Devletlerin yeni sorunu siber casusluk

07.10.2024 - Pazartesi 11:24

Siber güvenlik şirketi ESET, Tayland'daki devlet kurumlarını gaye alan CeranaKeeper isimli yeni bir Çin kontaklı gelişmiş kalıcı tehdit (APT) kümesi keşfetti. Tayland hükümetine yönelik hücumda büyük ölçüde bilgi dışarı sızdırıldı. Küme, tespit edilmekten kaçınmak için art kapılarını daima olarak güncelliyor ve kitlesel data sızıntısına yardımcı olmak için sistemlerini çeşitlendiriyor.

 

ESET araştırmacıları, Tayland'daki devlet kurumlarına karşı 2023 yılında başlayan ve büyük ölçüde bilginin sızdırıldığı birkaç amaçlı kampanya keşfetti. Bu kampanyalarda Dropbox, PixelDrain, GitHub ve OneDrive üzere yasal evrak paylaşım hizmetleri berbata kullanıldı. Bulgulara dayanarak ESET araştırmacıları, bu aktiflik kümesini ESET'in CeranaKeeper ismini verdiği başka bir tehdit aktörünün işi olarak izlemeye karar verdi. Kümenin araçlarının kodunda "bectrl" dizesinin çok sayıda geçmesi, arıcı sözü ile arı tipi Apis Cerana yahut Asya bal arısı ortasında bir söz oyunu olan isme ilham verdi. ESET, CeranaKeeper ve Tayland'daki güvenlik açığı ile ilgili bulgularını 2024 Virus Bulletin konferansında sundu. 

 

Tayland hükümetine yönelik akınların gerisindeki tehdit aktörü CeranaKeeper, küme tarafından kullanılan çok sayıda araç ve teknik süratle gelişmeye devam ettiği için bilhassa acımasız görünüyor. Operatörler araç setlerini gerektiği üzere yine yazıyor ve tespit edilmekten kaçınmak için epeyce süratli reaksiyon veriyorlar. Bu kümenin gayesi mümkün olduğunca çok belge toplamak ve bu gayeyle makul bileşenler geliştiriyor. CeranaKeeper sızma için bulut ve evrak paylaşım hizmetlerini kullanıyor ve muhtemelen bu tanınan hizmetlere yönelik trafiğin çoğunlukla yasal görüneceği ve tespit edildiğinde engellenmesinin daha güç olacağı gerçeğine güveniyor.

 

Uzmanlar CeranaKeeper’ın (en az) 2022'nin başından beri faal olduğunu ve temel olarak Tayland, Myanmar, Filipinler, Japonya ve Tayvan üzere Asya'daki devlet kurumlarını hedeflediğini aktarıyorlar. 

 

Tayland atakları, daha evvel başka araştırmacılar tarafından Çin irtibatlı APT kümesi Mustang Panda'ya atfedilen bileşenlerin yenilenmiş sürümlerinden ve daha sonra ele geçirilen bilgisayarlarda komutları yürütmek ve hassas evrakları dışarı çıkarmak için Pastebin, Dropbox, OneDrive ve GitHub üzere hizmet sağlayıcıları berbata kullanan yeni bir araç setinden yararlandı.  Ancak taktikler, teknikler ve prosedürler, kod ve altyapı tutarsızlıklarının incelenmesi ESET'in CeranaKeeper ve MustangPanda'yı iki başka varlık olarak izlemenin gerekli olduğuna inanmasına yol açıyor. Çin'e bağlı her iki küme da ortak bir çıkar için ya da tıpkı üçüncü taraf aracılığıyla bilgi ve araç alt kümesi paylaşıyor olabilir.

 

CeranaKeeper'ı keşfeden ESET araştırmacısı Romain Dumont yaptığı açıklamada "Benzer yan yükleme maksatları ve arşiv formatı üzere faaliyetlerindeki birtakım benzerliklere karşın ESET, iki küme ortasında araç setlerindeki, altyapılarındaki, operasyonel uygulamalarındaki ve kampanyalarındaki farklılıklar üzere bariz organizasyonel ve teknik farklılıklar gözlemledi. Ayrıyeten iki kümenin misal misyonları yerine getirme biçimlerinde de farklılıklar tespit ettik" dedi.

 

CeranaKeeper muhtemelen "ısmarlama stager" (ya da TONESHELL) ismi verilen ve büyük ölçüde yan yükleme tekniğine dayanan ve ele geçirilmiş bir ağdan belge sızdırmak için makul bir komut dizisi kullanan kamuya açık bir araç seti kullanmaktadır. CeranaKeeper, operasyonlarında kümeye mahsus olduğu bilinen ve operasyonlarında kullanılan bileşenleri konuşlandırmaktadır.  Ayrıca küme, kodunda ESET'e geliştirme süreci hakkında bilgi veren kimi meta datalar bırakarak CeranaKeeper'a olan atfımızı daha da sağlamlaştırdı. 

 

Saldırganlar ayrıcalıklı erişim elde ettikten sonra TONESHELL art kapısını kurdu. Kimlik bilgilerini boşaltmak için bir araç kullandı ve makinedeki güvenlik eserlerini devre dışı bırakmak için yasal bir Avast şoförü ve özel bir uygulama kullandı. Ele geçirilen bu sunucudan, ağdaki öbür bilgisayarlara art kapılarını dağıtmak ve çalıştırmak için bir uzaktan idare konsolu kullandılar.  Grup, ağ genelinde yeni bir BAT betiği dağıttı ve Tesir Alanı Yöneticisi ayrıcalıkları elde etmek için tesir alanı denetleyicisinden yararlanarak erişimlerini başka makinelere genişletti. 

 

Tayland hükümetine yönelik atakta, saldırganlar daha evvel belgelenmemiş, özel araçları konuşlandırmak için kâfi ilgiye sahip birkaç tehlikeye atılmış bilgisayar bulmuş ve seçmiştir. Bu takviye araçları sadece evrakların halka açık depolama hizmetlerine sızmasını kolaylaştırmak için değil tıpkı vakitte alternatif art kapılar olarak da kullanıldı. Grubun kullandığı dikkate bedel tekniklerden biri, kod paylaşımı ve iş birliği için tanınan bir çevrimiçi platform olan GitHub'ın pull request ve sorun yorumu özelliklerini saklı bir aykırı kabuk oluşturmak için kullanarak GitHub’dan bir C&C sunucusu olarak faydalanmalarıdır.

Kaynak: (BYZHA) Beyaz Haber Ajansı