Siber Savaş / Ulus Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suç, Coğrafi Odak: Asya
Açık Kaynaklı Truva Atı Uzun Vadeli Gözetim ve Veri Sızdırmayı Sağlıyor
Jayant Chakravarti (@JayJay_Tech) •
5 Eylül 2024
Güvenlik firması Cyble’ın Çarşamba günü yayınladığı rapora göre, kötü niyetli kişiler Temmuz 2023’ten bu yana üç Malezya hükümet kurumunu gözetlemek ve bu kurumlardan veri çalmak için Babylon adlı açık kaynaklı, veri çalan bir uzaktan erişim Truva atını kullanıyor.
Ayrıca bakınız: Web Semineri | 2024 Kimlik Avı İçgörüleri: 11,9 Milyon Kullanıcı Davranışının Riskiniz Hakkında Gösterdikleri
Cyble, tehdit gruplarının, yaygın olarak kullanılan uzaktan erişim Truva atını, Malezya hükümet kurumları tarafından işletilen sistemlere enjekte etmek için kötü amaçlı ISO dosyalarını kullandığını söyledi.
ISO dosyaları, verilerin aynı kopyalarını optik disklerde saklayan arşiv dosyalarıdır ve tüm işletim sistemleri de dahil olmak üzere büyük miktardaki verileri yedeklemek için kullanılabilir.
Tehdit aktörleri, kısayol LNK dosyalarını, gizlenmiş PowerShell betiklerini, gizli kötü amaçlı yürütülebilir dosyaları ve hedeflenen kişilerin çalışmalarıyla ilgili bilgileri içeren sahte belgeleri depolamak için ISO dosyalarını kullandı. Cyble, kampanyayı “Malezya’daki siyasi figürlere ve hükümet yetkililerine yönelik oldukça hedefli bir siber saldırı” olarak tanımladı.
Bir kurban PDF belgesini taklit eden LNK dosyasını açtığında, PowerShell betiği arka planda sessizce yürütülür, sahte belgeyi başlatır, kötü amaçlı yürütülebilir dosyayı bilgisayara kopyalar. %appdata% dizini ve yürütülebilir dosyanın sistem başlangıcında çalışmasını sağlamak için bir kayıt defteri girişi oluşturdu. Kötü amaçlı yürütülebilir dosya en sonunda son yükü, Babylon olarak bilinen veri çalan uzaktan erişim solucanını yürütür.
Cyble, uzaktan erişim Truva Atı’nın operatörlerinin kapsamlı gözetim ve veri sızdırma işlemlerini gerçekleştirmesini sağlamak için tasarlandığını söyledi. Şirket, “Babylon RAT, çok çeşitli kötü amaçlı işlevler sunuyor. TA’ların kurbanın makinesinin tam kontrolünü uzaktan ele geçirmesine olanak tanıyarak dosya manipülasyonu, süreç yönetimi ve komut yürütme gibi eylemleri mümkün kılıyor” dedi.
Cyble araştırmacıları, kampanyanın Temmuz 2023’te tehdit aktörlerinin iki yem dokümanı kullanmasıyla başladığını tespit etti. Bu dokümanlardan biri Malezya’daki siyasi endişelere değiniyor, diğeri ise Majlis Amanah Rakyat veya MARA adlı bir devlet kurumuyla ilgili.
Güvenlik araştırmacıları Ağustos ayında, MyKHAS sistemiyle ilgili bir tuzak belgenin saklandığı başka bir ISO dosyasına rastladılar; bu, potansiyel kurbanların platformla rutin olarak etkileşimde bulunan hükümet yetkilileri olduğunu gösteriyordu.
Cyble’ın belirli bir ulus-devlete veya gruba bağlayamadığı tehdit aktörleri, son yükü şifreledi ve yükü şifresini çözmek için Win32 şifreleme API’lerini kullandı. Babylon, yürütüldükten sonra daha fazla talimat, veri sızdırma ve yük teslimatı için bir komuta ve kontrol sunucusuyla iletişim kurar ve operatörlerinin uzun vadeli gözetim ve veri toplama yapmasını sağlar.
Devlet kurumlarını ve politikacıları hedef alan siber casusluk kampanyası, Malezya hükümetinin vatandaş odaklı hizmetlerin hızını ve kalitesini artırmak amacıyla BT altyapısını dijital olarak dönüştürme kararıyla aynı zamana denk geldi.
Hükümet yakın zamanda, etkili hizmet sunumu ve politika yapımını mümkün kılmak için tüm hükümet kaynaklarından gelen verileri entegre eden Kamuya Açık Veri Evreni veya PADU adlı merkezi bir çevrimiçi hükümet veritabanını kullanıma sundu. Veritabanının yaklaşık 29 milyon vatandaşın adını, demografik ayrıntılarını, adreslerini, gelir ayrıntılarını, banka kayıtlarını, borçlarını, mülklerini ve yatırımlarını depolaması bekleniyor.
Hükümet, çevrimiçi veritabanının kötü amaçlı saldırılara karşı güvenli ve emniyetli olduğunu söylese de, Endonezya’da son zamanlarda yaşanan ve fidye yazılımı saldırganlarının 285’e kadar bakanlık, kurum ve dairenin verilerinin bulunduğu hükümete ait bir veri merkezine girmesiyle sonuçlanan olaylar, politika yapıcıların dikkatini çekti.
Malezya hükümeti, kritik ulusal altyapılara yönelik artan siber güvenlik tehditlerine yanıt olarak Mart ayında çığır açıcı bir siber güvenlik yasası çıkardı; ancak güvenlik uzmanlarının kritik düzeyde eksikliği, düşük siber güvenlik bütçeleri ve hükümet ile özel sektör arasındaki koordinasyon eksikliği, kuruluşları karmaşık saldırılara karşı savunmasız hale getirdi (bkz.: Malezya, Gizlilik Endişeleri Artarken Siber Güvenlik Yasasını Kabul Etti).
Geçtiğimiz hafta, Bank Rakyat ve ulaşım hizmeti Prasarana da dahil olmak üzere büyük devlet ve özel kuruluşlar, veri kaybına ve operasyonel kesintilere neden olan veri güvenliği olaylarını doğruladılar.