Google: Çin Bağlantılı UNC6508 Grubu Tıbbi Araştırma Verilerini Çalmak İçin REDCap Sunucularını Hedef Aldı

Google Threat Intelligence Group (GTIG), Çin bağlantılı olduğu değerlendirilen UNC6508 adlı tehdit aktörünün REDCap sunucularını hedef alan kapsamlı bir siber casusluk operasyonu yürüttüğünü duyurdu. Araştırmacılar, saldırıların Kuzey Amerika’daki bir tıbbi araştırma kuruluşunu etkilediğini ve hassas bilimsel verilerin ele geçirildiğini belirtti.

REDCap platformu, tıbbi ve bilimsel araştırmalarda kullanılan veri tabanları ile anket sistemlerinin oluşturulması ve yönetilmesi amacıyla dünya genelinde yaygın şekilde kullanılıyor. GTIG araştırmacıları, saldırganların ilk erişimi nasıl sağladığını kesin olarak belirleyemese de eski ve güvenlik açığı barındıran REDCap sürümlerini hedef alan faaliyetler tespit edildiğini aktardı.

Bir Yıldan Fazla Süre Gizli Kaldılar

Google’ın incelemesine göre tıbbi araştırma kuruluşundaki ilk ihlal Eylül 2023’te gerçekleşti. Saldırganların faaliyetlerini Kasım 2025’e kadar sürdürdüğü ve bu süreçte ağ içerisinde fark edilmeden hareket ettiği kaydedildi.

Araştırmacılar, ilk ihlalden yaklaşık üç ay sonra saldırganların REDCap sistemleri için özel olarak geliştirilen “InfiniteRed” adlı zararlı yazılımı devreye aldığını açıkladı. Zararlı yazılımın bileşenlerinin sistem dosyalarına gizlenerek tespit edilmesinin zorlaştırıldığı belirtildi.

GTIG raporunda, “InfiniteRed’in REDCap ortamlarını hedeflemek üzere özel olarak geliştirildiği ve uzun süreli erişim sağlamayı amaçladığı değerlendirilmektedir.” ifadelerine yer verildi.

InfiniteRed Üç Temel Bileşenden Oluşuyor

Araştırmacılar, InfiniteRed zararlı yazılımının kalıcılık ve güncelleme modülü, kimlik bilgisi toplama modülü ve arka kapı bileşeni olmak üzere üç ana parçadan oluştuğunu bildirdi.

Kimlik bilgisi toplama modülünün REDCap giriş sayfalarına girilen kullanıcı adı ve parolaları kaydettiği, daha sonra bu bilgileri şifreleyerek veri tabanında sakladığı aktarıldı.

Arka kapı bileşeninin ise HTTP çerezleri üzerinden komut alabildiği ve saldırganlara sunucuda komut çalıştırma, dosya yükleme, dosya indirme, SQL sorguları yürütme, çalınan kimlik bilgilerini alma ve sistem bilgilerini görüntüleme gibi yetenekler sunduğu belirtildi.

“Patroit” Kuralıyla E-Posta Üzerinden Veri Toplandı

Araştırmada dikkat çeken bir diğer unsurun, Çin bağlantılı tehdit aktörlerinde daha önce yaygın görülmeyen bir yöntem olduğu ifade edildi. Buna göre UNC6508, kurumsal bulut hizmetlerinde bulunan meşru “içerik uyumluluk kuralları” özelliğini veri sızdırmak amacıyla kullandı.

Yönetici erişimi elde eden saldırganların “Patroit” adlı bir içerik uyumluluk kuralı oluşturduğu ve sistemde belirli anahtar kelimeleri, içerik kalıplarını, e-posta adreslerini ve telefon numaralarını taradığı belirtildi.

Tespit edilen eşleşmelerin otomatik olarak gizli alıcı (BCC) yöntemiyle “BebitaBarefoot774@gmail.com” adresine gönderildiği bildirildi. Söz konusu hesabın daha sonra Google tarafından devre dışı bırakıldığı kaydedildi.

Araştırmacılar, kullanılan anahtar kelimelerin tıbbi araştırmalar, ileri teknoloji çalışmaları, askeri konular ve jeostratejik politika alanlarıyla ilişkili olduğunu açıkladı.

Gelişmiş Gizlenme Teknikleri Kullanıldı

GTIG, operasyon boyunca yüksek düzeyde operasyonel güvenlik uygulandığını belirtti. Raporda ABD merkezli konut tipi proxy ağları, ele geçirilmiş yönlendiriciler, sanal özel sunucular, çalınan kimlik bilgilerinin yeniden kullanılması ve veri sızdırma için özel altyapılar kullanıldığı ifade edildi.

Google, InfiniteRed zararlı yazılımından etkilenen ABD ve Kanada’daki çok sayıda kuruluşu bilgilendirdiğini açıkladı.

GTIG raporunda, “Hedef alınan kuruluşların araştırma alanları moleküler keşiflerden klinik ilaç çalışmalarına, eyalet düzeyindeki halk sağlığı politikalarından askeri hazırlık konularına kadar modern tıbbın geniş bir bölümünü kapsamaktadır.” değerlendirmesine yer verildi.

Google, REDCap yöneticilerine sistemlerini en güncel sürümlere yükseltmeleri, eski kurulumları kaldırmaları, yüksek yetkili hesaplarda çok faktörlü kimlik doğrulama kullanmaları ve oturum ele geçirme girişimlerini önlemek amacıyla Device Bound Session Credentials (DBSC) teknolojisini devreye almaları tavsiyesinde bulundu.

Kaynak: Beykozun Sesi