Evil Corp adıyla bilinen ünlü siber suç örgütünün Rus istihbarat teşkilatı adına siber casusluk faaliyetleri yürütüyor olabileceği ortaya çıktı
Siber güvenlik danışmanlık şirketi Truesec’e göre, 2009’dan bu yana faaliyetlerini sürdüren ve TA505 adıyla da bilinen hacker grubu, Dridex bankacılık trojanı kullanımının yanı sıra Locky, Bart, Jaff, BitPaymer ve yeni yakın zamanda da WastedLocker ve Hades gibi fidye yazılımı aileleri ile de gündeme geliyor.
Evil Corp’un, 2019 yılında Amerika Birleşik Devletleri tarafından haklarında dava açılan Maksim Yakubets ve Igor Turashev isimli iki Rus tarafından yönetildiği iddia ediliyor. Yakubets hakkındaki iddianamede, kötü amaçlı finansal yazılım yaymanın ve on milyonlarca dolarlık zarara sebep olmanın yanı sıra, en iyi ihtimalle 2017’den bu yana Rus istihbaratı için çalıştığı öne sürülüyor.
Truesec güvenlik yetkililerinin ortaya çıkardığı yeni bulgular, siber suç örgütü ile Kremlin arasında yakın bir ilişki olduğu savını doğrulamanın ötesinde Evil Corp’un fidye yazılımı saldırılarını gerçek niyetlerini gizlemek amacıyla kullanan bir siber casusluk grubuna dönüşmüş olabileceği iddiasını öne sürüyor.
Evil Corp’un dâhil olduğu bir fidye yazılımı olayının analizi, daha önce SolarWinds saldırısıyla ilişkilendirilen siber casusluk grubu SilverFish ile ilişkili araçların, tekniklerin ve prosedürlerin kullanıldığını ortaya çıkardı.
Truesec’in ortaya çıkardığı bilgilere göre, bir ‘drive-by’ indirmesiyle başlayan saldırı, saldırganlara kurbanın cihazının tam kontrolünü sağlayan bir izinsiz erişim geçişi kurulmasına yol açtı. Saldırının ikinci aşamasında ise dakikalar içerisinde Cobalt Strike yüklemesi gerçekleştirildi.
SİBER CASUSLAR YAYGIN ZAFİYETLERİ KULLANDILAR
Ağ keşfi dakikalar sonra başladı ve düşman “ilk ihlalden sonraki dört saat içerisinde tam altyapı güvenliğini sağladı”. Truesec, saldırının bir parçası olarak yaygın zafiyetlerden yararlanıldığını ve manuel operasyonların ilk tehlikeden birkaç dakika sonra başlatıldığını belirtiyor. Siber güvenlik şirketi, saldırı vektörünün bir ‘drive-by’ saldırısı olduğunun altını çizerek bu durumun ‘dikkat çekici’ olduğunu kaydediyor.
Düşman saatler içinde Aktif Rehber erişiminden yararlanabilmiş olsa da, iç keşif ve veri keşfi ancak bir hafta sonra başladı. Bu aşamada, tehdit aktörü güvenlik yazılımını kaldırdı ve WastedLocker fidye yazılımı ilk uzlaşmadan ancak bir ay sonra dağıtıldı.
Rusyanın hacking operasyonlarına yön veren gizemli şirket: Positive Technologies
Truesec’in raporundaki bilgilere göre, “Son iki hafta boyunca tehdit aktörü, keşif sürecini ağ paylaşımlarından, kullanıcı profillerinden, BT yöneticilerinin tarayıcı geçmişinden, bulut tabanlı posta kutularından ve sonuç olarak tespit edilen kimlik bilgileri ile kullanımda olan bulut tabanlı yedeklemelerin konumlarından düzenli olarak veri toplamaya yoğunlaştırdı. Daha sonra bunlar silindi.”
FİDYE ÖDEMEYE ZORLAMAK İÇİN FAZLA UĞRAŞMADILAR
Saldırının arkasındaki aktör, SilverFish grubunun operasyonlarıyla ilişkili istihbarat firması PRODAFT’ı tehdit eden aynı Cobalt Strike işaretçisini kullandı. Bu durum, ‘drive-by’ indirmesi ve SolarWinds ihlali gibi farklı saldırı vektörlerinin kullanılmasına rağmen aynı düşmanın her ikisinde de dahli olduğunu düşündürüyor.
Truesec’in siber güvenlik uzmanları, Evil Corp’un Rus istihbaratıyla arasındaki yakın bağlarının sonucu olarak tecrübeli tehdit aktörünün finansal motivasyonla hareket eden bir siber suç örgütünden siber casusluk grubuna dönüşmüş olabileceğini düşünüyor. Rapora göre her ne kadar söz konusu grup saldırılarda fidye yazılımı kullanmaya devam etse de, artık maddi kazanç motivasyonu taşıdığı işaretini vermiyor ve diğer fidye yazılımı operatörlerinin aksine kurbanları fidye ödemeye zorlamak için pek çaba göstermiyor.
Truesec raporu şu yorumu yapıyor: “WastedLocker/Hades fidye yazılımı kampanyalarının tamamının, bir siber casusluk savaşını kamufle etmek için yürütülmüş olması mümkün. Fidye alma konusunda umursamaz görünmelerinin önemsediklerinin bu olmaması olabilir. Sadece bu imajı korumaları gerekiyor.”
