Çin bağlantılı siber casuslar REDCap ve Google Workspace’ı nasıl kullandı: araştırma ve savunma e-postalarına gizlice erişim

Geçtiğimiz yılın sonlarından itibaren ABD ve Kanada’daki tıp araştırma merkezleri, üniversiteler ve savunma kurumlarının e-posta sistemlerinde gizli bir casusluk faaliyeti yürütüldü. Çin devletine bağlı olduğu değerlendirilen UNC6508 adlı grup, araştırma verilerini toplayan REDCap platformunu hedef aldı ve ardından Google Workspace’in yerleşik özelliklerini manipüle ederek kurbanların kendi e-postalarını otomatik olarak çalmasını sağladı. Saldırganlar, REDCap sunucularına yerleştirdikleri özel zararlı yazılım sayesinde yönetici haklarına ulaştı ve ardından Google Workspace’in içerik uyumluluk kurallarını değiştirerek hassas e-postaları kopyaladı. Bu süreç, saldırının en dikkat çekici yanı olan “kendi kendine çalışan” veri hırsızlığı modelini ortaya çıkardı.

Bu saldırı sadece teknik bir başarı değil, aynı zamanda siber güvenlik stratejilerinin nasıl sürekli olarak güncellenmesi gerektiğini de gösteriyor. REDCap gibi araştırma platformları, hassas verileri barındırdığı için yüksek risk altında bulunuyor. Google Workspace’in içerik tarama ve otomatik yönlendirme özellikleri, normalde spam ve politika ihlallerini engellemek için tasarlanmıştı. Ancak saldırganlar, bu özellikleri kötü niyetli bir şekilde yeniden yapılandırarak kurbanların bilgisi olmadan e-postaları kopyalamayı başardı. Bu durum, kurumların sadece dış tehditlere karşı değil, aynı zamanda iç sistemlerin kötüye kullanımına karşı da koruma stratejileri geliştirmesi gerektiğini ortaya koyuyor.

REDCap: Araştırma verilerinin kalbi ve saldırı noktası

REDCap (Research Electronic Data Capture), dünyanın dört bir yanındaki hastaneler, üniversiteler ve araştırma kurumları tarafından klinik çalışmalar, anketler ve veri toplama süreçlerinde yaygın olarak kullanılan bir web tabanlı platformdur. Kullanıcı dostu arayüzü ve esnek veri toplama özellikleri nedeniyle tercih edilen REDCap, aynı zamanda hassas sağlık ve savunma araştırmalarını barındırdığı için yüksek değerli bir hedef haline geliyor.

UNC6508 grubunun REDCap’ı hedef almasındaki temel neden, bu platformun genellikle dışa açık sunucularda çalıştırılması ve güvenlik açısından yeterince korunmamasıydı. Google’ın tehdit istihbarat raporuna göre, saldırganlar REDCap sunucularına yerleştirdikleri bir arka kapı aracılığıyla ilk erişimi sağladı. Bu arka kapının nasıl yerleştirildiği tam olarak açıklanmasa da, muhtemelen eski ve güvenlik güncellemeleri yapılmamış REDCap sürümlerindeki zayıflıklardan faydalanıldı. REDCap’in popülerliği ve yaygın kullanımı, saldırganlara geniş bir saldırı yüzeyi sunuyor.

REDCap’in güvenlik açısından en büyük zayıflığı, araştırma ekiplerinin genellikle veri toplama odaklı çalışmaları ve sistem güvenliğine yeterince önem vermemelerinden kaynaklanıyor. Bu platformun yönetimi, veri toplama sürecinin hızlı ve verimli olmasına odaklanırken, sunucu güvenliği ve kimlik doğrulama mekanizmaları ikinci plana atılabiliyor. UNC6508 grubu da bu zayıflığı kullanarak REDCap sunucularına sızmayı başardı ve ardından içerideki diğer sistemlere yayılmak için gerekli yetkileri elde etti.

INFINITERED: REDCap’ın kendi dosyalarını değiştiren gizli tehdit

UNC6508 grubunun REDCap sunucularına yerleştirdiği INFINITERED adlı özel zararlı yazılım, saldırının en karmaşık ve etkili unsurlarından biriydi. Bu yazılım, REDCap’in kendi sistem dosyalarını değiştirerek saldırganlara uzun vadeli erişim sağlamayı hedefliyordu. INFINITERED’in yaptığı üç temel şey bulunuyordu: iç keşif, kimlik bilgisi toplama ve veri aktarımı.

İlk olarak, INFINITERED saldırganların REDCap sunucusunun iç yapısını incelemesine olanak tanıdı. Bu sayede, saldırganlar sunucunun yapılandırma dosyalarına, veri tabanı kimlik bilgilerine ve hizmet hesabı ayrıntılarına erişebildi. Bu bilgiler, saldırganların REDCap’in güvenlik duvarlarını aşmasına ve iç ağa yayılmasına yardımcı oldu. Google’ın raporunda belirtildiği üzere, INFINITERED’in yerleştirilmesinden yaklaşık üç ay sonra saldırganlar, REDCap sunucusunun yönetici hesaplarına erişmeyi başardı.

