Google ve Microsoft’un güvenlik araştırmacıları, Çin devletiyle bağlantılı hacker gruplarının SharePoint’teki kritik bir sıfır gün (zero-day) açığını istismar ettiğini söyledi.
Dün sizlerle paylaştığımız haberde SharePoint‘te yüksek riskli güvenlik açığı bulunduğunu ve çeşitli kurumlara siber saldırılar düzenlendiğinden söz etmiştik. Şimdi bu konuyla ilgili dikkat çekici gelişmeler var. Google ve Microsoft, Çin merkezli hacker gruplarının bu zafiyetten yararlandığını belirtti.
Microsoft’un salı günü paylaştığı blog yazısına göre saldırıları “Linen Typhoon”, “Violet Typhoon” ve “Storm-2603” adlarıyla bilinen üç Çin destekli grup yürütüyor. Linen Typhoon’un fikri mülkiyet hırsızlığına, Violet Typhoon’un ise casusluk amaçlı veri toplamaya odaklandığı belirtildi. Storm-2603 hakkında ise daha az bilgi bulunuyor, fakat geçmişte fidye yazılımı saldırılarıyla ilişkilendirilen bir grup.
Söz konusu açık, ilk kez 7 Temmuz’da saldırılarda kullanılmaya başlandı. Google’a bağlı siber güvenlik birimi Mandiant’ın üst düzey yöneticisi Charles Carmakal, en az bir Çin bağlantılı grubun açıkla doğrudan ilişkili olduğunu, fakat farklı siber suçluların da zamanla olaya dahil olduğunu söyledi. Microsoft gerekli yamaları yayınladı, ancak araştırmacılar hackerların kendi SharePoint sunucusunu barındıran kurumlara sızmış olabileceğini belirtiyor.
Çin hükümeti daha önce olduğu gibi bu saldırılarla ilgili doğrudan bir sorumluluk kabul etmedi. Çin’in Washington Büyükelçiliği Sözcüsü Liu Pengyu yaptığı açıklamada, “Çin her türlü siber saldırı ve suçla kararlılıkla mücadele etmektedir” ifadesini kullandı. Bu son olay, Çin bağlantılı hackerların hedef aldığı ilk büyük saldırı değil. 2021’deki “Hafnium” operasyonunda da Çinli gruplar, binlerce Microsoft Exchange sunucusunu istismar etmiş, hassas verileri ele geçirmişti.
