Categories: Teknoloji

Avrupalı diplomatlar siber casusların hedefinde

ESET, Lunar araç setinin en az 2020’den beri kullanıldığına inanıyor. ESET araştırmacıları taktikler, teknikler ve prosedürler ile geçmiş faaliyetler arasındaki benzerlikler göz önüne alındığında bu tehlikeleri kötü şöhretli Rusya’ya bağlı siber casusluk grubu Turla’ya atfediyor. Kampanyanın amacı siber casusluk. 

 

Tanımlanamayan bir sunucuda konuşlandırılan ve bir dosyanın şifresini çözüp yük yükleyen bir yükleyicinin ESET Research tarafından tespit edilmesiyle süreç başladı. Bu, ESET araştırmacılarını, ESET’in LunarWeb adını verdiği, daha önce bilinmeyen bir arka kapının keşfine götürdü. Daha sonra, diplomatik bir misyonda konuşlandırılmış LunarWeb ile benzer bir zincir tespit edildi. Saldırganın, komuta ve kontrol (C&C) iletişimi için farklı bir yöntem kullanan ve ESET’in LunarMail olarak adlandırdığı ikinci bir arka kapıya da yer vermesi dikkat çekti. Başka bir saldırı sırasında ESET, LunarWeb’li bir zincirin, bir Avrupa ülkesinin Orta Doğu’daki üç diplomatik misyonunda, birbirlerinden birkaç dakika içinde eşzamanlı olarak konuşlandırıldığını gözlemledi. Saldırgan muhtemelen dışişleri bakanlığının etki alanı denetleyicisine önceden erişmiş ve bunu aynı ağdaki ilgili kurumların makinelerine yanal hareket için kullanmıştı.

Sunucularda konuşlandırılan LunarWeb, C&C iletişimleri için HTTP(S) kullanır ve meşru istekleri taklit ederken iş istasyonlarında konuşlandırılan LunarMail, bir Outlook eklentisi olarak varlığını sürdürür ve C&C iletişimleri için e-posta mesajlarını kullanır. Her iki arka kapı da tespit edilmekten kaçınmak için komutların görüntülere gizlendiği bir teknik olan steganografi kullanmakta. Yükleyicileri, saldırganlar tarafından kullanılan gelişmiş teknikleri gösteren truva atı haline getirilmiş açık kaynaklı yazılımlar da dahil olmak üzere çeşitli biçimlerde bulunabilir.

 

Lunar araç setini keşfeden ESET araştırmacısı Filip Jurčacko “Ele geçirmelerde farklı gelişmişlik dereceleri gözlemledik. Örneğin, güvenlik yazılımı tarafından taranmayı önlemek için ele geçirilen sunucuya dikkatli kurulum, kodlama hataları ve arka kapıların farklı kodlama stilleri ile tezat oluşturuyor. Bu durum, bu araçların geliştirilmesi ve çalıştırılmasında muhtemelen birden fazla kişinin yer aldığını gösteriyor.” dedi.

 

Kurtarılan kurulumla ilgili bileşenler ve saldırgan etkinliği, olası ilk tehlikenin, spearphishing ve yanlış yapılandırılmış ağ ve uygulama izleme yazılımı Zabbix’in kötüye kullanılması yoluyla gerçekleştiğini gösteriyor. Ayrıca saldırgan zaten ağ erişimine sahipti, yanal hareket için çalıntı kimlik bilgilerini kullandı ve şüphe uyandırmadan sunucuyu tehlikeye atmak için dikkatli adımlar attı. Başka bir tehlikede, araştırmacılar, muhtemelen bir spearphishing e-postasından gelen eski bir kötü amaçlı Word belgesi buldular.  LunarWeb, bilgisayar ve işletim sistemi bilgileri, çalışan işlemlerin listesi, hizmetlerin listesi ve yüklü güvenlik ürünlerinin listesi gibi bilgileri toplar ve sistemden dışarı sızdırır.  LunarWeb, dosya ve süreç işlemleri ve kabuk komutlarının çalıştırılması dahil olmak üzere yaygın arka kapı yeteneklerini destekler. İlk çalıştırmada, LunarMail arka kapısı alıcıların gönderilen e-posta mesajlarından (e-posta adresleri) bilgi toplar. Komut yetenekleri açısından LunarMail daha basittir ve LunarWeb’de bulunan komutların bir alt kümesini içerir. Bir dosya yazabilir, yeni bir işlem oluşturabilir, ekran görüntüsü alabilir ve C&C iletişim e-posta adresini değiştirebilir. Her iki arka kapı da Lua komut dosyalarını çalıştırabilme gibi sıra dışı bir yeteneğe sahiptir.

Snake olarak da bilinen Turla en az 2004’ten beri aktif, hatta muhtemelen 1990’ların sonlarına kadar uzanıyor. Rus FSB’sinin bir parçası olduğuna inanılan Turla, çoğunlukla Avrupa, Orta Asya ve Orta Doğu’daki hükümetler ve diplomatik kuruluşlar gibi yüksek profilli kurumları hedef almakta. Grup, 2008’de ABD Savunma Bakanlığı ve 2014’te İsviçreli savunma şirketi RUAG da dahil olmak üzere büyük kuruluşlara sızmakla ünlü. 

Kaynak: (BYZHA) Beyaz Haber Ajansı

Recent Posts

Taksim Otelleri

Taksim, İstanbul’un kültürel ve turistik merkezlerinden biri olarak bilinir ve bu sebeple pek çok konforlu…

10 saat ago

Yılbaşı İçin Hediye Fikirleri

Yeni yıl, sevdiklerimizle geçirdiğimiz anların kıymetini bir kez daha hissettiğimiz, yeni başlangıçlara adım attığımız özel…

1 gün ago

Marka ve İletişim Konferansı için geri sayım başladı!

Markalaşma ve iletişimde geleceği yakalayın: İlham veren konferans sizi bekliyor!

4 gün ago

Girişimcilerin Büyük Hataları Etkinliği 18 Aralık’ta İKÜ’de!

Girişimcilerin Büyük Hataları etkinliği 18 Aralık'ta İstanbul Kültür Üniversitesi'nde! Kaçırmayın!

6 gün ago

Fakı Mehmet Efendi, şube sayısını 42’ye çıkardığını duyurdu

Fakı Mehmet Efendi Baklavaları, şu anda İstanbul metro istasyonlarında hizmet verdiği şube sayısını 42’ye çıkardığını…

6 gün ago

Pendik Tıkanıklık Açma ve Su Kaçağı Tespiti

Evinizde veya iş yerinizde meydana gelen tıkanıklık sorunları, günlük yaşamınızı olumsuz etkileyebilir. Pendik tıkanıklık açma…

6 gün ago