Kaspersky Lab, bir siber suçlunun diğerine saldırdığı nadir ve sıradışı bir siber saldırı örneğiyle karşılaştı. Çoğunlukla Asya’daki hükümet kuruluşlarını ve diplomatik kurumları hedef alan teknik açıdan sıradan özelliklere sahip küçük bir siber casusluk grubu olan Hellsing, 2014 yılında başka bir tehdit aktörü tarafından bir kimlik avı e-posta saldırısına uğradı ve misilleme yapmaya karar verdi.
Kaspersky Lab, bu olayın siber suç faaliyetlerinde yeni bir trendin ortaya çıkmasının işareti olduğuna inanıyor: APT (Gelişmiş Sürekli Tehdit) savaşları.
Bu durum, yine Asya-Pasifik bölgesindeki kuruluşları hedef alan bir siber casusluk grubu olan Naikon’un faaliyetleri ile ilgili bir araştırma sırasında Kaspersky Lab uzmanları tarafından ortaya çıkarıldı. Uzmanlar, Naikon’un hedeflediği taraflardan birinin zararlı ek içeren bir kimlik avı e-postası ile sistemlerine virüs bulaştırma girişimi olduğunu belirlediklerini fark ettiler.
Hedef taraf, göndereni e-postanın özgünlüğü konusunda sorguladıktan sonra aldığı yanıttan memnun kalmadığı için eki açmadı. Kısa bir süre sonra hedef taraf, gönderene kendi zararlı yazılımını içeren bir e-posta iletti. Bu hareket, Kaspersky Lab’ın soruşturmasını tetikleyerek Hellsing APT grubunun ortaya çıkarılmasına yol açtı.
Bu karşı atak yöntemi, Hellsing’in Naikon grubunun kim olduğunu ortaya çıkarmak ve grupla ilgili istihbarat toplamak istediğini gösteriyor.
Hellsing tehdit aktörü ile ilgili Kaspersky Lab tarafından yapılan daha derin analizler, casusluk amaçlı zararlı yazılımları birçok kurum içinde yaymak amacıyla tasarlanan zararlı ekler içeren kimlik avı e-postaları kullandıklarını ortaya koyuyor. Kurban zararlı eki açtığında sisteme, dosya indirme ve yükleme, kendisini güncelleme ve kaldırma yeteneğine sahip özel bir arka kapı ile virüs bulaşmış oluyor. Kaspersky Lab’ın gözlemlerini göre, Hellsing tarafından hedeflenen kuruluşların sayısı 20’ye yakın.
Bir çeşit vampir avcılığı
Şirketin Hellsing kötü amaçlı yazılımını tespit ederek engellediği ülkeler Malezya, Filipinler, Hindistan, Endonezya ve ABD; kurbanların çoğunun Malezya ve Filipinler’de olduğu tespit edilmiş. Saldırganların aynı zamanda hedefledikleri kuruluşların türü açısından da oldukça seçici olduğu ve çoğunlukla hükümet kuruluşları ve diplomatik kurumlara saldırdıkları görülmüş.
Kaspersky Lab Global Araştırma ve Analiz Ekibi Başkanı Costin Raiu şunları söyledi: “Naikon grubunun Hellsing tarafından bir çeşit vampir avcılığı gibi ya da “Yıldız Savaşları İmparator” tarzında hedefler alınması oldukça etkileyici. Geçmişte, kurbanların adres defterlerini çalıp ardından bu listelerin her birinde bulunan kişilere kitlesel e-posta gönderirken yanlışlıkla birbirlerine saldıran APT grupları olduğunu görmüştük. Ancak, bu saldırının hedeflemesi ve kökeni göz önüne alındığında, bunun bir APT grubu tarafından başka bir APT grubuna kasıtlı olarak yapılan bir saldırı olması daha olası görünüyor.”
Kaspersky Lab analizine göre Hellsing tehdit aktörü, en azından 2012 yılından itibaren aktif bir şekilde faaliyetlerine devam etmekte.