Bugün, siber güvenlik firması Mandiant, Turla’nın bilgisayar korsanlarının – Rusya’nın FSB istihbarat teşkilatının hizmetinde çalıştığına inanılan – yaklaşık on yıllık siber suçluların süresi dolmuş alan adlarını kaydederek kurban ağlarına erişim elde ettikleri bir olay bulduğunu açıkladı. virüs bulaşmış USB sürücüler aracılığıyla yayılan kötü amaçlı yazılım. Sonuç olarak Turla, münzevi yengeç tarzı kötü amaçlı yazılım için komuta ve kontrol sunucularını ele geçirebildi ve casusluk hedeflemesine layık olanları bulmak için kurbanlarını gözden geçirdi.
Bu kaçırma tekniği, Turla’nın geniş bir ağ koleksiyonunu tararken diğer bilgisayar korsanlarının ayak izlerinin içinde saklanarak fark edilmeden kalmasına izin vermek için tasarlanmış gibi görünüyor. Mandiant’ta istihbarat analizine liderlik eden John Hultquist, Rus grubun yöntemlerinin son on buçuk yılda nasıl geliştiğini ve çok daha karmaşık hale geldiğini gösteriyor. “Kötü amaçlı yazılım zaten USB yoluyla çoğaldığından, Turla kendini ifşa etmeden bundan yararlanabilir. Hultquist, agent.btz gibi kendi USB araçlarını kullanmak yerine başka birinin USB araçlarını kullanabilirler” diyor. “Başkalarının operasyonlarını sırtlıyorlar. Bu, iş yapmanın gerçekten akıllıca bir yolu.”
Mandiant’ın Turla’nın yeni tekniğini keşfi ilk olarak geçen yılın Eylül ayında, şirketin olay müdahale ekiplerinin geçen Şubat ayında Rusya’nın feci işgalinden sonra tüm Kremlin istihbarat servislerinin birincil odak noktası haline gelen Ukrayna’da bir ağda ilginç bir ihlal bulmasıyla gün ışığına çıktı. Birisi bağlantı noktalarından birine bir USB sürücü taktıktan ve sürücüdeki bir klasör kılığına girmiş kötü amaçlı bir dosyayı çift tıklatarak Andromeda adlı bir kötü amaçlı yazılım parçası yükledikten sonra bu ağdaki birkaç bilgisayara virüs bulaşmıştı.
Andromeda, siber suçluların 2013’ten beri kurbanların kimlik bilgilerini çalmak için kullandıkları nispeten yaygın bir bankacılık truva atı. Ancak, virüslü makinelerden birinde, Mandiant’ın analistleri, Andromeda örneğinin daha ilginç iki kötü amaçlı yazılım parçası daha indirdiğini gördü. İlki, Kopiluwak adlı bir keşif aracı daha önce Turla tarafından kullanılmıştı; Quietcanary olarak bilinen ve hedef bilgisayardan dikkatle seçilmiş verileri sıkıştıran ve sifonlayan bir arka kapı olan ikinci kötü amaçlı yazılım parçası, geçmişte yalnızca Turla tarafından kullanıldı. Mandiant tehdit istihbaratı analisti Gabby Roncone, “Bu bizim için kırmızı bir bayraktı” diyor.
Mandiant, bu bulaşma zincirini başlatan Andromeda kötü amaçlı yazılımı için komut ve kontrol sunucularına baktığında, analistleri Andromeda örneğini kontrol etmek için kullanılan etki alanının (adı antivirüs endüstrisinin kaba bir alay hareketiydi) aslında süresinin dolduğunu ve 2022’nin başlarında yeniden kaydedildi. Diğer Andromeda örneklerine ve bunların komuta ve kontrol alanlarına bakan Mandiant, süresi dolmuş en az iki alanın daha kaydedildiğini gördü. Toplamda, yüzlerce Andromeda enfeksiyonuyla bağlantılı bu alanlar, Turla’nın casusluk yapmaya değer konuları bulmak için hepsini ayıklayabildiği.