Çinli hacker alarmı! Tıbbi araştırmalar hedef alındı
Çin bağlantılı bir siber casusluk grubu, Kuzey Amerika'daki REDCap sunucularını hedef alarak tıbbi araştırma verilerini ele geçirdi. Google Tehdit İstihbarat Grubu'nun raporuna göre, InfiniteRed adlı özel bir kötü amaçlı yazılım kullanıldı ve saldırganlar bir yıldan uzun süre boyunca fark edilmeden sistemlerde kaldı.
HABERİN DEVAMI 
Kuzey Amerika'daki tıbbi araştırma kuruluşları, REDCap sunucularına yönelik büyük çaplı bir siber saldırının hedefi oldu. Google Tehdit İstihbarat Grubu (GTIG), Çin bağlantılı bir hacker grubunun, REDCap platformunun açıkta kalan ve güncellenmemiş sürümlerini kullanarak sistemlere sızdığını ve kritik tıbbi verileri çaldığını açıkladı. Saldırının merkezinde, InfiniteRed adlı özel olarak geliştirilmiş bir kötü amaçlı yazılım yer aldı. Saldırganlar, Eylül 2023'te başlayan bu operasyon kapsamında, bir yıldan fazla süre boyunca tespit edilmeden kaldı ve ABD ile Kanada'daki birçok önemli kuruluştan hassas bilgiler topladı.
Google: 'InfiniteRed' ile gelişmiş siber casusluk yürütüldü
Google Tehdit İstihbarat Grubu'nun araştırmasına göre, UNC6508 olarak izlenen tehdit aktörü, REDCap sunucularına sızdıktan sonra InfiniteRed kötü amaçlı yazılımını devreye aldı. Bu yazılım, üç temel bileşenden oluşuyor: süreklilik ve güncelleme modülü, kimlik bilgisi toplayıcı ve arka kapı erişim aracı. InfiniteRed, REDCap giriş sayfalarından kullanıcı adları ve şifreleri topluyor, bu bilgileri şifreleyip yerel veritabanında saklıyor. Ayrıca yazılım, sunucuya dosya yükleme, dosya indirme, rastgele SQL sorguları çalıştırma, çalınan kimlik bilgilerini alma ve silme gibi yeteneklere sahip. Saldırganlar, HTTP çerezleri üzerinden komut alarak bu işlemleri uzaktan yönetebiliyor. GTIG, saldırının özellikle eski ve savunmasız REDCap sürümlerini hedef aldığını ve bu nedenle güncellemelerin hayati önem taşıdığını vurguluyor.
REDCap yöneticilerine güncelleme ve MFA çağrısı
Saldırıda dikkat çeken bir diğer unsur ise, tehdit aktörlerinin bulut tabanlı kurumsal verimlilik araçlarının içerik uyum kuralları özelliğini istismar etmesi oldu. Saldırganlar, "Patroit" adında bir içerik uyum kuralı oluşturarak, belirli anahtar kelimeler, içerik desenleri, e-posta adresleri ve telefon numaralarını taradı. Elde edilen veriler, otomatik olarak bir e-posta adresine (şu anda devre dışı) gönderildi. Çalınan veriler arasında tıbbi araştırmalara, ileri teknolojiye, askeri konulara ve jeo-stratejik politikalara dair bilgiler bulunuyor. Uzmanlar, REDCap yöneticilerine sistemlerini en güncel sürüme yükseltmeleri, eski sürümleri kaldırmaları ve yüksek ayrıcalıklı hesaplarda çok faktörlü kimlik doğrulama (MFA/2SV) ile Cihaz Bağlı Oturum Kimlik Bilgileri (DBSC) kullanmaları konusunda ısrarla uyarıyor. Google, ABD ve Kanada'daki birçok kuruluşa saldırı hakkında bilgilendirme yaptı ve InfiniteRed kötü amaçlı yazılımı ile ilgili YARA kuralları ve ihlal göstergelerini paylaştı.
Çin bağlantılı bu siber saldırı, tıbbi araştırma kuruluşlarının siber güvenlik önlemlerini gözden geçirmesinin gerekliliğini bir kez daha ortaya koydu. REDCap gibi kritik platformlarda güncel yazılım kullanımı ve çok katmanlı güvenlik önlemleri, bu tür tehditlere karşı savunmada kilit rol oynuyor. Uzmanlar, benzer saldırıların önlenmesi için kurumların düzenli olarak sistem güncellemelerini yapmaları ve gelişmiş kimlik doğrulama yöntemlerini uygulamaları gerektiğini belirtiyor.
- Popüler Haberler -
Trump yine savaş baltasını gösterdi! İran'a sert tehdit: Cehennem azabı gelecek
Trump amaçlarının İran'daki uranyuma "sahip olmak değil yok etmek" olduğunu savundu
Grönland'da saatte 400 km hıza ulaşan rüzgarlar bilim dünyasını şaşırttı
Toprakta antibiyotik direnci artıyor! Şehirler için kritik uyarı
1.500'den fazla süpernova incelendi! Evrenin genişlemesi hızlanıyor
Ölüm resmen yasaklandı! Fransa'daki karar gündem oldu