Yönetici haklarına sahip olduktan sonra, UNC6508 grubu Google Workspace’in içerik uyumluluk kurallarını manipüle ederek veri hırsızlığı sürecini otomatikleştirdi. Bu süreç, saldırının en yenilikçi ve tehlikeli yönlerinden biriydi. Normalde, içerik uyumluluk kuralları, şirketlerin e-posta trafiğinde politika ihlallerini veya spam mesajları tespit etmek için kullanılır. Ancak saldırganlar, bu kuralları yeniden yapılandırarak hassas e-postaları otomatik olarak kopyalamayı ve saldırganların kontrolündeki bir Gmail adresine gizlice göndermeyi başardı.

Google Workspace’in yerleşik özelliklerinin kötüye kullanımı

UNC6508 grubunun en dikkat çekici taktiklerinden biri, Google Workspace’in içerik uyumluluk kurallarını kötüye kullanmasıydı. Bu özellik, normalde şirketlerin e-posta trafiğini denetlemek ve politika ihlallerini engellemek için kullanılan bir araçtır. Ancak saldırganlar, bu aracı yeniden yapılandırarak hassas e-postaları otomatik olarak kopyalamayı ve saldırganların kontrolündeki bir Gmail adresine gizlice göndermeyi başardı.

Saldırganlar, yaklaşık 150 adet anahtar kelime, arama terimi ve e-posta adresi içeren bir kural oluşturdu. Bu kural, REDCap sunucusunun yönetici hesaplarından gönderilen veya alınan e-postaları taradı ve belirlenen anahtar kelimeleri içeren mesajları otomatik olarak saldırganların Gmail adresine gizlice kopyaladı. Bu süreç, saldırganların e-postaları manuel olarak indirmelerine gerek kalmadan, otomatik ve sürekli bir veri hırsızlığı modeli oluşturdu.

Bu saldırı, bulut tabanlı iş birliği araçlarının ve e-posta sistemlerinin nasıl kolayca kötüye kullanılabileceğini gösteriyor. Google Workspace’in içerik uyumluluk kuralları, normalde kullanıcıların güvenliğini sağlamak için tasarlanmıştı. Ancak saldırganlar, bu kuralları yeniden yapılandırarak veri hırsızlığı yapmayı başardı. Bu durum, kurumların sadece dış tehditlere karşı değil, aynı zamanda iç sistemlerin kötüye kullanımına karşı da koruma stratejileri geliştirmesi gerektiğini ortaya koyuyor.

Saldırının zaman çizelgesi ve devam eden tehdit

UNC6508 grubunun faaliyetleri, ilk olarak Eylül 2023 tarihinde tespit edildi ve Kasım 2025’e kadar devam etti. Bu süre zarfında, saldırganlar REDCap sunucularına yerleştirdikleri arka kapı ve INFINITERED zararlı yazılımı aracılığıyla kurbanların sistemlerine gizlice sızmayı başardı. Google’ın tehdit istihbarat grubu, bu saldırının yüksek güvenilirlikle Çin devletine bağlı bir gruba ait olduğunu değerlendirdi.

Saldırının en dikkat çekici yönü, saldırganların REDCap sunucularına yerleştirdikleri zararlı yazılımın ve Google Workspace’in içerik uyumluluk kurallarının kötüye kullanımının uzun bir süre boyunca tespit edilememesiydi. Bu durum, hem REDCap’in hem de Google Workspace’in güvenlik açısından nasıl sürekli olarak izlenmesi ve güncellenmesi gerektiğini gösteriyor. Kurumların, hem yerel sistemlerin hem de bulut tabanlı hizmetlerin güvenliğini sağlamak için çok katmanlı bir güvenlik stratejisi benimsemesi gerekiyor.

UNC6508 grubunun faaliyetleri, sadece ABD ve Kanada’daki sağlık ve savunma kurumlarını değil, aynı zamanda akademik kurumları da hedef aldı. Bu durum, araştırma verilerinin ve savunma bilgilerinin ne kadar değerli olduğunu ve siber casusluk faaliyetlerinin ne kadar yaygın olduğunu gösteriyor. Kurumların, hem yerel sistemlerin hem de bulut tabanlı hizmetlerin güvenliğini sağlamak için çok katmanlı bir güvenlik stratejisi benimsemesi gerekiyor.

Kurumlar için acil güvenlik önerileri

UNC6508 grubunun REDCap ve Google Workspace’ı kullanarak gerçekleştirdiği saldırı, kurumların güvenlik stratejilerini yeniden değerlendirmeleri gerektiğini gösteriyor. İlk olarak, REDCap gibi araştırma platformlarının güvenlik açısından nasıl korunması gerektiğine odaklanmak gerekiyor. Bu platformların genellikle dışa açık sunucularda çalıştırılması, saldırganlara geniş bir saldırı yüzeyi sunuyor. Kurumlar, REDCap sunucularının güvenlik güncellemelerini düzenli olarak yapmalı, güçlü kimlik doğrulama mekanizmaları kullanmalı ve sunucuların izole edilmesini sağlamalıdır.

