Nöbetçi Eczaneler
ESET global casusluk operasyonunu ortaya çıkardı
Siber güvenlik şirketi ESET, Çinli FishMonger ve I-SOON’un küresel casusluk operasyonu olan FishMedley’i ortaya çıkardı. FishMedley Operasyonu sırasında hedef alınan dikey gruplar arasında Asya, Avrupa ve Amerika Birleşik Devletleri’ndeki hükümetler, STK’lar ve düşünce kuruluşları yer alıyor. ESET, FishMedley Operasyonu’nun FishMonger APT (gelişmiş kalıcı tehdit) kümesi tarafından gerçekleştirildiğini düşünüyor.
ABD Adalet Bakanlığı (DOJ) 05 Mart 2025 tarihinde Çinli yüklenici I-SOON çalışanları hakkında çok sayıda global casusluk operasyonuna karıştıkları gerekçesiyle bir iddianame açıkladı. Bunlar ortasında ESET Research’ün daha önce Tehdit İstihbaratı raporlarında belgelediği ve I-SOON’un operasyonel kolu olan FishMonger kümesine atfedilen ataklar da yer alıyor. 2022’de ESET’in FishMedley Operasyonu ismini verdiği bir kampanyada amaç alındığını belirlediği yedi kuruluşun dahil olduğu bir hücum da bulunuyor. İddianamenin yanı sıra FBI (FishMonger’dan Aquatic Panda olarak bahsediyor) ismi geçenleri En Çok Arananlar listesine ekledi. İddianamede, 2023’ün başlarında özel bir APT istihbarat raporunda ESET’in yayımladıklarıyla güçlü bir şekilde ilişkili olan birkaç saldırı tanımlanıyor. ESET Research, Asya, Avrupa ve Amerika Birleşik Devletleri’ndeki hükümetleri, sivil toplum kuruluşlarını ve niyet kuruluşlarını maksat alan bu global kampanya hakkındaki teknik bilgileri paylaştı.
FishMonger’ın operasyonunu araştıran ESET araştırmacısı Matthieu Faou şu açıklamayı yaptı: “ESET, 2022 yılı boyunca Çin’e bağlı tehdit aktörleri tarafından yaygın olarak kullanılan ShadowPad ve SodaMaster üzere implantların kullanıldığı çeşitli tehlikeleri araştırdı. FishMedley Operasyonu için yedi bağımsız olayı kümeleyebildik. Araştırmamız sırasında, FishMonger’ın 2024 yılında kötü şöhretli bir belge sızıntısına maruz kalan Chengdu merkezli Çinli bir yüklenici olan I-SOON tarafından işletilen bir casusluk ekibi olduğunu bağımsız olarak doğrulayabildik.”
FishMonger, 2022 yılında FishMedley Operasyonu kapsamında Tayvan ve Tayland’daki devlet kurumlarına, Macaristan ve ABD’deki Katolik hayır kurumlarına, ABD’deki bir STK’ya, Fransa’daki bir jeopolitik niyet kuruluşuna ve Türkiye’deki bilinmeyen bir kuruluşa saldırmıştır. Bu dikeyler ve ülkeler çeşitlidir ancak çoğu Çin hükümetinin açıkça ilgisini çekmektedir. Çoğu durumda, saldırganların yerel ağ içinde etki alanı yöneticisi kimlik bilgileri gibi ayrıcalıklı erişime sahip oldukları görülmüştür. Operatörler ShadowPad, SodaMaster ve Spyder gibi Çin’e bağlı tehdit aktörleri için yaygın ya da özel olan implantları kullanmışlardır. FishMonger tarafından FishMedley’de kullanılan diğer araçlar arasında parolaları sızdıran özel bir parola; Dropbox ile etkileşim ve muhtemelen kurbanın ağından veri sızdırmak için kullanılan bir araç; fscan ağ tarayıcısı ve bir NetBIOS tarayıcısı bulunmaktadır.
Çinli yüklenici I-SOON tarafından işletilen bir grup olan FishMonger, Winnti Group şemsiyesi altında yer alıyor ve büyük olasılıkla Çin dışında, I-SOON’un ofisinin bulunduğu Chengdu kentinde faaliyet gösteriyor. FishMonger ayrıyeten Earth Lusca, TAG-22, Aquatic Panda yahut Red Dev 10 olarak da biliniyor. ESET, Haziran 2019’da başlayan sivil protestolar sırasında Hong Kong’daki üniversiteleri ağır bir formda amaç alan bu küme hakkında 2020’nin başlarında bir analiz yayımladı. Grubun ‘Watering Hole Saldırıları’ gerçekleştirdiği biliniyor. FishMonger’ın araç seti ShadowPad, Spyder, Cobalt Strike, FunnySwitch, SprySOCKS ve BIOPASS RAT’ı içeriyor.
Kaynak: (BYZHA) Beyaz Haber Ajansı