Vietnam Merkezli Hacking Operasyonu: OceanLotus

 

2020’nin başlarında, Vietnamlı yazar Bui Thanh Hieu, Berlin merkezli bir serbest çalışan Marina Mai’ye ailesini korumak için bloğunu kapattığını söyledi. 2009’da Bui Thanh Hieu, Gazetecileri Koruma Komitesi CPJ’nin belgelediği gibi, Vietnam’ın Çin ile olan toprak anlaşmazlıkları hakkındaki eleştirel yazılarından dolayı bir hafta boyunca gözaltına alındı. Bui Thanh Hieu, 2013’te Almanya’ya kaçtı, ancak popüler bloğunda ve Facebook’ta Vietnam siyaseti hakkında yazmaya devam etti.

Yaşanan olaylar hakkında Almanyada bir gazeteye röportaj veren Bui Thanh Hieu, verdiği röportajda, hack saldırıları ve Facebook hesabını devre dışı bırakmaya yönelik tekrarlanan girişimlerle karşı karşıya kaldığını ve hatta çalışmalarıyla ilgili tehditler aldığından bahsetti. Olaylar sonrasında ise Alman polisinden koruma isteyerek sonunda, siteyi kapatmaktan başka çaresi olmadığını hissetti.

Bui Thanh Hieu’nin o sırada bilmediği şey, kendisinin Oceanlotus olarak bilinen büyük bir hack ve gözetim operasyonunun kurbanlarından birisi olmasıydı. Uzmanlar, Oceanlotus adlı siber suçlu grubunun, Vietnam devletini eleştiren insanları hedef aldığını ve onu da hedef alacağını söyledi. Oldukça uzun süredir ülkesine geri dönemeyen Bui Thanh Hieu, hala Vietnam’ın yanı sıra Almanya’daki Vietnam diasporası ve Berlin’deki yerel konular hakkında yazıyor. Bui Thanh Hieu, CPJ’ye verdiği röportajda (Gazetecileri Koruma Komitesi) 2020’nin sonlarında tarafına gönderilen bir e-posta aldığını ve Alman gazetecilerin bilgisayarına casus yazılım yükleme girişimi hakkında bilgi veren bu e-posta sayesinde hedef olduğunu öğrendiğini söyledi.

CPJ’YE verdiği demeçte,” Vietnam gizli servisi için ilginç bir insan olacağımı düşünmemiştim, çünkü sadece Almanca yazıyorum. Ancak bu görüşü düzeltmek zorunda kaldım. ” dedi.

vietnam hacking ile ilgili görsel sonucu

Mızrak Avı Saldırıları Birçok Gazeteciyi Hedef Alıyor


Oceanlotus’u inceleyen ABD merkezli bir siber güvenlik şirketi olan Volexity’nin Başkanı ve kurucu ortağı Steven Adair, 2020’nin sonlarında CPJ ile grubun gazetecileri nasıl tanımladığı ve hedeflediği hakkında bir telefon konuşması gerçekleştirdi. Hieu’ya yapılan saldırının “Mızrak avı” olarak bilinen bir saldırı olduğunu ve kullanılan bu yöntemin birçok gazeteciyi de mağdur ettiğini söyledi.

Bir başka gazeteci olan Mai ise, CPJ’ye meşru görünen ancak kötü amaçlı yazılım içeren bir e-posta yoluyla hedef alındığını söyledi. Alman gazeteciler, Die Zeit gazetesi ve kamu hizmeti yayıncısı BR tarafından yayınlanan Ekim 2020 makalesinde Hieu’ya karşı aynı yöntemin kullanıldığını bildirdi.

OceanLotus ayrıca, Adair’e göre hedef kitlesini cezbetmek için hayali haber siteleri ve sosyal medya profilleri de yaratıyor. Aralık ayında Facebook, aynı aktörlerin Vietnam’daki bir Bilişim Teknolojileri şirketinde de kötü niyetli bir etkinlik yürüttüğünü söyledi.

