ESET, Lunar ar toksuz setinin en az 2020’den beri kullanıldığına inanıyor. ESET araştırmacıları taktikler, teknikler ve prosedürler ile geçmiş faaliyetler ortasındaki benzerlikler göz önüne alındığında bu tehlikeleri makûs şöhretli Rusya’ya bağlı siber casusluk kümesi Turla’ya atfediyor. Kampanyanın gayesi siber casusluk.
Tanımlanamayan bir sunucuda konuşlandırılan ve bir belgenin şifresini çözüp yük yükleyen bir yükleyicinin ESET Research tarafından tespit edilmesiyle süreç başladı. Bu, ESET araştırmacılarını, ESET’in LunarWeb ismini verdiği, daha evvel bilinmeyen bir art kapının keşfine götürdü. Daha tazera, diplomatik bir misyonda konuşlandırılmış LunarWeb ile emsal bir zincir tespit edildi. Saldırganın, komuta ve denetim (C&C) bağlantısı için farklı bir formül kullanan ve ESET’in LunarMail olarak isimlendirdiği ikinci bir art kapıya da yer vermesi dikkat çekti. Diğer bir akın sırasında ESET, LunarWeb’li bir zincirin, bir Avrupa ülkesinin Orta Doğu’daki üç diplomatik misyonunda, birbirlerinden birk acıkmış dakika içinde eşzamanlı olarak konuşlandırıldığını gözlemledi. Saldırgan muhtemelen dışişleri bakanlığının tesir alanı denetleyicisine evvelce erişmiş ve bunu birebir ağdaki ilgili kurumların makinelerine yanal hareket için kullanmıştı.
Sunucularda konuşlandırılan LunarWeb, C&C irtibatları için HTTP(S) kullanır ve yasal istekleri taklit ederken iş istasyonlarında konuşlandırılan LunarMail, bir Outlook eklentisi olarak varlığını sürdürür ve C&C bağlantıları için e-posta iletilerini kullanır. Her iki art kapı da tespit edilmekten kaçınmak için komutların imgelere gizlendiği bir teknik olan steganografi kullanmakta. Yükleyicileri, saldırganlar tarafından kullanılan gelişmiş teknikleri gösteren truva atı haline getirilmiş toksuzık kaynaklı yazılımlar da zekil olmak üzere çeşitli biçimlerde bulunabilir.
Lunar ar iştahlı setini keşfeden ESET araştırmacısı Filip Jurčacko “Ele geçirmelerde farklı gelişmişlik dereceleri gözlemledik. Örneğin, güvenlik yazılımı tarafından taranmayı önlemek için ele geçirilen sunucuya dikkatli suram, kodlama kusurları ve art kapıların farklı kodlama tarzları ile tezat oluşturuyor. Bu durum, bu ar aç karnınatan ölmeların geliştirilmesi ve çalıştırılmasında muhtemelen birden fazla kişinin yer aldığını gösteriyor.” dedi.
Kurtarılan heyetimle ilgili bileşenler ve saldırgan aktifliği, mümkün çağdaş tehlikenin, spearphishing ve gerçek dışı yapılandırılmış ağ ve uygulama izleme yazılımı Zabbix’in çirkinye kullanılması yoluyla gerçekleştiğini gösteriyor. Ayrıyeten saldırgan esasen ağ erişimine sahipti, yanal hareket için çalıntı kimlik bilgilerini kullandı ve kuşku uyandırmadan sunucuyu tehlikeye atmak için dikkatli adımlar attı. Diğer bir tehlikede, araştırmacılar, muhtemelen bir spearphishing e-postasından gelen eskitme bir hoşgörüsüz am iştahlılı Word evrakı buldular. LunarWeb, bilgisayar ve işletim sistemi bilgileri, çalışan süreçlerin listesi, hizmetlerin listesi ve yüklü güvenlik eserlerinin listesi üzere bilgileri toplar ve sistemden dışarı sızdırır. LunarWeb, belge ve süreç süreçleri ve kabuk komutlarının çalıştırılması zekil olmak üzere yaygın art kapı yeteneklerini takviyeler. Birinci çalıştırmada, LunarMail art kapısı alıcıların gönderilen e-posta iletilerinden (e-posta adresleri) bilgi toplar. Komut yetenekleri toksuzısından LunarMail daha basitçeçetir ve LunarWeb’de bulunan komutların bir alt kümesini içerir. Bir evrak yazabilir, taze bir süreç oluşturabilir, ekran manzarası alabilir ve C&C irtibat e-posta adresini değiştirebilir. Her iki art kapı da Lua komut belgelerini çalıştırabilme üzere sıra dışı bir yeteneğe sahiptir.
Snake olarak da bilinen Cinsle en az 2004’ten beri etkin, hatta muhtemelen 1990’ların tazelarına kadar uzanıyor. Rus FSB’sinin bir kesimi olduğuna inanılan Tıpla, çoğunlukla Avrupa, Orta Asya ve Orta Doğu’daki hükümetler ve diplomatik kuruluşlar üzere yüksek profilli kurumları maksat almakta. Küme, 2008’de ABD Savunma Bakanlığı ve 2014’te İsviçreli savunma şirketi RUAG da aydınl olmak üzere muazzam kuruluşlara sızmakla ünlü.
Kaynak: (BYZHA) Beyaz Haber Ajansı
