Google GTIG: “Çin Bağlantılı UNC2814 42 Ülkede Telekom ve Kamu Ağlarını GRIDTIDE ile Hedef Aldı”

Google Tehdit İstihbarat Grubu (GTIG), Mandiant ve iş ortakları, telekom şirketleri ile kamu kurumlarını hedef alan geniş çaplı bir siber casusluk operasyonunu engellediklerini duyurdu. Google, kampanyayı dahili olarak UNC2814 adıyla izlediklerini ve tehdidin Çin bağlantılı olduğunu değerlendirdiklerini bildirdi.

Google’ın açıklamasına göre kampanya en az 2023 yılından bu yana aktif ve 42 ülkede 53 kurumu etkiledi. En az 20 ülkede daha şüpheli bulaşma tespit edildiği belirtildi. İlk erişim vektörü netleşmezken, araştırmacılar UNC2814’ün geçmişte web sunucuları ve uç sistemlerdeki açıkları istismar ederek ağlara sızdığını kaydetti.

Google Sheets Üzerinden Gizlenen Komuta Trafiği

Son kampanyada tehdit aktörünün, C dilinde yazılmış yeni bir arka kapı olan “GRIDTIDE” yazılımını kullandığı bildirildi. Google, GRIDTIDE’ın Google Sheets API’yi kötüye kullanarak komuta-kontrol (C2) iletişimini meşru SaaS trafiği içine gizlediğini açıkladı.

Analize göre GRIDTIDE, sabit kodlanmış bir özel anahtar kullanarak bir Google Servis Hesabı üzerinden kimlik doğrulaması yapıyor. Çalıştırıldığında, elektronik tabloda ilk 1000 satırı ve A’dan Z’ye kadar olan sütunları silerek ortamı temizliyor.

Zararlı yazılım daha sonra kullanıcı adı, ana bilgisayar adı, işletim sistemi bilgisi, yerel IP adresi, yerel ayar ve zaman dilimi gibi sistem bilgilerini toplayarak bu verileri V1 hücresine kaydediyor.

Komut ve durum hücresi olarak kullanılan A1 hücresi ise sürekli olarak kontrol ediliyor. Google, “GRIDTIDE, A1 hücresini düzenli olarak yoklayarak komut alır; komut varsa üzerine durum bilgisi yazar, yoksa belirli aralıklarla tekrar kontrol eder.” bilgisini paylaştı.

Uzaktan Komut, Yükleme ve Veri Çekme

GRIDTIDE’ın desteklediği komutlar arasında Base64 kodlu bash komutlarını çalıştırma, dosya yükleme ve indirme işlemleri bulunuyor. A2 ile An arasındaki hücreler komut çıktılarının yazılması, veri sızdırılması ve araç yüklenmesi için kullanılıyor.

Google, zararlı yazılımın C2 iletişiminde URL güvenli Base64 kodlama şeması kullandığını ve bunun web izleme araçları tarafından tespit edilmesini zorlaştırdığını belirtti. Bu sayede kötü amaçlı trafik normal Google Sheets trafiğiyle karışarak gizleniyor.

Google, en az bir vakada GRIDTIDE’ın hassas kişisel veriler (PII) içeren bir sistemde konuşlandırıldığını doğruladıklarını açıkladı. Ancak araştırmacılar doğrudan veri sızdırma faaliyetini gözlemlemediklerini bildirdi.

Altyapı Çökertildi Ancak Risk Sürüyor

Google, Mandiant ve ortaklarının koordineli şekilde UNC2814 tarafından kontrol edilen tüm Google Cloud projelerini sonlandırdığını, bilinen altyapıyı devre dışı bıraktığını, Google Sheets API erişimlerini iptal ettiğini ve komuta-kontrol operasyonlarında kullanılan bulut projelerini kapattığını duyurdu. Mevcut ve geçmişte kullanılan alan adlarının da sinkhole edildiği belirtildi.

Etkilenen kuruluşlara doğrudan bildirim yapıldığı ve sistemlerin temizlenmesi için destek sunulduğu kaydedildi. Google ayrıca raporun sonunda tespit kuralları ve ihlal göstergelerini (IoC) paylaştı.

Buna karşın Google, yapılan kapsamlı müdahaleye rağmen UNC2814’ün yakın gelecekte yeni altyapılarla faaliyetlerine yeniden başlamasını beklediklerini bildirdi.

Kaynak: Beykozun Sesi