Bitdefender, Türkiye ve Suriye’de Kürtleri hedef alan siber casusluk operasyonunun detaylarını açıkladı

Siber güvenlik araştırmacıları, su kaynağı saldırısı ‘watering hole’ adı verilen Suriye’de ve Türkiye’deki Kürtlere yönelik gözetleme ve istihbarat amacıyla yapılan saldırılarda yeni detaylar ortaya çıkardı.

Siber güvenlik firması Bitdefender’ın, The Hacker News ile paylaştığı rapora göre, operasyonun arkasında StrongPity adı verilen saldırıya açık cihazları kontrol etmek için yeni taktiklerle donatılan hedef odaklı, sürekli ve ileri seviye saldırılar var.

Araştırmacılara göre, kurbanlara titizlikle kötücül yazılımı bulaştırma ve adli soruşturmaları engellemek üzere üç katmanlı bir C&C altyapısı uygulamak için su kaynağı saldırısı kullanan APT grubu, arşivleyiciler, dosya kurtarma uygulamaları, uzaktan bağlantı uygulamaları, yardımcı yazılımlar ve hatta güvenlik yazılımları gibi popüler araçları zararlı yazılımlarını yükledi. Bunun sebebi hedef kurbanların arayabileceği geniş seçenek yelpazesini örtmekti.

Bitdefender, geçen sene Türkiye’nin Suriye’ye yönelik başlattığı Barış Pınarı Harekatı ile aynı tarihe denk gelen girişimde kullanılan ve analiz edilen kötücül yazılım örneklerinin zaman izi ile saldırıların siyasi olarak teşvik edilmiş olabileceğini söyledi. StrongPity ya da Promethium ilk defa Ekim 2016’da Belçikalı ve İtalyalı kullanıcılara karşı ‘water hole’ saldırısı kullanılarak WinRAR ve TrueCrypt gibi dosya şifreleme yazılımlarına kötücül yazılım bulaştıran saldırılardan sonra raporlandı.

RESMİ YAZILIMLAR TAKLİT EDİLDİ

2018 yılından itibaren saldırılar, Türkiye’deki büyük bir telekom şirketinin ağını Türkiye ve Suriye’deki binlerce kullanıcıyı gerçek yazılımın kötücül StrongPity versiyonuna yönlendirerek gerçekleşti. Bu sayede hedeflenen kullanıcılar resmi internet sitesi üzerinden tamamen yasal bir uygulama indirmeye çalıştığında, su kaynağı saldırısı ile zararlı yazılıma yönlendirildi.

Geçen Temmuz ayında AT&T Alien Labs, StrongPity’yi yüklemek ve rakip altyapıyla iletişim kurmak için yönlendirici işletim sistemi olan WinBox ve dosya arşivleme yazılımı WinRaR’ın trojanlı versiyonlarını kullanan yeni bir casus yazılım kampanyasının kanıtlarını bulmuştu.

SIZMA NASIL İŞLİYOR?

Bitdefender tarafından tanımlanan bu yeni saldırı yöntemi şu şekilde işliyor: McAfee, Security Scan Plus, Recuva, TeamViewer, WhatsApp ve Piriform’s CCleaner gibi yerelleştirilmiş yazılım kümeleri ve paylaşımcılarının kodunda değişiklik yapıp tahrip edilmiş yükleyiciler aracılığıyla daha önceden tanımlanmış IP listelerini kullanarak Türkiye ve Suriye’deki kurbanları hedef alıyor.

Araştırmacılar bu durumu “İlginçtir ki, kusurlu uygulamalarla ilgili olarak araştırılan tüm dosyalar Pazartesi’den Cuma’ya kadar rutin 9 ila 6 arasındaki çalışma saatleri içinde derlenmiş gibi görünüyor. Bu, StrongPity’nin belirli ‘projeleri’ yapmak için ödenen sponsorlu ve organize bir geliştirici ekibi olabileceği fikrini güçlendiriyor’’ cümleleriyle özetliyorlar.

Kötü amaçlı yazılım indirilip çalıştırıldığında, belgeleri dışarı sızdırmak ve çalıştırılan komutu almak için komut ve kontrol sunucularıyla iletişim kuran ‘backdoor’ (arka kapı) yüklenir. Ayrıca kurbanın cihazına her sürücüyü döngüye alan ve zip arşivi şeklinde dışa aktarılmak üzere belirli uzantılara (örneğin Microsoft Office belgeleri) sahip dosyaları arayan bir ‘’Dosya Arama’’ bölümü koyulur. Bu ZIP dosyası daha sonra çeşitli gizli ve şifrelenmiş ‘’.sft ‘’ dosyalarına ayrılır ve C%C sunucularına gönderir. Son olarak da sızma izine rastlanmayacak şekilde diskten silinir.

Suriye ve Türkiye yinelenen hedefler olsa da, StrongPity’nin arkasındaki tehlikeli aktör, Firefox, VPNpro, DriverPack ve 5kPlayer’ın bozulmuş sürümlerini kullanarak Kolombiya, Hindistan, Kanada ve Vietnam’daki kullanıcılara virüs bulaştırarak etki alanını genişletiyor.

DAHA BÜYÜK BİR OPERASYONUN PARÇASI MI?

StrongPity3 olarak adlandırılan Cisco Talos araştırmacıları, belge taramasını başlatmak ve toplanan dosyaları iletmek için gelişen kötü amaçlı bir yazılım araç seti olan “winprint32.exe”adlı modülü açıkladı. Dahası, sahte Firefox yükleyici, kötü amaçlı yazılım indirilmeden önce ESET veya BitDefender antivirüs yazılımının yüklü olup olmadığını da kontrol ediyor. Araştırmacılar, “Bu özellikler, bu tehditkar aktörün aslında kiralık olarak kullanılan fakat daha büyük bir operasyonun parçası olabileceğini gösteriyor. Bu saldırıların, her bir kötü amaçlı yazılım parçasının son derece benzer olması, ancak küçük değişikliklerle farklı hedefler arasında kullanılması nedeniyle profesyonelce bir araya getirilmiş bir paket olduğuna inanıyoruz” şeklinde konuştu.

Leave a Reply

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.