Rus siber casusluğu Turla olarak malum öbek, 2008’de, Amerika Müdafaa Bakanlığı sistemlerine yayılan öldürücü bir fena amaçlı yazılım olan ve hiç bir şeyden habersiz Pentagon mensubu tarafınca takılan virüslü USB sürücüler vesilesiyle yaygın erişim sağlayan agent.btz’in arkasındaki bilgisayar korsanları olarak fena bir üne kavuştu. Şimdi, 15 sene sonrasında, aynı öbek bu numarada yeni bir hile deniyor benzer biçimde görünüyor: USB virüslerini ele dercetmek. öteki bilgisayar korsanları, virüs bulaşmalarına sırtını dönerek gizlice casusluk hedeflerini seçecek.
Bugün, siber emniyet şirketi Mandiant, Turla’nın bilgisayar korsanlarının – Rusya’nın FSB haber alma teşkilatının hizmetinde çalıştığına inanılan – ortalama on senelik siber suçluların süresi dolmuş alan adlarını kaydederek kurban ağlarına erişim elde ettikleri bir vaka bulduğunu ifade etti. virüs bulaşmış USB sürücüler vesilesiyle yayılan fena amaçlı yazılım. Netice olarak Turla, münzevi yengeç seçimi fena amaçlı yazılım için komuta ve denetim sunucularını ele geçirebildi ve casusluk hedeflemesine layık olanları bulmak için kurbanlarını gözden geçirdi.
Bu kaçırma tekniği, Turla’nın geniş bir ağ koleksiyonunu tararken öteki bilgisayar korsanlarının ayak izlerinin içerisinde saklanarak ayrım edilmeden kalmasına izin vermek için tasarlanmış benzer biçimde görünüyor. Mandiant’ta haber alma analizine liderlik eden John Hultquist, Rus grubun şekillerinin son on buçuk yılda iyi mi geliştiğini ve oldukca daha kompleks hale geldiğini gösteriyor. “Fena amaçlı yazılım esasen USB vesilesiyle çoğaldığından, Turla kendini ifşa etmeden bundan yararlanabilir. Hultquist, agent.btz benzer biçimde kendi USB araçlarını kullanmak yerine başka birinin USB araçlarını kullanabilirler” diyor. “Başkalarının operasyonlarını sırtlarına alıyorlar. Bu, iş yapmanın hakikaten zekice bir yolu.”
Mandiant’ın Turla’nın yeni tekniğini keşfi ilk başlarda geçen senenin Eylül ayında, firmanın vaka müdahale ekiplerinin geçen Şubat ayında Rusya’nın feci işgalinden sonrasında bütün Kremlin haber alma servislerinin birincil odak noktası haline gelen Ukrayna’da bir ağda entresan bir ihlal tespit etmesiyle gün ışığına çıktı. Birisi irtibat noktalarından birine bir USB şoför taktıktan ve sürücüdeki bir klasör kılığına girmiş fena amaçlı bir dosyayı çift tıklatarak Andromeda isimli bir fena amaçlı yazılım parçası yükledikten sonrasında bu ağdaki birkaç bilgisayara virüs bulaşmıştı.
Andromeda, siber suçluların 2013’ten beri kurbanların hüviyet bilgilerini çalmak için kullandıkları görece yaygın bir bankacılık truva atı. Sadece, virüslü makinelerden birinde, Mandiant’ın analistleri, Andromeda örneğinin daha entresan iki fena amaçlı yazılım parçası daha indirdiğini görmüş oldu. İlki, Kopiluwak isimli bir bulgu aracı daha ilkin Turla tarafınca kullanılmıştı; Quietcanary olarak malum ve hedef bilgisayardan dikkatle seçilmiş verileri sıkıştıran ve sifonlayan bir arka kapı olan ikinci fena amaçlı yazılım parçası, geçmişte yalnızca Turla tarafınca kullanıldı. Mandiant tehdit istihbaratı analisti Gabby Roncone, “Bu bizim için kırmızı bir bayraktı” diyor.
Mandiant, bu bulaşma zincirini başlatan Andromeda fena amaçlı yazılımı için buyruk ve denetim sunucularına baktığında, analistleri Andromeda örneğini denetlemek için kullanılan tesir alanının (ismi antivirüs endüstrisinin kaba bir alay hareketiydi) aslına bakarsak süresinin dolduğunu ve 2022’nin başlarında yine kaydedildi. Öteki Andromeda örneklerine ve bunların komuta ve denetim alanlarına bakan Mandiant, süresi dolmuş minimum iki alanın daha kaydedildiğini görmüş oldu. Toplamda, yüzlerce Andromeda enfeksiyonuyla bağlantılı bu alanlar, Turla’nın casusluk oluşturmaya kıymet mevzuları bulmak için hepsini ayıklayabildiği.
Add Comment