Çin Bağlantılı GopherWhisper Grubu Devlet Kurumlarını Hedef Aldı
ESET bünyesindeki tehdit avcıları, aylardır gölgelerde yürüyen ve GopherWhisper ismiyle anılan yepyeni bir siber casusluk operasyonunu su yüzüne çıkardı. Olayın en can alıcı kısmı ise saldırganların tespit edilmemek için başvurduğu sıra dışı kılıf değiştirme taktiği. Grubun, kurban ağlarına girmek için sıfırıncı gün açıklarını kullanmak yerine, şirketlerin ve devlet dairelerinin günlük iş akışında zaten yoğun biçimde kullandığı mesajlaşma araçlarına bel bağladığı görüldü. Bu tercih, ağ trafiğini izleyen güvenlik ekiplerinin şüpheli paketleri ayırt etmesini neredeyse imkansız kılıyor.
Go Diliyle Yazılmış Dört Başlı Canavar
Grup, teknik altyapısının büyük bölümünü Go programlama diliyle inşa etmiş. Bu dilin tercih edilmesi hem kodun farklı işletim sistemlerinde sorunsuz çalışmasını sağlıyor hem de tersine mühendislik işlemlerini zorlaştırıyor. ESET raporunda GopherWhisper cephaneliğini oluşturan dört farklı zararlı yazılım detaylandırılıyor. Bunlardan LaxGopher Moğolistan’daki bir devlet kurumunda yakayı ele veren ilk araçtı. RatGopher adlı ikinci araç ise komutları Discord üzerinden alıp çalıştırıyor. BoxOfFriends isimli sızıntı aracı veri hırsızlığında kullanılırken, C++ ile yazılmış SSLORDoor arka kapısı ağ içinde kalıcılığı sağlıyor. Ayrıca JabGopher enjektörü bu zararlı kod parçalarını svchost.exe gibi masum görünen Windows süreçlerine saklıyor.
Taslak E-postaların Kirli Sırrı
Saldırganların uyguladığı yöntemlerden en sinsi olanı Microsoft 365 altyapısını hedef alıyor. Sistemlere sızan GopherWhisper operatörleri, ele geçirdikleri e-posta hesaplarındaki Microsoft Graph API’yi kullanarak Outlook taslak klasörüne gizli mesajlar bırakıyor. Bu mesajlar hiçbir zaman alıcıya gönderilmiyor, sadece bulut üzerinde güncelleniyor. Karşı taraftaki operatör de aynı hesaba girip bu taslakları okuyarak çalınan verileri teslim alıyor. Ağ izleme yazılımları gönderilmemiş bir e-postanın peşine düşmediği için bu sinsi veri sızdırma trafiği radara takılmıyor. Eric Howard liderliğindeki ESET ekibi, sadece Slack ve Discord üzerinden değil, bu taslak posta kutuları üzerinden de binlerce komut ve çalıntı belgenin el değiştirdiğini ortaya çıkardı.
Mesai Saatleri Pekin’i Gösteriyor
Araştırmacılar grubun kimliğini deşifre ederken klasik bir istihbarat zafiyetinden yararlandı. Ele geçirilen Slack ve Discord sunucularındaki mesaj kayıtları incelendiğinde, operatörlerin UTC+8 saat dilimine sadık kaldığı net biçimde görüldü. Sabah 08.00’de başlayıp akşam 17.00’ye kadar süren bu trafik, tipik bir mesai düzenini yansıtıyordu. 21 Ağustos 2024’ten beri Slack üzerinde biriken 6 binden fazla mesaj ile Discord’da 2023 Kasım ayına uzanan 3 binden fazla mesajın zaman damgaları aynı sonucu veriyor. Eric Howard bu durumu şöyle yorumladı: “Slack çalışma alanındaki locale ayarının zh-CN olması ve mesai saatlerinin Çin Standart Saati ile birebir uyuşması, operasyonun arkasındaki gücün coğrafi konumu hakkında güçlü sinyaller taşıyor.”
Moğolistan Sınırlarını Aşan Tehdit
Olay ilk patlak verdiğinde hedef tahtasında yalnızca Moğolistan hükümetine ait sunucular vardı. LaxGopher arka kapısını temizlemek için başlatılan operasyonda, saldırganların özel bir Slack alanını komuta merkezi olarak kullandığı ve buradan cmd.exe aracılığıyla sistemlere hükmettiği anlaşıldı. Fakat teknik inceleme ilerledikçe işin rengi değişti. ESET, aynı altyapıyı kullanan ve farklı coğrafyalardaki onlarca sisteme yayılmış bağlantıları tespit etti. Bu durum GopherWhisper operasyonunun sadece Moğolistan’la sınırlı bir vaka olmadığını, çok daha geniş bir coğrafyada farklı sektörlerin tehlike altında olduğunu kanıtlıyor. Ne var ki bu ekstra kurbanların kimlikleri ve hangi ülkelerde bulunduğu henüz netlik kazanmış değil.
Güvenliğin Yeni Cephesi: Meşru Uygulamalar
Bu vaka, siber güvenlik dünyasına acı bir gerçeği tekrar hatırlatıyor. Savunma hatları artık sadece bilinmeyen IP adreslerine veya zararlı yazılım imzalarına bakarak ayakta kalamaz. Kurumların Discord, Slack ve Microsoft 365 ortamlarındaki yetkisiz API çağrılarını yakından izlemesi gerekiyor. Ayrıca file.io gibi popüler dosya paylaşım platformlarına yapılan bağlantıların titizlikle sorgulanması şart. GopherWhisper olayı, profesyonel casusluk gruplarının güvenlik duvarlarını aşmak için kapıyı zorlamasına gerek olmadığını, bunun yerine her gün kullandığımız anahtarı kopyalayarak içeri süzüldüğünü gözler önüne seriyor. hedefbilgitoplumu.com
