DOLAR 34,5467 0.18%
EURO 36,0147 -0.62%
ALTIN 3.005,411,48
BITCOIN 3400945-0.22922%
İstanbul

AZ BULUTLU

06:25

SABAHA KALAN SÜRE

Avrupalı diplomatlar siber casusların gayesinde

Avrupalı diplomatlar siber casusların gayesinde

ABONE OL
Mayıs 20, 2024 10:00
Avrupalı diplomatlar siber casusların gayesinde
0

BEĞENDİM

ABONE OL

ESET, Lunar araç setinin en az 2020’den beri kullanıldığına inanıyor. ESET araştırmacıları taktikler, teknikler ve prosedürler ile geçmiş faaliyetler ortasındaki benzerlikler göz önüne alındığında bu tehlikeleri makus şöhretli Rusya’ya bağlı siber casusluk kümesi Turla’ya atfediyor. Kampanyanın gayesi siber casusluk. 

 

Tanımlanamayan bir sunucuda konuşlandırılan ve bir evrakın şifresini çözüp yük yükleyen bir yükleyicinin ESET Research tarafından tespit edilmesiyle süreç başladı. Bu, ESET araştırmacılarını, ESET’in LunarWeb ismini verdiği, daha evvel bilinmeyen bir art kapının keşfine götürdü. Daha sonra, diplomatik bir misyonda konuşlandırılmış LunarWeb ile misal bir zincir tespit edildi. Saldırganın, komuta ve denetim (C&C) bağlantısı için farklı bir usul kullanan ve ESET’in LunarMail olarak isimlendirdiği ikinci bir art kapıya da yer vermesi dikkat çekti. Diğer bir hücum sırasında ESET, LunarWeb’li bir zincirin, bir Avrupa ülkesinin Orta Doğu’daki üç diplomatik misyonunda, birbirlerinden birkaç dakika içinde eşzamanlı olarak konuşlandırıldığını gözlemledi. Saldırgan muhtemelen dışişleri bakanlığının tesir alanı denetleyicisine evvelden erişmiş ve bunu tıpkı ağdaki ilgili kurumların makinelerine yanal hareket için kullanmıştı.

Sunucularda konuşlandırılan LunarWeb, C&C irtibatları için HTTP(S) kullanır ve legal istekleri taklit ederken iş istasyonlarında konuşlandırılan LunarMail, bir Outlook eklentisi olarak varlığını sürdürür ve C&C bağlantıları için e-posta bildirilerini kullanır. Her iki art kapı da tespit edilmekten kaçınmak için komutların manzaralara gizlendiği bir teknik olan steganografi kullanmakta. Yükleyicileri, saldırganlar tarafından kullanılan gelişmiş teknikleri gösteren truva atı haline getirilmiş açık kaynaklı yazılımlar da dahil olmak üzere çeşitli biçimlerde bulunabilir.

 

Lunar araç setini keşfeden ESET araştırmacısı Filip Jurčacko “Ele geçirmelerde farklı gelişmişlik dereceleri gözlemledik. Örneğin, güvenlik yazılımı tarafından taranmayı önlemek için ele geçirilen sunucuya dikkatli heyetim, kodlama yanılgıları ve art kapıların farklı kodlama tarzları ile tezat oluşturuyor. Bu durum, bu araçların geliştirilmesi ve çalıştırılmasında muhtemelen birden fazla kişinin yer aldığını gösteriyor.” dedi.

 

Kurtarılan heyetimle ilgili bileşenler ve saldırgan aktifliği, muhtemel birinci tehlikenin, spearphishing ve yanlış yapılandırılmış ağ ve uygulama izleme yazılımı Zabbix’in berbata kullanılması yoluyla gerçekleştiğini gösteriyor. Ayrıyeten saldırgan esasen ağ erişimine sahipti, yanal hareket için çalıntı kimlik bilgilerini kullandı ve kuşku uyandırmadan sunucuyu tehlikeye atmak için dikkatli adımlar attı. Öbür bir tehlikede, araştırmacılar, muhtemelen bir spearphishing e-postasından gelen eski bir makus maksatlı Word evrakı buldular.  LunarWeb, bilgisayar ve işletim sistemi bilgileri, çalışan süreçlerin listesi, hizmetlerin listesi ve yüklü güvenlik eserlerinin listesi üzere bilgileri toplar ve sistemden dışarı sızdırır.  LunarWeb, belge ve süreç süreçleri ve kabuk komutlarının çalıştırılması dahil olmak üzere yaygın art kapı yeteneklerini takviyeler. Birinci çalıştırmada, LunarMail art kapısı alıcıların gönderilen e-posta bildirilerinden (e-posta adresleri) bilgi toplar. Komut yetenekleri açısından LunarMail daha kolaydır ve LunarWeb’de bulunan komutların bir alt kümesini içerir. Bir belge yazabilir, yeni bir süreç oluşturabilir, ekran manzarası alabilir ve C&C bağlantı e-posta adresini değiştirebilir. Her iki art kapı da Lua komut evraklarını çalıştırabilme üzere sıra dışı bir yeteneğe sahiptir.

Snake olarak da bilinen Cinsle en az 2004’ten beri etkin, hatta muhtemelen 1990’ların sonlarına kadar uzanıyor. Rus FSB’sinin bir modülü olduğuna inanılan Çeşitle, çoğunlukla Avrupa, Orta Asya ve Orta Doğu’daki hükümetler ve diplomatik kuruluşlar üzere yüksek profilli kurumları amaç almakta. Küme, 2008’de ABD Savunma Bakanlığı ve 2014’te İsviçreli savunma şirketi RUAG da dahil olmak üzere büyük kuruluşlara sızmakla ünlü. 

Kaynak: (BYZHA) Beyaz Haber Ajansı

En az 10 karakter gerekli


HIZLI YORUM YAP
300x250r
300x250r

Veri politikasındaki amaçlarla sınırlı ve mevzuata uygun şekilde çerez konumlandırmaktayız. Detaylar için veri politikamızı inceleyebilirsiniz.