Ünlü X-Agent çoklu platformunun Android versiyonunun, Rusya ile savaşları sırasında Ukrayna topçu birliklerini izlemek için kullanıldığı ortaya çıktı. Ordu içine yasal bir uygulama üzerinden sızan FANCY BEAR adlı hacker grubunun kullanımındaki kötü amaçlı yazılım, grubun Rusya ile irtibatlı olduğu iddialarını güçlendirmekle kalmadı. Aynı zamanda X-Agent platformunun mobil işletim sistemlerini de kapsayacak şekilde genişlediğini gösterdi.
CrowdStrike, Haziran ayında Ulusal Demokratik Komite’de (DNC) ve diğer siyasi organizasyonlarda, genel olarak X-Agent olarak tanımlanan ünlü bir sızmadan faydalanılan bir dizi ihlal girişimini tespit etti. X-Agent, uzaktan erişim araç kitine sahip olan ve şimdiye kadar Windows, iOS ve MacOS gibi işletim sistemlerinde çeşitli sürümleri tespit edilmiş, çok sayıda işletim sisteminin desteklediği bir platform. Aynı zamanda Sofacy olarak da bilinen X-Agent, yıllardır güvenlik toplulukları tarafından izleniyor.
İlgili haber >> FAmerikan seçimlerinden sonra Almanya seçimleri de hackerların hedefinde
CrowdStrike ise X-Agent’in kullanımını bizim FANCY BEAR diye bildiğimiz bir aktörle ilişkilendiriyor. FANCY BEAR (Süslü Ayı) denen bu aktör, kötü amaçlı yazılımın tek sahibi ve CrowdStrike’ın Rusya İstihbarat Servisi ile ilişkilendirdiği operasyonlar için platformu geliştirmeye devam ediyor. Bu kötü amaçlı yazılımın kaynak kodu kamu alanlarında görülmüyor ve sadece FANCY BEAR tarafından geliştirilmiş gibi duruyor.
2016 yaz aylarının sonlarına doğru CrowdStrike istihbarat analistleri, ‘Попр-Д30.apk’ (MD5: 6f7523d3019fa190499f327211e01fcb) adında tuhaf bir Android Paketini (APK) incelemeye başladı. Bu paket çok sayıda “askerî” Rusça karakter içeriyordu. İlk araştırmalar, 1960’lı yıllarda Rusya’da üretilmeye başlanan ve hâlâ kullanımda olan D-30 122mm çekili obüslerle bir bağlantısı olabileceğini gösteriyordu. Derinlemesine yapılan incelemelerde ise APK’nin, X-Agent’in Android versiyonunu içerdiğini ortaya koydu.
İlgili haber >> Ukrayna’daki elektrik kesintisi siber ajanların işi mi?
‘Попр-Д30.apk’ dosya ismi, ilk olarak Ukrayna ordusunda görevli Yaroslav Sherstuk isimli bir topçu subayı tarafından geliştirilmiş yasal bir uygulama ile bağlantılıydı. Medyada yer alan röportajlarında Sherstuk, yaklaşık 9000 kullanıcısı olduğunu belirttiği uygulamanın D-30’ların ateşlenme süresini dakikalardan saniyelere indirdiğini belirtiyordu. Uygulamanın Android uygulama mağazasında ise izine rastlanmadı, bu da uygulamanın bu platform üzerinden dağıtılmış olmasını imkânsız kılıyor.
Siber güvenlikte kamu otoritesi hangi formda kurulmalı?
— SiberBülten (@Siber_Bulten) January 2, 2017
CrowdStrike, geçtiğimiz günlerde yayınladığı istihbarat raporunda, Trojan içeren ‘Попр-Д30.apk’ uygulamasının Ukrayna ordusu tarafından kullanılmasına ve Rus kuvvetleri tarafından bu platformda verilen ölümcül tepkilere yer veriyor.
Raporda öne çıkan bazı başlıklar şöyle:
- FANCY BEAR X-Agent, 2014 – 2016 yılları arasında Ukrayna ordusunda, Ukraynalı asker Yaroslav Sherstuk’un geliştirdiği yasal bir uygulama içinde gizlice dağıtıldı.
- Orijinal uygulama, Ukrayna ordusunun elinde bulunan Rus yapımı D-30 Howitzer obüslerinin hedefleme süresini 1 dakikadan, 15 saniyenin altına indirmeye yarıyordu. Uygulama 9000 kişi tarafından kullanılıyordu.
- Bu uygulamanın için başarılı bir şekilde FANCY BEAR kötü amaçlı yazılımının yerleştirilmesi, Ukrayna askerlerine karşı izleme çalışmalarını kolaylaştırdı. Bu kötü amaçlı yazılım, etkilediği cihazların iletişim ve konum bilgilerini topluyordu. Bu da Ukrayna topçu birliklerinin nerede konuşlandığının bulunmasını kolaylaştırıyordu.
- Açık kaynaklara göre 2 yıl süren savaşta Ukrayna kuvvetleri, silahlarının yüzde 50’sini D-30 obüslerinin yüzde 80’den fazlasını kaybetti. Bu oran Ukrayna’nın sahip olduğu silahlar içindeki en yüksek rakam.
- X-Agent’in bu daha önce görülmemiş versiyonu, FANCY BEAR’ın Android ve iOS gibi platformlara kadar genişlediğini ortaya koyuyor ve Ukrayna ile giriştikleri savaşta Rusya merkezli aktörlerin gerçekleştirdikleri siber operasyonların ne kadar geniş ölçekli olduğunu ortaya koyuyor.
- Ukrayna topçu birliklerine ait bilgilerin bu şekilde toplanmış olması, CrowdStrike’ın daha önce ortaya koyduğu FANCY BEAR’ın Rusya irtibatlı olduğu ve Doğu Ukrayna ile Rusya-Ukrayna sınırındaki Rus kuvvetleri ile yakından çalıştığı tezlerini güçlendirdi.
Siber Bülten abone listesine kaydolmak için formu doldurunuz