Siber casuslar izole cihazlara sızıyor

09.10.2024 - Çarşamba 13:24

Siber güvenlik şirketi ESET Gelişmiş bir kalıcı tehdit (APT) kümesi olan GoldenJackal’ın, Ağustos 2019'dan bu yana Belarus'taki bir Güney Asya büyükelçiliğindeki izole sistemleri gaye almak için özel bir araç seti kullandığını ortaya çıkardı.  APT kümesinin Mayıs 2022 ile Mart 2024 tarihleri ortasında da  çeşitli vesilelerle  bir Avrupa Birliği ülkesindeki bir devlet kurumuna karşı epeyce modüler bir araç seti kullandığını belirledi.

 

ESET araştırmacılarıMayıs 2022'den Mart 2024'e kadar Avrupa'da gerçekleşen ve saldırganların bir Avrupa Birliği ülkesinin hükümet kuruluşunda izole sistemleri amaç alabilen bir araç seti kullandığı bir dizi atak keşfetti. ESET, kampanyayı hükümet ve diplomatik kurumları amaç alan bir siber casusluk APT kümesi olan GoldenJackal'a atfediyor. Küme tarafından kullanılan araç setini tahlil eden ESET, GoldenJackal'ın daha evvel 2019 yılında Belarus'taki bir Güney Asya büyükelçiliğine karşı gerçekleştirdiği ve büyükelçiliğin rastgele bir ağa bağlı olmayan sistemlerini özel araçlarla amaç alan bir atak tespit etti. GoldenJackal'ın en son amacının, bilhassa internete bağlı olmayabilecek yüksek profilli makinelerden bilinmeyen ve son derece hassas bilgileri çalmak olması çok olası. ESET Research, bulgularını 2024 Virus Bulletin konferansında sundu.

 

Ele geçirilme riskini en aza indirmek için son derece hassas ağlar çoklukla hava boşlukludur ve öteki ağlardan izole edilmiştir. Kuruluşlar çoklukla oylama sistemleri ve elektrik şebekelerini çalıştıran endüstriyel denetim sistemleri üzere en pahalı sistemlerini izole hale getirir. Bunlar çoklukla saldırganların tam olarak ilgilendiği ağlardır. İzole bir ağı tehlikeye atmak, internete bağlı bir sistemi ihlal etmekten çok daha ağır kaynak gerektirir; bu da bu ağlara saldırmak için tasarlanmış araçların şimdiye kadar sadece APT kümeleri tarafından geliştirildiği manasına gelir. Bu cins hücumların gayesi her vakit casusluktur.

 

GoldenJackal'ın araç setini tahlil eden ESET araştırmacısı Matías Porolli "Mayıs 2022'de, rastgele bir APT kümesiyle ilişkilendiremediğimiz bir araç seti keşfettik. Fakat saldırganlar halihazırda kamuya açık olarak belgelenmiş olanlardan birine benzeri bir araç kullandığında daha derine inebildik. GoldenJackal'ın kamuya açık olarak belgelenmiş araç seti ile bu yeni araç seti ortasında bir temas bulabildik. Buradan yola çıkarak, kamuya açık olarak belgelenen araç setinin kullanıldığı daha evvelki bir atağın yanı sıra izole sistemleri maksat alma kapasitesine sahip daha eski bir araç setini de tespit etmeyi başardık." dedi.

 

GoldenJackal Avrupa, Orta Doğu ve Güney Asya'daki devlet kurumlarını maksat alıyor. ESET, GoldenJackal araçlarını Ağustos ve Eylül 2019'da ve yeniden Temmuz 2021'de Belarus'taki bir Güney Asya büyükelçiliğinde tespit etti. ESET telemetrisine nazaran daha yakın vakitte, Avrupa'daki diğer bir devlet kuruluşu Mayıs 2022'den Mart 2024'e kadar tekraren maksat alındı.

 

Karmaşıklık düzeyi göz önüne alındığında GoldenJackal'ın beş yıl içinde izole sistemleri tehlikeye atmak için tasarlanmış bir değil iki başka araç setini dağıtmayı başarması hayli sıra dışıdır. Bu da kümenin ne kadar mahir olduğunu gösteriyor. Belarus'taki bir Güney Asya büyükelçiliğine yönelik akınlarda, şimdiye kadar yalnızca bu örnekte gördüğümüz özel araçlar kullanıldı. Kampanyada üç ana bileşen kullanıldı: USB izleme yoluyla yürütülebilir evrakları izole sisteme ileten GoldenDealer, çeşitli fonksiyonlara sahip modüler bir art kapı olan GoldenHowl ve bir belge toplayıcı ve dışarı sızıcı olan GoldenRobo.

 

"Bir kurban, ele geçirilmiş bir USB şoförünü izole bir sisteme taktığında ve klasör simgesine sahip lakin aslında makûs niyetli bir yürütülebilir evrak olan bir bileşene tıkladığında GoldenDealer yüklenir ve çalıştırılır, izole sistem hakkında bilgi toplamaya başlar ve bunları USB şoföründe depolar. Şoför tekrar internete bağlı bilgisayara takıldığında GoldenDealer USB şoföründen ağdan izole bilgisayar hakkındaki bilgileri alır ve C&C sunucusuna gönderir. Sunucu, izole bilgisayarda çalıştırılacak bir yahut daha fazla yürütülebilir belgeyle karşılık verir. Son olarak, şoför tekrar izole PC'ye takıldığında GoldenDealer şoförden yürütülebilir evrakları alır ve çalıştırır. GoldenDealer esasen çalıştığı için kullanıcı etkileşimine gerek yoktur" diye açıklıyor Porolli.

 

GoldenJackal, Avrupa Birliği'ndeki bir devlet kurumuna karşı gerçekleştirdiği son hücum serisinde, yepyeni araç setinden yeni ve son derece modüler bir araç setine geçmiş durumda. Bu modüler yaklaşım sırf makus hedefli araçlara değil tıpkı vakitte ele geçirilen sistem içindeki mağdur ana bilgisayarların rollerine de uygulanmış; öbür şeylerin yanı sıra farklı, muhtemelen bilinmeyen bilgileri toplamak ve işlemek, evrakları, yapılandırmaları ve komutları öteki sistemlere dağıtmak ve belgeleri dışarı sızdırmak için kullanılmışlardır.

Kaynak: (BYZHA) Beyaz Haber Ajansı