Volexity'nin Başkanı Adair ile ilgili görsel sonucu

Gazetecileri Koruma Komitesi, Volexity’nin Başkanı Adair ile Oceanlotus Hakkında Röportaj Gerçekleştirdi


ABD merkezli bir siber güvenlik şirketi olan Volexity’nin Başkanı Adair’ın, CPJ ile  Oceanlotus adlı grup hakkındaki röportaj ise şöyle;

-Bize Oceanlotus adlı siber saldırgan grubu ile ilgili çalışmalarınızdan bahsedebilir misiniz ?


2017’te, bir siber tehdit aktörü veya bilgisayar korsanları grubu olan OceanLotus ve APT32 adlı büyük bir dijital gözetim kampanyası hakkında araştırma yaptık. Bir ülkeye atıf yapılmadı, ancak [Silikon Vadisi merkezli siber güvenlik firması] FireEye ve EFF [ABD dijital haklar grubu the Electronic Frontier Foundation], Oceanlotus’un Vietnam dışında olduğunu ve mızrak avı muhalifleri olduğunu açıkça gösteren bazı raporlara sahipti.

Sonra Kamboçya hükümet web sitelerinde tehlikeye atılmış garip bir kodla karşılaştık. Bu kod ziyaretçileri kategorize ediyor ve onlar hakkında bilgi topluyordu. Sonunda, Filipin ordusu, Laos web siteleri, Kamboçyalı medya web siteleri için 100’den fazla farklı web sitesinde bu kodu, Vietnam’ı çevreleyen tüm ülkelerde ortaya çıkardık. Kimlik Avı saldırıları ve Oceanlotus’a açıkça bağlanabileceğimiz bazı kötü amaçlı yazılımlar da dahil olmak üzere bu büyük şeyleri ortaya çıkardık. Gelen kutunuza eriştikten sonra, siz veya size e-posta gönderen herhangi biri gibi davranabiliyorlar.

Ayrıca sahte siteler oluşturuyorlar birçoğu haber siteleri. Hiçbiri CNN’yi günde milyonlarca görüntüleme ile atlamayacak, ancak sürekli güncellenen haberleri var ya da bir yere reklam veriyorlar. Bazı sayfalar gerçekten yakalanmadı, ancak birinin 20.000’den fazla sosyal medya takipçisi vardı. Bu, ziyaretçileri izlemek ve hedeflemek için tartışmasız olan tamamen hileli bir web sitesi için oldukça iyi bir sayıdır.

Hedeflerin çoğunluğu [Almanya merkezli] insan hakları savunucuları oldu. Bunlar arasında, İnsan Hakları Savunucuları Ağı, Amerika Birleşik Devletleri’ndeki medya kuruluşları ve Vietnam Katolikliği ile ilgili web siteleri bulunuyor. Grubun misyonu ise Vietnam hükümetine saldırgan olan grupları belirleyerek onları Vietnam için bir tehdit unsuru olmaktan çıkarmak. Saldırdıkları web sitelerinden birçoğu yolsuzluğu ortaya çıkaran medya siteleri veya bloglardı.

-Devlet aktörlerinin Oceanlotus’un arkasında olup olmadığını söylemek mümkün mü ?


Kesinlikle Vietnam dışında olduğuna inanıyoruz, ancak bir devlet kurumu, onlar için çalışan bir yüklenici ya da başka bir şey olsun, bunu bildiğimizi iddia etmiyoruz.

Tüm altyapıyı korumak ve kurbanları tanımlamak için muazzam çaba ve kaynaklara bakıyoruz. Bu organize saldırılar herhangi bir kimsenin boş zamanlarında yapacağı bir şey değil.

2017 kampanyasına baktığınızda, 120 siteyi hackliyorlar ve bunların 90’ı medya ve insan hakları örgütleri. Bizim bakış açımızdan başka bir açıklama yok.

[Editörün notu: CPJ, Berlin’deki Vietnam Büyükelçiliği’nden web sitesinde listelenen bir e-posta adresi aracılığıyla yorum istedi, ancak bir cevap almadı. Hanoi Kamu Güvenliği Bakanlığı web sitesinde bir numaraya yapılan telefon görüşmeleri cevapsız kaldı.]

vietnam hacking ile ilgili görsel sonucu

-Hackerlar tarafından yönetilen kötü niyetli bir Web sitesini ziyaret riskleri nelerdir ?


