğinin yanlış yönetilmesiydi; bu durum, saldırganların kullandığı dizin yapısının ifşasına neden oldu. NSA operatörleri, siber operasyonlarını gizli tutmaya çalışsalar da, bu tür hatalar, saldırının izini sürmeyi kolaylaştırıyor.
Örnekler:
Burada, SECONDDATE zararlı yazılımının bir örneği olarak iki tür hash değeri sunulmaktadır. Bu değerler, bir güvenlik araştırmacısının bu zararlı yazılımın tespit edilmesine yardımcı olabilir.
MD5: 485a83b9175b50df214519d875b2ec93
SHA-256: d799ab9b616be179f24dbe8af6ff76ff9e56874f298dab9096854ea228fc0aeb
Önlemler & En İyi Uygulamalar:
NPU gibi kritik kuruluşların, özellikle ağ altyapılarında sağlam önlemler alması gerekmektedir. Güvenlik duvarları, güncelleştirilmiş antivirüs yazılımları ve hassas verilerin şifrelenmesi, siber saldırılara karşı alınacak tedbirler arasında yer almalıdır. Ayrıca, sürekli izleme ve anlık tehdit tespiti için gelişmiş siber güvenlik çözümleri kullanılmalıdır. Sonsuz olasılığa sahip sıfır-gün açıklarını minimize etmek amacıyla, tüm sistemlerin güncel tutulması ve güvenlik testlerinin düzenli olarak yapılması büyük önem taşımaktadır.
Sonuç & Özet:
Çin’in iddiaları, NSA’nın siber operasyonlarının sınırlarını ve etkilerini gözler önüne sermektedir. NPU üzerindeki siber saldırı, yalnızca bu kurum için değil, global çapta siber güvenlik açılarında da ciddi bir uyarı niteliği taşımaktadır. Her geçen gün daha karmaşık hale gelen siber tehditler karşısında önlemlerin artırılması ve siber farkındalığın artırılması gerekmektedir.
Kaynakça:
– Cyber Security News: https://cybersecuritynews.com/nsa-allegedly-hacked-northwestern-polytechnical-university/ [Collection]
About the Author
