DarkHotel, Çin Hükümetini Hedef Alıyor
APT grubu DarkHotel'in, Sangfor SSL VPN sunucularını hackleyerek Çin devlet kurumlarını hedef aldığı tespit edildi.
Çin merkezli siber güvenlik firması Qihoo 360, APT grubu DarkHotel'in VPN sunucularını hackleyerek Çin devlet kurumlarını hedef aldığını söyledi.
Qihoo 360, geçtiğimiz mart ayında başlayan saldırıların "Sangfor SSL VPN" sunucularındaki zero day açıkları istismar edilerek gerçekleştiğini söyledi.
Uzmanlar, mart ayından itibaren başlatılan bu büyük saldırı kampanyasında, 200'den fazla VPN sunucusunun saldırıya uğradığını ve bu sunucuların 174'ünün Pekin ve Şanghay'daki devlet kurumlarının ve yurtdışında faaliyet gösteren Çin diplomatik kurumlarının ağlarına ait olduğunu söyledi.
Bu ülkelerin; İtalya, Birleşik Krallık, Pakistan, Kırgızistan, Endonezya, Tayland, BAE, Ermenistan, Kuzey Kore, İsrail, Vietnam, Türkiye, Malezya, İran, Etiyopya, Tacikistan, Afganistan, Suudi Arabistan, Hindistan olduğu söylendi.
Qihoo 360, saldırı kampanyasının sofistike olduğunu belirterek, grubun VPN sunucularındaki zero day açıklarını kullanarak kurumlara erişim sağlamaya çalıştığını ve sunucularda bulunan, şirket çalışanlarının VPN bağlantısını yapmak için kullandığı "SangforUD.exe" adlı dosyayı değiştirdiklerini söyledi.
Uzmanlar, daha sonra saldırıya uğramış yani "SangforUD.exe" dosyası değiştirilmiş VPN sunucusuna bağlanmaya çalışan bir personelin bilgisayarına bir backdoor yükleyebilen SangforUD.exe dosyasının yüklendiğini söyledi.
Siber güvenlik firması, saldırıları gerçekleştiren APT grubunun ya Güney Kore ya da Kuzey Kore'ye ait olduğu düşünülen DarkHotel olduğunu söyledi.
Yorumlar