Bu web sitelerinin gerçek haberleri var ve belki 5.000 haber’den bir veya iki sayfası kötü amaçlı yazılım sunacaktır. Teorik olarak, birisi bu konuda yanlışlıkla sonuçlanabilir, ancak muhtemelen doğrudan mesajlar veya e-posta yoluyla hedeflenen bir şekilde bağlantılar sunduklarını varsayıyoruz.

Ya da sizi bir hedef olarak belirlediyse ve IP adresinizi belirlediyse, web sitesi farklı davranacaktır. Ya şifrenizi çalmak için sizi bir giriş sayfasına yönlendirecektir yada bir uygulamayı yetkilendirmek için kullandığınız Google kimlik bilgilerinize ulaşmak ve  indirmek için kötü amaçlı yazılım sunacaktır.

Tarayıcıda bir güvenlik açığı yoktur, bu da bir Web sitesini evinizden ziyaret edebileceğiniz ve kim olduğunuzu bilecekleri anlamına gelir. Ancak bir şirket ofisindeyseniz, ancak hedef listesindeki bir kuruluşa bağlı olduğunuzu belirlemek mümkün olabilir. Birlikte çalıştığımız bir organizasyonla, bir siteyi ziyaret edebilirsiniz ve bunun riski fazla değildir.

Profilinizi oluşturmanın ana yolu, ne yaptığınıza bakmaktır. Sistem, bu blogu ziyaret eden kişi olduğunuzu söyleyebilir. Belki ikinci kez ziyaret edersiniz, belki de muhaliflere adanmış bu diğer haber sitesinde görünmeye başlarsınız. Nereden geldiğinizi, dil ayarlarını takip edebilirler  ” bu muhtemelen bir aktivist ya da aktivistlerle ilgilenen biri.” kanısına bu şekilde varabilirler. Bu oldukça sık gerçekleştirilen bir eylem.

-Die Zeit ve BR, bilgisayar korsanlarının Cobalt Strike adlı bir araç kullandığını bildirdi. O nedir ?


Cobalt Strike bir penetrasyon testi aracıdır. Müşterilerinin kim olduğunu bilmiyorum, ancak yasal olarak kullanan birçok şirkete satılıyor. İçeri girip güvenliklerini test etmek için birini işe alıyorlar ve bu da kullanabilecekleri bir araç seti.

Oceanlotus’un Cobalt Strike’ın müşterisi olduğundan şüphelenmiyorum. Bunun nasıl olduğunu bilmiyoruz, ancak kırık versiyonlar ortaya çıkıyor. Belki birisi hacking yoluyla veya bir müşteri olarak kaydolduktan sonra çaldı, ancak bu, birden fazla kişinin desteklenmeyen, gayri meşru bir sürümü bunun için ödeme yapmadan kullanabileceği anlamına geliyor ve onlara bir sistemin kontrolünü ele geçirme yeteneği veriyor. Bu, bildiğimiz kadarıyla şirketten gelen sorumsuz bir eylemden dolayı değil, hükümetlere kötü amaçlı yazılım tedarik eden şirketlerle aynı kategoride değil.

Belirli bir çözüm yok, bilgisayar korsanları onunla başarılı olmalı, aksi takdirde kullanmaya devam etmeyecekler. Ama eğer bu araç değilse, o zaman başka bir şey olacak. Çeşitli Anti-virüs yazılımlarının, bilinen, eski bir teknoloji olan ve güncellenmeyen böyle bir şeyi alma olasılığı daha yüksektir ancak hedef alınan insanların kaç tanesinin anti-virüse sahip olduğunu bilmiyoruz.

OceanLotus söz konusu olduğunda, onu hiç kullanmaları ilginçtir. Ayrıca, şirket içinde geliştirilen önemli miktarda kötü amaçlı yazılım ve farklı platformlara saldırmak için oldukça güçlü bir yeteneğe sahipler. Ama kullanmaya devam ediyorlar, yıllardır kullanıyorlar.

Kaynak: CPJ

Yazımızı Nasıl Buldunuz?

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*