Visual Studio Code’un Uzaktan Tünel Özelliği Siber Casuslukta Kullanıldı
Çin bağlantılı olduğu düşünülen bir siber casusluk grubu, Güney Avrupa’daki büyük BT hizmet sağlayıcılarını hedef alan “Operation Digital Eye” adlı bir kampanya yürüttü. Haziran sonu ile Temmuz ortası 2024 arasında gerçekleşen saldırılar, SentinelOne SentinelLabs ve Tinexta Cyber tarafından tespit edilerek etkisiz hale getirildi. Bu sayede saldırılar, veri sızdırma aşamasına gelmeden durduruldu.
Araştırmacılara göre, bu saldırılar tehdit aktörlerine stratejik bir avantaj sağlayabilir ve saldırının etkisi hedeflenen kuruluşların iş ortaklarına kadar yayılabilirdi. Saldırganlar, kötü niyetli faaliyetlerini meşru gibi göstermek için Visual Studio Code ve Microsoft Azure altyapısını C2 (komuta ve kontrol) mekanizmaları için kullandı.
Visual Studio Code Tünellerinin Rolü
Operasyonun merkezinde, Visual Studio Code’un Uzaktan Tünel özelliğinin kötüye kullanılması yer alıyor. Bu özellik, uç noktalara uzaktan erişim sağlayarak saldırganların komut çalıştırmasına ve dosyaları manipüle etmesine olanak tanıyor. Tehdit aktörleri, bu yaklaşımı kullanarak ağ trafiğinde fark edilmeden faaliyet gösterebiliyor.
Saldırının başlangıç noktası genellikle SQL enjeksiyonu oldu. Bu saldırılar, SQLmap adlı bir güvenlik testi aracını kullanarak internet üzerinden erişilebilen uygulama ve veritabanı sunucularını hedef aldı. Başarılı bir girişin ardından saldırganlar, “PHPsert” adlı bir web kabuğunu yükledi. Bu araç, uzaktan erişimi sürdürmek ve hedef sistemlerde kalıcı olmak için kullanıldı.
Sonraki aşamalarda saldırganlar, ağ içinde keşif yapmak, kimlik bilgilerini toplamak ve diğer sistemlere RDP (Uzak Masaüstü Protokolü) ve pass-the-hash teknikleriyle yayılmak için çeşitli araçlara başvurdu. Pass-the-hash saldırılarında ise modifiye edilmiş bir Mimikatz sürümü kullanıldı.
Çin Bağlantısı
Araştırmacılar, kullanılan araçların ve altyapının Çin bağlantılı siber casusluk operasyonlarıyla benzerlik taşıdığını belirtti. Özellikle Mimikatz’in özelleştirilmiş sürümü “mimCN” adlı bir araç ailesine ait olarak tanımlandı. Araçta, operatörlere yönelik talimatlar ve benzersiz hata mesajları gibi özellikler dikkat çekti.
Ayrıca, PHPsert aracındaki basitleştirilmiş Çince yorumlar, saldırganların Çin bağlantılı olabileceğine dair önemli bir ipucu sundu. Saldırılarda kullanılan altyapının Romanya merkezli M247 adlı bir hizmet sağlayıcıya ait olması ve Visual Studio Code’un kötü amaçlı bir arka kapı olarak kullanılması da bu bağlantıyı güçlendirdi.
Stratejik Hedefler
Araştırma, saldırganların yerel çalışma saatlerine denk gelen Çin saat diliminde (CST) aktif olduğunu ortaya koydu. Bu durum, siber casusluk operasyonunun stratejik doğasını vurguluyor. BT hizmet sağlayıcılarını hedef alarak dijital tedarik zincirine nüfuz eden saldırganlar, diğer endüstrilere de erişim sağlama fırsatı elde etti.
Sonuç
Visual Studio Code’un Uzaktan Tünel özelliğinin bu şekilde kötüye kullanılması, Çin bağlantılı APT gruplarının tespit edilmekten kaçınmak için meşru araç ve altyapıları nasıl kullandığını ortaya koyuyor. Güvenilir bir geliştirme aracını kötüye kullanarak faaliyetlerini gizlemeyi başaran saldırganlar, savunma mekanizmalarını aşmak için yaratıcı ve çözüm odaklı bir yaklaşım sergiledi.
Bu operasyon, siber tehditlere karşı güçlü bir savunma hattının önemini bir kez daha gözler önüne seriyor. Özellikle BT hizmet sağlayıcıları gibi stratejik hedeflerin güvenliğini sağlamak, dolaylı olarak birçok endüstriyi korumak anlamına geliyor.