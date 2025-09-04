Plan, özellikle yerleşik itibara sahip ve aktif sosyal medya topluluklarına sahip yüksek değerli alan adlarını hedef alarak taklitleri şüphelenmeyen kullanıcılar için daha ikna edici hale getirdi.

Haberde belirtilene göre siber operasyon, saldırganların daha önce meşru kuruluşlara ait olan süresi dolmuş alan adlarını ele geçirmesiyle başladı ve ardından Fortune 500 şirketlerinin klonlanmış web sitelerini konuşlandırdı.

Saldırganlar, ziyaretçinin kullanıcı aracısına ve coğrafi konumuna göre farklı içerikler sunan karmaşık gizleme teknolojisi kullandı.

Dikkat çeken vakalardan biri, başlangıçta askeri uçaklarla ilgili içeriklere ev sahipliği yapan ancak aynı zamanda Lockheed Martin 'in kurumsal web sitesinin mükemmel bir kopyası olarak hizmet veren bir kumar sitesine dönüştürülen militaryfighterjet.com alan adıyla ilgiliydi.

Deep Specter Research analistleri, militaryfighterjet.com alan adı dönüşümünü araştırırken bu büyük operasyonu tespit etti.

Arama motoru tarayıcıları veya Google arama sonuçları aracılığıyla erişildiğinde, kullanıcılar kurumsal web sitelerinin meşru görünümlü klonlarını gördüler. Ancak tarayıcıdan doğrudan erişim, kumar içeriğini ortaya çıkararak otomatik tespit sistemlerinden kaçan ve gerçek kullanıcılara yasa dışı içerik sunan çift amaçlı bir altyapı oluşturdu.

Google, EPA

48 BİN AKTİF SANAL SUNUCU

Yapılan analizler sonucunda altyapının 86 ayrı kümeye ayrılmış 48.000'den fazla aktif sanal sunucudan oluştuğu, bunların çoğunluğunun Hong Kong ve Tayvan'daki Google Cloud platformlarında barındırıldığı ortaya çıktı.

Araştırmacılar, operasyonun 2021 yılına kadar uzanan kanıtlarını keşfettiler ve önemli genişleme dönemlerinin dünya çapında büyük siber güvenlik olayları ve veri ihlalleriyle aynı zamana denk geldiğini belirttiler.

Deep Specter Research analistleri, saldırganların hedef kuruluşların web sitelerinin piksel mükemmelliğinde kopyalarını oluşturmak için meşru bir web kazıma aracı olan HTTrack Website Copier'ı kullandığını belirtti. Bu aracın kullanıldığına dair kanıtlar, klonlanmış sitelerin HTML yorumlarında, belirli sitelerin ne zaman kopyalandığını gösteren zaman damgaları da dahil olmak üzere gömülü olarak bulundu.

Operasyonun kaynak kod analizi, tespiti özellikle zorlaştıran stratejik uygulama ayrıntılarını ortaya çıkardı. Gizleme sistemi, ziyaretçilerin meşru kullanıcılar, arama motoru robotları veya güvenlik araştırmacıları olup olmadığını belirlemek için HTTP başlıklarını, kullanıcı aracısı dizelerini ve IP coğrafi konum verilerini inceledi.