İkinci olarak, Google Workspace’in içerik uyumluluk kurallarının nasıl kullanılabileceği konusunda farkındalık oluşturulması gerekiyor. Bu kurallar, normalde şirketlerin e-posta trafiğini denetlemek için kullanılır. Ancak saldırganlar, bu kuralları yeniden yapılandırarak hassas e-postaları otomatik olarak kopyalamayı başardı. Kurumlar, içerik uyumluluk kurallarının nasıl yapılandırıldığını düzenli olarak gözden geçirmeli ve yetkisiz değişiklikleri tespit etmek için izleme sistemleri kurmalıdır.

Üçüncü olarak, çok katmanlı bir güvenlik stratejisi benimsenmesi gerekiyor. Bu strateji, hem yerel sistemlerin hem de bulut tabanlı hizmetlerin güvenliğini sağlamayı hedefliyor. Kurumlar, saldırı tespit sistemleri, güvenlik duvarları ve izinsiz giriş tespit sistemleri gibi araçları kullanarak sistemlerini korumalıdır. Ayrıca, çalışanlara düzenli olarak güvenlik eğitimleri verilmeli ve şüpheli e-postalar veya bağlantılara karşı dikkatli olmaları sağlanmalıdır.

Son olarak, REDCap ve diğer araştırma platformlarının kullanıldığı kurumlar, bu platformların güvenlik açısından nasıl izleneceği konusunda özel stratejiler geliştirilmelidir. Bu stratejiler, platformların güncellemelerini takip etmeyi, kimlik doğrulama mekanizmalarını güçlendirmeyi ve saldırı tespit sistemlerini kurmayı içermelidir. Kurumlar, bu önlemleri alarak hem REDCap hem de Google Workspace gibi platformların güvenliğini sağlamalıdır.

Sektördeki benzer tehditler ve gelecekteki riskler

UNC6508 grubunun REDCap ve Google Workspace’ı kullanarak gerçekleştirdiği saldırı, siber casusluk faaliyetlerinin ne kadar karmaşık ve yenilikçi hale geldiğini gösteriyor. Bu saldırı, sadece Çin devletine bağlı grupların değil, diğer devlet destekli siber casusluk gruplarının da benzer taktikleri kullanabileceğini ortaya koyuyor.

REDCap ve benzeri araştırma platformları, dünya genelinde yaygın olarak kullanılan ve hassas verileri barındıran sistemlerdir. Bu platformların güvenliği, sadece araştırma verilerinin korunması açısından değil, aynı zamanda ulusal güvenlik açısından da büyük önem taşıyor. Gelecekte, bu tür platformların hedef alınma olasılığı artacak ve saldırganlar, hem yerel sistemlere hem de bulut tabanlı hizmetlere yönelik saldırılarını çeşitlendireceklerdir.

Google Workspace’in içerik uyumluluk kuralları gibi yerleşik özelliklerin kötüye kullanımı, gelecekte de benzer saldırıların artmasına neden olabilir. Bu nedenle, kurumların sadece dış tehditlere karşı değil, aynı zamanda iç sistemlerin kötüye kullanımına karşı da koruma stratejileri geliştirmesi gerekiyor. Gelecekte, siber casusluk faaliyetlerinin daha da karmaşık hale gelmesi ve yeni saldırı vektörlerinin ortaya çıkması bekleniyor.

Sonuç: Güvenlik stratejilerini sürekli güncellemek gerekiyor

UNC6508 grubunun REDCap ve Google Workspace’ı kullanarak gerçekleştirdiği saldırı, siber güvenlik dünyasında önemli bir uyarı niteliği taşıyor. Bu saldırı, hem yerel sistemlerin hem de bulut tabanlı hizmetlerin nasıl kolayca kötüye kullanılabileceğini ve saldırganların ne kadar yenilikçi taktikler kullanabileceğini gösteriyor.

Kurumların, hem REDCap gibi araştırma platformlarının hem de Google Workspace gibi bulut tabanlı hizmetlerin güvenliğini sağlamak için çok katmanlı bir güvenlik stratejisi benimsemesi gerekiyor. Bu strateji, sadece dış tehditlere karşı değil, aynı zamanda iç sistemlerin kötüye kullanımına karşı da koruma sağlamalıdır. Düzenli güvenlik güncellemeleri, güçlü kimlik doğrulama mekanizmaları ve saldırı tespit sistemleri, bu stratejinin temel unsurları olmalıdır.

Sonuç olarak, UNC6508 grubunun faaliyetleri, siber güvenlik dünyasında yeni bir dönemin başladığını gösteriyor. Kurumlar, bu yeni tehditlere karşı hazırlıklı olmak ve güvenlik stratejilerini sürekli olarak güncellemek zorundalar. Aksi takdirde, hassas araştırma verileri ve savunma bilgileri, saldırganların eline geçmeye devam edecektir.