Antivirüs şirketi ESET’in tespitlerine göre, Çinli hackerlar bir VPN sağlayıcısının web sitesini hedef alarak kötü amaçlı yazılım yaydı. Mayıs 2024’te ESET’in antivirüs yazılımı, Güney Koreli VPN şirketi IPany’nin web sitesinden kaynaklanan Windows bilgisayarlarındaki kötü amaçlı yazılım bulaşmalarını tespit etti.
ESET, yaptığı açıklamada, “Yapılan analizler sonucunda, yükleyicinin hem yasal yazılımı hem de ‘SlowStepper’ adını verdiğimiz arka kapıyı dağıttığını keşfettik,” dedi. Şirket, VPN yazılımı geliştiricisiyle iletişime geçerek durumu bildirdi ve kötü amaçlı yükleyici web sitelerinden kaldırıldı.
ESET, ele geçirilen web sitesinin, kötü amaçlı yükleyiciyi coğrafi bölge veya IP adreslerine göre belirli kullanıcılara ulaştırmak için herhangi bir kod içermediğini belirtiyor. Bu nedenle, IPany VPN kullanan herkesin hedef olabileceği düşünülüyor.
Saldırının Arkasındaki Grup ve Hedefler
ESET, saldırıyı 2019’dan beri Çin, Tayvan, Güney Kore ve ABD’de siber casusluk faaliyetleri yürüten PlushDemon adlı bir Çinli hacker grubuna kadar izledi. PlushDemon’un SlowStepper arka kapısı, hackerın komuta ve kontrol sunucusuyla gizlice iletişim kuruyor. Arka kapı, ek kötü amaçlı yazılımları indirme ve çalıştırma, bir bilgisayarın özelliklerini toplama ve belirli dosyaları silme dahil olmak üzere çok sayıda talimatı yerine getirebiliyor.
Tedarik Zinciri Saldırısı ve Benzer Vakalar
Bu olay aynı zamanda bir tedarik zinciri saldırısıdır. Bu tür saldırılarda, bir hacker yaygın olarak kullanılan bir üçüncü taraf yazılımını ele geçirerek çok sayıda kullanıcıya sızmanın bir yolunu bulur. 2023’te, Kuzey Koreli olduğu düşünülen hackerlar da 3CX sesli arama uygulamasını ele geçirerek benzer bir plan uygulamış ve şüphelenmeyen kullanıcılara kötü amaçlı bir yazılım sürümü dağıtmıştı.
Bu son olay, VPN hizmetlerinin ve diğer yazılımların güvenliğinin ne kadar önemli olduğunu bir kez daha gözler önüne seriyor. Kullanıcıların, yazılımlarını yalnızca resmi kaynaklardan indirmeleri ve antivirüs yazılımlarını güncel tutmaları öneriliyor.
