Siber güvenlik dünyası, Çin bağlantılı yeni bir gelişmiş kalıcı tehdit (APT) grubunun ortaya çıkışıyla sarsıldı. ESET araştırmacıları, Tayland’daki devlet kurumlarını hedef alan CeranaKeeper adlı bu grubu keşfetti. 2023’te başlayan saldırılar, Tayland hükümetine ait büyük miktarda verinin dışarı sızdırılmasıyla sonuçlandı.
CeranaKeeper, devlet kurumlarını hedef alan birkaç kampanya yürüterek yasal dosya paylaşım hizmetlerini kötüye kullandı. ESET’in raporuna göre grup, Dropbox, PixelDrain, GitHub ve OneDrive gibi hizmetleri sızma işlemleri için kullandı. Bu faaliyetlerin detaylarını ilk kez 2024 Virus Bulletin Konferansı’nda paylaşan ESET araştırmacıları, tehdit aktörünün araç ve tekniklerini sürekli olarak güncellediğini ve böylece tespit edilmekten kaçındığını belirtti. Grubun amacı, mümkün olan en fazla dosyayı toplayarak kitlesel veri sızıntılarına yol açmak.
ESET araştırmacılarından Romain Dumont, “Benzer yan yükleme hedefleri ve arşiv formatı gibi faaliyetlerindeki bazı benzerliklere rağmen ESET, iki grup arasında araç setlerindeki, altyapılarındaki, operasyonel uygulamalarındaki ve kampanyalarındaki farklılıklar gibi belirgin organizasyonel ve teknik farklılıklar gözlemledi” dedi.
CeranaKeeper, Asya’daki devlet kurumlarını hedef alarak Tayland, Myanmar, Filipinler, Japonya ve Tayvan’da faaliyet gösterdi. Grup, daha önce Mustang Panda adlı başka bir Çin bağlantılı APT grubu ile karıştırıldıysa da, ESET uzmanları iki grubun ayrı varlıklar olduğunu ortaya çıkardı. Her iki grup da benzer araç setleri ve teknikler kullanıyor olabilir, ancak kod ve altyapı incelemeleri iki grup arasında farklılıklar olduğunu gösterdi. Bu grupların Çin’e bağlı olabileceği ve bilgi paylaşımı yapabileceği düşünülüyor.
CeranaKeeper, Tayland hükümetine yönelik saldırılarında TONESHELL adı verilen bir araç seti kullanarak, dosya sızıntısı için komut dizileri yürüttü. Grup, ele geçirdiği bilgisayarlarda yasal bir Avast sürücüsü kullanarak güvenlik önlemlerini etkisiz hale getirdi ve bu sayede ağdaki diğer cihazlara da erişim sağladı. Ayrıca, GitHub gibi popüler platformları da kötüye kullanarak gizli iletişim kanalları oluşturdular.
Bu saldırıların, bölgede Çin’in jeopolitik ve stratejik çıkarlarına hizmet etmek amacıyla düzenlendiği düşünülüyor. ESET’in araştırması, CeranaKeeper’ın son derece esnek ve dinamik bir tehdit olduğunu ortaya koyuyor.
