ABD, Avrupa, Türkiye ve Hindistan’daki kuruluşlara ait sistemlere inen yeni bir kötü amaçlı yazılım türü, İran’ın devlet destekli siber tehdit gruplarının son yıllarda cephaneliklerini nasıl sistematik olarak modernleştirdiğine dair bir başka gösterge sağladı.
“BellaCiao” olarak adlandırılan kötü amaçlı yazılım, İran’ın Charming Kitten gelişmiş kalıcı tehdit (APT) grubunun son aylarda hedef sistemlere göze çarpmayan ilk erişimi elde etmek ve sürdürmek için oldukça hedefli bir şekilde kullandığı bir damlalıktır.
Son Derece Özelleştirilmiş Bir Tehdit
Bitdefender’daki araştırmacılar, Charming Kitten ile ilişkili diğer üç yeni kötü amaçlı yazılım aracıyla ilgili etkinliği araştırırken yeni kötü amaçlı yazılımı keşfetti. Bu hafta bir blog gönderisinde özetlenen kötü amaçlı kod analizleri, onu diğer birçok kötü amaçlı yazılım örneğinden ayıran birkaç özelliği ortaya çıkardı.
Bunlardan biri, her kurbanın sisteminde sona eren damlalığın özel olarak hedeflenmiş doğasıydı. Diğeri, BellaCiao’nun komuta ve kontrol (C2) sunucusuyla benzersiz ve tespit edilmesi zor iletişim tarzıydı.
Bitdefender teknik çözümler direktörü Martin Zugec, “Topladığımız her örnek, her kurban için özel olarak oluşturuldu” diyor. Her örnek, şirketin adı, genel IP adresleri ve özel hazırlanmış alt alanlar gibi kurban kuruluşa özgü sabit kodlanmış bilgiler içerir.
Zugec, Charming Kitten’ın kötü amaçlı yazılımı kurbana özel hale getirmedeki açık niyetinin, ana sistemlere ve ağlara uyum sağlamak olduğunu söylüyor. Örneğin, kötü amaçlı yazılımın C2 ile etkileşimde kullandığı alt alanlar ve IP adresleri, kurbanın gerçek etki alanına ve genel IP adreslerine benzer. Bitdefender’ın kötü amaçlı yazılımın yapı bilgilerine ilişkin analizi, yazarlarının kurbanları bulundukları ülkeleri belirten adlarla farklı klasörlerde organize ettiğini gösterdi. Güvenlik satıcısı, Charming Kitten aktörlerinin, hedef kurban kritik olmayan bir sektörden olsa bile, BellaCiao’nun kurbanlar için optimize edilmiş sürümlerini kullandığını tespit etti.
C2 Komutlarını Almaya Eşsiz Yaklaşım
Zugec, BellaCiao’nun C2 sunucusuyla etkileşime girme ve ondan komut alma biçiminin de benzersiz olduğunu söylüyor. “İmplant ve C2 altyapısı arasındaki iletişim, DNS ad çözümlemesine dayalıdır” diye açıklıyor. İmplant ile kötü amaçlı C2 altyapısı arasında tespit edilebilen aktif bir iletişim yoktur. “[Infected hosts] İnternet sunucularından bir DNS adı çözümlemesi ister ve döndürülen IP adresinin biçimine göre hangi işlemin yapılacağına karar verir.” IP adresinin her bölümünün biçimi — veya sekizli — Zugec, kötü amaçlı yazılıma, çalınan bilgilerin nereye bırakılacağı gibi daha fazla talimat verdiğini söylüyor.
Zugec, BellaCio’nun C2 talimatını almak için DNS bilgilerini kullanma şeklini, birinin belirli bilgileri bir telefon numarası aracılığıyla başka bir kişiye nasıl iletebileceğine benzetiyor. Bir kişi telefon rehberinde belirli bir ismi aradığında, ilgili telefon numarası başka bir şeyin kodu olabilir. “Bu benzetmede, ülke kodu size yürütülecek eylemi söyleyebilir, alan kodu size kötü amaçlı yazılımın dağıtılacağını söyler ve telefon numarası onun yerleştirileceği konumu belirtir. C2 ile ajan/implant arasında hiçbir zaman doğrudan bir temas yoktur.” Yaklaşım, savunucuların aktiviteyi fark etmesini zorlaştırıyor. Zugec, “Hipotezimiz, BellaCiao’nun amacının, ilk sızma ile saldırının fiilen başlaması arasındaki dönemde tespit edilmekten kaçınmak olduğudur,” diyor.
DNS tabanlı saldırıların tamamen yeni olmadığını söyleyen Zugec, DNS tünelleme ve saldırılarda etki alanı oluşturma algoritmalarının kullanılması gibi tekniklere işaret ediyor. Ancak teknikler, bir savunucunun kötü niyetli niyeti tespit etmesini mümkün kılan DNS’nin aktif kullanımını içerir. BellaCiao ile kullanımın tamamen pasif olduğunu söylüyor.
Daha Agresif Bir Yaklaşımın Yüzü
Charming Kitten (aka APT35 ve Phosphorous), en az 2014’ten beri faaliyet gösteren, devlet destekli bir İran siber tehdit grubudur. Tehdit aktörü, devlet kurumları, gazeteciler, düşünce kuruluşları ve akademik kurumlar. Başlıca görevlerinden biri, İran hükümetini ilgilendiren kişi ve kuruluşlar hakkında bilgi toplamaktı. Güvenlik araştırmacıları ayrıca Charming Kitten’ı kimlik bilgileri toplama ve kötü amaçlı yazılım dağıtım kampanyalarıyla ilişkilendirdiler. Geçen yıl, Proofpoint grubun kinetik saldırılarda (kaçırma teşebbüsü gibi) kimlik avı tuzaklarını bile kullandığını tespit etti.
Charming Kitten, Ebrahim Raisi’nin İran cumhurbaşkanı olarak daha ılımlı olan Hassan Rouhani’nin yerini almasının ardından 2021’in ortalarından bu yana İran hükümetinin hedeflerini desteklemek için taktiklerini ve siber cephaneliklerini yükselten birkaç tehdit grubundan biri. “2021’de bir güç geçişinin ardından, [Islamic Revolutionary Guards Corps] Bitdefender bu haftaki raporunda, “ve ilişkili APT grupları daha agresif ve çatışmacı bir yaklaşım benimsedi ve hedeflerine ulaşmak için güç kullanmaya isteklilik gösterdi” dedi.
Yeni yaklaşımın bir tezahürü, İran devlet destekli aktörler ve finansal olarak motive olmuş tehdit grupları tarafından yeni ifşa edilen istismarların ve kavram kanıtı kodunun giderek daha hızlı bir şekilde silah haline getirilmesidir. Zugec, “2021’deki iktidar geçişini takiben İran devlet destekli grupların motivasyonlarını tartışmak için erken” diyor. “[But] bu gruplar saldırı stratejilerini geliştiriyor ve taktiklerini, tekniklerini ve prosedürlerini geliştiriyor.”
Fidye yazılımı saldırıları, İranlı gruplar arasında parasal kazanç sağlamak ve kesintilere neden olmak için yaygın bir yöntem olmaya devam ediyor. Ancak Bitdefender, İranlı grupların bazı kampanyalarda uzun vadeli hedefler öne süren sürekli bir katılım modelini de gözlemledi. Zugec, “Bu tehdit aktörlerinin, operasyonları için en etkili modus operandi’yi belirlemek amacıyla çeşitli teknikleri test etmek için bir deneme yanılma yaklaşımı kullanıyor olmaları oldukça olasıdır.”