APT grubu DONOT olarak bilinen yeni bir hacker topluluğu, Pakistan ekonomisinin kritik sektörlerini, özellikle de denizcilik ve savunma imalat endüstrilerini hedef aldı. DONOT hacker grubu, gelişmiş kötü amaçlı yazılımlardan ve hedefli sosyal mühendislik stratejilerinden yararlanarak hassas altyapıyı başarıyla ele geçirdi.
Cyble Research and Intelligence Labs (CRIL) tarafından hazırlanan raporlara göre, APT-C-35 olarak da bilinen APT grubu DONOT, 2016 yılından bu yana faaliyet gösteriyor ve öncelikle kalıcı siber casusluk faaliyetleriyle tanınıyor. Tarihsel olarak bu hacker grubu, Güney Asya’daki ülkelere özellikle vurgu yaparak devlet kurumlarına, askeri kuruluşlara ve diplomatik misyonlara odaklandı.
Operasyonları, hedef ağlara sızmak için gelişmiş kötü amaçlı yazılımlar ve özel olarak oluşturulmuş araçlar kullanılarak yüksek düzeyde gizlilik ile karakterize edilir.
APT Grubunun Yükselişi DONOT
DONOT hacker grubu daha önce hükümet ve askeri sistemlerdeki güvenlik açıklarından yararlanarak ve genellikle ilk enfeksiyon vektörleri olarak kimlik avı e-postalarını ve kötü amaçlı ekleri kullanarak kuruluşlara saldırmıştı. Ancak bu kez odak noktaları, ülkenin denizcilik ve savunma endüstrilerini destekleyen Pakistan’ın kritik imalat sektörlerine kaydı. Bu sektörlerin hassas doğası göz önüne alındığında, saldırının hem ekonomik istikrar hem de ulusal güvenlik açısından derin etkileri var.
Cyble araştırmacılarının ilk kez bir raporda tespit ettiği son siber saldırı, Pakistan’ın savunma ve denizcilik sektörlerine ekipman sağlayan üretim tesislerini hedef alan bir kampanyaya odaklanıyor. Bu hedefe yönelik yaklaşım, DONOT hacker grubunun yalnızca sistemlere genel erişim sağlamakla değil, aynı zamanda belirli endüstriyel ve askeri istihbarat elde etmekle de ilgilendiğini gösteriyor.
Bu kampanyadaki ilk enfeksiyon vektörü, meşru bir Zengin Metin Biçimi (RTF) belgesi olarak gizlenen bir spam e-postayla gönderilen kötü amaçlı bir LNK (kısayol) dosyasıydı. Bu LNK dosyası, sanki şifrelenmiş veriler içeriyormuş gibi görünecek ve kurbanı onu açmaya teşvik edecek şekilde tasarlandı. Dosya tıklandığında, daha sonraki istismarlar için “hazırlayıcı” görevi gören bir DLL dosyası da dahil olmak üzere ek kötü amaçlı yazılım indiren birkaç PowerShell komutunu tetikledi.
Kötü amaçlı LNK dosyası yürütüldükten sonra, daha fazla veriyi indirmek ve şifresini çözmek için PowerShell komut dosyalarını kullanan bir dizi komutu etkinleştirdi. Bu yükler daha sonra ele geçirilen sisteme dağıtılarak, kötü amaçlı yazılımın virüslü makinede varlığını sürdürmesine olanak tanıyan bir dayanak oluşturuldu. Ağa erişimi sürdürmek için kötü amaçlı yazılım, yükü her beş dakikada bir yürütmek üzere bir görev planladı.
Gelişmiş Kötü Amaçlı Yazılım ve Kalıcılık Mekanizmaları
DONOT hacker grubu tarafından bu saldırıda kullanılan kötü amaçlı yazılım, geleneksel güvenlik sistemleri tarafından tespit edilmekten kaçınmak için birden fazla şifreleme tekniği kullanan oldukça gelişmiş bir yazılımdır. Grup, yeni bir Komuta ve Kontrol (C&C) sunucu iletişimi yöntemini tanıttı. Kötü amaçlı yazılım, iletişimlerini gizlemek için AES şifrelemesini ve Base64 kodlamasını kullanıyor ve bu da güvenlik yazılımının kötü amaçlı etkinlikleri tanımlamasını zorlaştırıyor.
Kötü amaçlı yazılım varlığını tespit ettikten sonra, birincil C&C sunucusuna bir POST isteği başlatarak, ele geçirilen makinenin kimliğini doğrulamak için benzersiz bir cihaz kimliği iletti. C&C sunucusu olumlu yanıt verirse, kötü amaçlı yazılım daha fazla veri indirecek, sistemi kalıcı olacak şekilde yapılandıracak ve saldırının ek aşamalarına hazırlanacak.
Kurban makine ile C&C sunucusu arasındaki iletişimi şifrelemenin yanı sıra, hacker grubu DONOT ayrıca yedek C&C sunucuları için rastgele alan adı oluşturmayı da kullandı. Bu strateji, birincil sunucu kapatılsa bile kötü amaçlı yazılımın dinamik olarak oluşturulmuş ikincil alanlar üzerinden çalışmaya devam etmesini sağlar.
Teknik Analiz: Saldırı Nasıl Gelişti?
