Tarayıcı uzantılarına karşı gerçekleştirilen ve uzun yıllar boyunca fark edilemeyen bir siber saldırı kampanyası, Google Chrome ve Microsoft Edge'in milyonlarca kullanıcısını hedef almıştır. Güvenlik şirketi Koi tarafından yapılan araştırma, ShadyPanda olarak bilinen ve muhtemelen Çin kökenli bir hacker grubunun, yedi yıllık bir zaman dilimi içerisinde sistemli bir şekilde hareket ederek bu saldırıyı gerçekleştirdiğini göstermektedir. Bu operasyon, siber tehditler alanında görülen en sofistike ve uzun vadeli planlamaya sahip kampanyalardan biri olarak değerlendirilmektedir.
Yıllar boyunca konumlanan zararlı eklentiler
ShadyPanda grubunun izlediği strateji, geleneksel siber saldırı yöntemlerinden oldukça farklı bir yaklaşım sergilemektedir. Saldırganlar, ilk aşamada görünüşte tamamen zararsız ve faydalı üretkenlik araçları olarak tasarlanan eklentileri resmi tarayıcı mağazalarında yayınlamışlardır. Bu eklentiler, kullanıcılar tarafından geniş ölçüde benimsenmiş, yüksek puanlar almış ve milyonlarca kurulum sayısına ulaşmıştır. Saldırganlar, bu güven ortamını oluşturduktan sonra, eklentilerin güncelleme mekanizmasını kullanarak zararlı kodları sisteme dahil etmişlerdir.
Bu yöntemin başarısının temel nedeni, büyük platformların eklenti inceleme süreçlerinin yapısal bir zayıflığından kaynaklanmaktadır. Chrome Web Store ve Microsoft Edge Add-ons Store, eklentileri ağırlıklı olarak ilk yayınlandıkları anda incelemektedir. Sonraki güncellemelerde ise bu kadar titiz bir denetim yapılmamaktadır. Sonuç olarak, başlangıçta onaylanan ve 'Featured' veya 'Verified' statüsüne sahip olan eklentiler, daha sonra zararlı güncellemeler alarak casusluk araçlarına dönüştürülebilmektedir. Koi'nin bulgularına göre, bu saldırı için hiçbir kimlik avı veya sosyal mühendislik tekniğine gerek duyulmamıştır; yalnızca tarayıcı eklentilerine duyulan doğal güven, milyonlarca cihaza kapsamlı gözetim sistemleri kurmak için yeterli olmuştur.
Hala aktif olan casusluk ağı
Araştırma sonuçlarına göre, ShadyPanda grubunun kullandığı zararlı eklentilerden en az beşi halen Microsoft Edge Store'da mevcut durumdadır ve bu eklentiler toplamda dört milyondan fazla kuruluma sahiptir. Bunlardan ikisinin, Koi araştırmacılarının detaylı analizine göre, zaten aktif casusluk işlevlerini içerdiği tespit edilmiştir. Bu durum, saldırının hala devam etmekte olduğunu ve milyonlarca kullanıcının potansiyel tehdit altında bulunduğunu göstermektedir.
Özellikle dikkat çeken örneklerden biri, WeTab adlı eklentidir. Bu eklenti, tek başına üç milyondan fazla aktif kullanıcıya sahip olup, kapsamlı kullanıcı verilerini gerçek zamanlı olarak Çin'deki birkaç sunucuya ve Google Analytics hizmetine aktarmaktadır. Başka bir örnek ise Starlab Technology şirketi tarafından geliştirilen 'Clean Master' adlı eklentidir. Bu araç, 2018 ile 2019 yılları arasında yayınlanmış, resmi kalite mühürleri almış ve 200.000'den fazla kurulum toplamıştır. 2024 yazında ise ShadyPanda, bu eklentiye uzaktan erişim arayüzü ekleyen bir güncelleme dağıtmıştır. Bu güncelleme, saldırganların enfekte edilmiş cihazlara doğrudan erişim sağlamasını mümkün kılmaktadır.
Etkilenen eklentiler mağazalardan kaldırılmış olsa da, Koi araştırmacıları, saldırganların altyapısının hala aktif olduğu ve daha ileri giden saldırılar için hazır durumda olduğu konusunda ciddi uyarılarda bulunmaktadır. Bu durum, sorunu çözmek için sadece eklentilerin kaldırılmasının yeterli olmadığını göstermektedir.
Casusluk yazılımının yetenekleri ve gizleme mekanizmaları
ShadyPanda tarafından dağıtılan zararlı yazılım, son derece gelişmiş ve çok yönlü yeteneklere sahiptir. Bu yazılım, rastgele JavaScript dosyalarını yeniden yüklemeye, web sayfası içeriklerini manipüle etmeye ve tüm gezinme davranışını kaydetmeye imkan vermektedir. Ayrıca, kullanıcıların tarayıcı geliştirici araçlarını açtıkları durumlarda zararsız davranış sergileyen ve araştırmacıları kandırmayı amaçlayan mekanizmalara sahiptir. Bu tür gizleme teknikleri, saldırının uzun süre tespit edilmemesinin önemli nedenlerinden biridir.
Yazılımın yetenekleri, basit veri toplamanın ötesine geçmektedir. Saldırganlar, enfekte edilmiş cihazlarda web tarayıcısı üzerinden tam kontrol sağlayabilmektedir. Bu, kullanıcıların giriş bilgilerinin çalınması, finansal işlemlerin izlenmesi, kişisel dosyaların erişilmesi ve hatta cihazın diğer işlevlerinin kontrol edilmesi gibi ciddi sonuçlara yol açabilmektedir.
Platformların yapısal sorunu ve gelecek tehditler
Koi, bu olayda büyük tarayıcı mağazalarının yapısal bir sorunu olduğini vurgulamaktadır. Bir kez onaylanan ve yayınlanan eklentiler, neredeyse hiç izlenmemektedir. Bu sistem, saldırganların fark edilmeden güncellemeler yayınlamasına ve milyonlarca kullanıcı için potansiyel olarak ciddi sonuçlar doğurmasına imkan vermektedir. Mağazaların, ilk inceleme kadar sonraki güncellemeleri de titizlikle denetlemesi gerekmektedir.
ShadyPanda saldırısı, siber tehditlerin evrimini ve saldırganların ne kadar sofistike stratejiler geliştirebileceğini göstermektedir. Bu kampanya, yedi yıllık sabır ve sistemli bir yaklaşımla milyonlarca kullanıcıya ulaşmayı başarmıştır. Benzer saldırıların tekrarlanması riski bulunmaktadır ve kullanıcılar ile platform sağlayıcıları, bu tür tehditlere karşı daha dikkatli olmalıdır. Tarayıcı eklentileri yüklerken dikkatli olmak, düzenli olarak güvenlik yazılımı güncellemek ve şüpheli eklentileri kaldırmak, kullanıcıların alabileceği temel koruma adımlarıdır.
