Siber Guvenlik

Çin Bağlantılı UAT-7810, AĞ CİHAZLARINA SIZARAK ORB AĞINI GENİŞLETİYOR

Çin kökenli tehdit aktörü UAT-7810, internete açık ağ cihazlarını hedef alarak LapDogs adlı ORB ağına yeni LONGLEASH malware’ini entegre ediyor. Cisco Talos araştırmacılarına göre, saldırganlar ağ altyapısını ele geçirerek siber saldırılar için dağıtılmış komuta merkezleri oluşturuyor.

I
ITWISE
5 görüntülenme
Çin Bağlantılı UAT-7810, AĞ CİHAZLARINA SIZARAK ORB AĞINI GENİŞLETİYOR

Siber güvenlik dünyasında yeni bir tehdit dalgası, Çin ile bağlantılı olduğu tespit edilen UAT-7810 adlı gelişmiş tehdit aktörü (APT) tarafından hayata geçiriliyor. Bu grup, LapDogs olarak adlandırılan Operational Relay Box (ORB) ağına yönelik saldırılarını artırırken, Haziran 2025’te ilk kez ortaya çıkan bu ağın kapsamını genişletmek için LONGLEASH adlı özel malware’ini kullanmaya başladı. Cisco Talos’un yayınladığı son rapora göre, UAT-7810, internete açık ağ cihazlarına sızarak dağıtılmış komuta merkezleri oluşturmaya odaklanıyor.

ORB Ağları: Siber Saldırılarda Yeni Bir Dönem

ORB ağları, siber saldırganların komuta ve kontrol (C2) altyapısını gizlemeyi ve dağıtmayı amaçlayan sistemlerdir. Geleneksel C2 sunucularının aksine, ORB ağları yedekli ve dağıtık yapılarıyla tespit edilmesi zor bir ortam sunar. UAT-7810’un LapDogs ağı, bu tür bir sistemin en gelişmiş örneklerinden biri olarak kabul ediliyor. Saldırganlar, ele geçirdikleri ağ cihazlarına (yönlendiriciler, anahtarlar, güvenlik duvarları gibi) LONGLEASH malware’ini yükleyerek, bu cihazları komuta merkezlerine dönüştürüyor. Bu sayede, saldırılar hem daha uzun süreli hem de daha zor tespit edilir hale geliyor.

LONGLEASH Malware’inin Tehlikeli Yetenekleri

Cisco Talos’un araştırmaları, LONGLEASH’in sadece bir malware değil, aynı zamanda bir yedekli komuta aracı olduğunu ortaya koyuyor. Bu malware, aşağıdaki özelliklere sahiptir:

  • Gizli İletişim: LONGLEASH, saldırganlarla iletişim kurmak için DNS tünelleme ve HTTP/HTTPS trafiğini manipüle etme gibi teknikler kullanıyor. Bu sayede, güvenlik çözümlerinin algılamasından kaçınıyor.
  • Dağıtık Komuta: Enfekte edilmiş her bir cihaz, saldırganların komuta merkezine yedek bir bağlantı noktası olarak hizmet veriyor. Bu, saldırıların durdurulmasını veya tespit edilmesini neredeyse imkansız hale getiriyor.
  • Yanal Hareket Yeteneği: LONGLEASH, yerel ağda dolaşarak diğer sistemlere de bulaşabiliyor. Bu sayede, saldırganlar ağın derinliklerine nüfuz edebiliyor.
  • Kendini Güncelleme: Malware, saldırganların komutları doğrultusunda sürekli olarak kendini güncelleyerek, güvenlik yazılımlarının tespitinden kaçabiliyor.

Hedeflerdeki Değişim ve Saldırının Ölçeği

UAT-7810’un hedef aldığı sistemler arasında kurumsal ağlar, telekomünikasyon altyapıları ve hükümet sistemleri bulunuyor. Cisco Talos’un verilerine göre, saldırganlar özellikle Asya-Pasifik bölgesindeki kuruluşlara odaklanıyor. Bununla birlikte, LONGLEASH’in küresel ağ cihazlarına yayılması, uluslararası siber tehditlerin boyutunu da gözler önüne seriyor.

Savunma Stratejileri: ORB Ağlarına Karşı Nasıl Korunmalı?

ORB ağları gibi gelişmiş tehditlere karşı savunma yapmak, geleneksel siber güvenlik yaklaşımlarının ötesine geçmeyi gerektiriyor. İşte bu tehditlere karşı alınabilecek önlemler:

  • Network Segmentasyonu: Ağın farklı bölümlerine ayrılması, saldırganların yanal hareketini sınırlandırır.
  • Gelişmiş E-postasız İzleme: DNS trafiği, HTTP/HTTPS bağlantıları ve ağ cihazlarının davranışları sürekli olarak izlenmelidir. Anormal trafik desenleri tespit edildiğinde otomatik uyarılar oluşturulmalıdır.
  • Cihaz Güvenlik Politikaları: Ağ cihazlarının varsayılan ayarları değiştirilmeli, güvenlik güncellemeleri düzenli olarak uygulanmalıdır. Ayrıca, üçüncü parti yazılımların kullanımı kısıtlanmalıdır.
  • Yedekli ve Dağıtık C2 Altyapısı: Saldırganlar dağıtık sistemler kullanıyorsa, savunma sistemleri de aynı şekilde dağıtık ve yedekli olmalıdır. Bu, saldırıların bir bölümünü izole etmeyi kolaylaştırır.
  • Siber Güvenlik Ekiplerinin Eğitimi: ORB ağları ve benzeri gelişmiş tehditler hakkında personelin sürekli eğitilmesi, erken tespit ve müdahale şansını artırır.

Sonuç: Siber Tehditler Karşısında Hazırlıklı Olmak

UAT-7810’un LapDogs ve LONGLEASH malware’ini kullanarak genişleten saldırıları, siber güvenlik dünyasında yeni bir dönemin başladığını gösteriyor. Bu tür tehditler, sadece hedeflenen kuruluşlar için değil, aynı zamanda ülkelerin ulusal güvenliği için de ciddi bir risk oluşturuyor. Siber savunma stratejilerinin sürekli güncellenmesi, gelişmiş tehditlere karşı etkili bir koruma sağlayacaktır. İşletmelerin ve hükümetlerin, ORB ağları gibi sistemlere karşı savunma yeteneklerini artırması, gelecekteki siber saldırılara karşı bir zorunluluk haline geliyor.