Kötü amaçlı süreç, LNK dosyasının içine gizlenmiş bir PowerShell betiğinin çalıştırılmasıyla başlıyor. Bu komut dosyası, basit bir XOR işlemi kullanarak hem yem RTF dosyasının hem de DLL yükünün şifresini çözer. Dosyalar daha sonra kurbanın geçici dizinine çıkarılır. Çıkarmanın ardından kötü amaçlı yazılım, PowerShell komut dosyasını siler ve kurbanı daha da baştan çıkarmak için yem belgesini açar.
Yem belgesinin kendisi, Pakistan’ın önde gelen savunma müteahhitlerinden Karaçi Tersanesi ve Mühendislik İşleri (KS&EW) ile bağlantılıydı. Bu durum, saldırganın öncelikli amacının sektöre özel hedeflerden yararlanarak savunma sektörüne sızmak olduğunu gösteriyor.
DLL yürütüldükten sonra, sunucu adresleri, şifreleme anahtarları ve diğer görev parametreleri dahil olmak üzere kritik yapılandırma verilerini yerleşik bir JSON dosyasından çıkaran bir işlemi başlatır. Kötü amaçlı yazılım daha sonra bu bilgiyi C&C sunucusuyla güvenli bir şekilde iletişim kurmak için kullanır ve saldırıya nasıl devam edileceğine dair daha fazla talimat ister.
Stager kötü amaçlı yazılımı aynı zamanda “Zamanlama” adlı zamanlanmış bir görevin varlığını da kontrol eder. Bu görev yoksa, kötü amaçlı yazılım bunu oluşturarak kötü amaçlı DLL’nin her beş dakikada bir yürütülmesini sağlar ve böylece güvenliği ihlal edilen sistemin kalıcılığını korur. Bu taktik, kötü amaçlı yazılımın mümkün olduğu kadar uzun süre fark edilmeden çalışmaya devam etmesini sağlamaya yönelik daha geniş bir stratejinin parçasıdır.
Yedekleme C&C Sunucuları için Rastgele Etki Alanı Oluşturma
Bu saldırının özellikle dikkate değer bir özelliği, rastgele etki alanı oluşturmanın kullanılmasıdır. DONOT hacker grubu, C&C sunucuları için yedek alanlar oluşturarak tespit edilmekten kaçınmak için ekstra önlemler aldı. Bu alanlar, sabit kodlanmış bir değer dizisinden kelimelerin birleştirilmesi ve ardından rastgele bir üst düzey alanın (TLD) seçilmesiyle oluşturulur. Bu dinamik alan adı oluşturma yöntemi, bazı alan adları kara listede olsa bile siber güvenlik ekiplerinin C&C altyapısını kapatmasını zorlaştırıyor.
Yapılandırma dosyası ayrıca birincil C&C sunucusunun durumundaki değişikliklere yanıt olarak düzenli aralıklarla güncellenen yedek sunucu URL’lerini de içerir. Bu esneklik, bilgisayar korsanı grubunun, iletişim altyapılarındaki kesintilerden bağımsız olarak ele geçirilen sistemler üzerinde kontrol sahibi olmasını sağlar.
Yeni Şifreleme Yöntemleri ve Yük Teslimatı
Bu kampanyada, DONOT hacker grubu yük dağıtımına daha karmaşık bir yaklaşım getirdi. Şifre çözme anahtarının yapılandırma dosyasına sabit kodlandığı önceki kampanyalardan farklı olarak, bu sefer şifre çözme anahtarı ikili dosyanın içine gömüldü ve bu da analistlerin tespit etmesini zorlaştırdı.
Kötü amaçlı yazılımın ek yükleri indirme, şifresini çözme ve yürütme yeteneği, siber casusluğa daha gelişmiş ve incelikli bir yaklaşımı temsil ediyor. Yükün şifresi başarılı bir şekilde çözüldükten sonra kötü amaçlı yazılım, son yükü yürütmek için zamanlanmış bir görev oluşturur; bu görev, veri filtreleme araçlarından, ele geçirilen sistemlere uzun vadeli zarar verebilecek ek kötü amaçlı kodlara kadar değişebilir.
DONOT APT grubunun son siber saldırısı, PowerShell kullanımı, dinamik etki alanı oluşturma ve tespitten kaçınmak için gelişmiş şifreleme gibi gelişmiş yöntemleri kullanan taktiklerinde önemli bir artışa işaret ediyor. Pakistan’ın hassas denizcilik ve savunma sektörlerini hedef alan bu saldırı, bu tür sofistike grupların oluşturduğu büyüyen tehdidin altını çiziyor.
Buna karşı koymak için kuruluşların, güçlü uç nokta tespiti uygulayarak, düzenli denetimler gerçekleştirerek ve çalışanları kimlik avı girişimlerini tanıma konusunda eğiterek siber güvenlik savunmalarını güçlendirmeleri gerekir. Proaktif tehdit avcılığı ve net bir olay müdahale planı, gelecekteki saldırılara karşı savunma açısından çok önemlidir. DONOT gibi gelişmiş kalıcı tehditlerden kaynaklanan risklerin azaltılmasında dikkatli olmak ve hazırlıklı olmak kritik öneme sahiptir.
İlgili