Siber Savaş / Ulus Devlet Saldırıları , Uç Nokta Güvenliği , Dolandırıcılık Yönetimi ve Siber Suçlar
Medusa Operasyonu: FBI Aracı, Turla Group’un Kötü Amaçlı Yazılımına Kendi Kendini Yok Etme Talimatı Verdi
Mathew J. Schwartz (euroinfosec) •
9 Mayıs 2023
Federal savcılar Salı günü, Kremlin bilgisayar korsanları tarafından gizli ve hassas bilgileri çalmak için kullanılan kötü amaçlı yazılımları hedef alarak bir Rus istihbarat siber casusluk operasyonunu bozduklarını söyledi. Bozulma, Snake olarak bilinen kötü amaçlı yazılımın kendi üzerine yazmasına neden olan komutlar veren Perseus adlı bir FBI aracının uzaktan konuşlandırılmasıyla gerçekleşti.
Ayrıca bakınız: Microsoft 365 E-posta Güvenliği Altyapınızı Artırma
Bir ABD Bölge Mahkemesi yargıcı Perşembe günü FBI’a, Adalet Bakanlığı’nın “Medusa” adını verdiği bir çabanın bir parçası olarak, aracı Snake’in bulaştığı sekiz ABD sistemini hedef almak için kullanmasına yetki veren bir arama ve el koyma emri çıkardı. Yunan mitolojisinde Perseus, müstakbel kayınpederi tarafından kandırıldıktan sonra Gorgon Medusa’yı öldürdü.
FBI yeminli bir açıklamada kötü amaçlı yazılımı, güvenlik araştırmacıları tarafından “Krypton”, “Venomous Bear” ve “Waterbug” olarak da adlandırılan bir grup olan Turla olarak da bilinen Rusya Federal Güvenlik Servisi birimine bağladı.
Turla düzenli olarak hem devlet kurumlarını hem de özel sektörü hedef alıyor ve dünya çapında yüzlerce sistemden belge çaldığı biliniyor. Kurbanları arasında NATO hükümetleri, gazeteciler ve Moskova’yı ilgilendiren diğer kişiler yer alıyor.
FBI’ın New York saha ofisinden sorumlu müdür yardımcısı Michael J. Driscoll, Snake’i Rus hükümetinin “en önde gelen siber casusluk aracı” olarak tanımladı.
FBI, çoğu Snake enfeksiyonunun ana bilgisayarı Rus devlet bilgisayar korsanları tarafından kullanılan bir eşler arası ağda bir yönlendirme noktası olarak kullandığını söyledi, “güvenliği ihlal edilmiş kurbanların, Snake’in tehlikeye attığı uç noktalara yönelik şüpheli bağlantıları tanımlamasını ve engellemesini zorlaştırmak için. diğer nedenlerin yanı sıra.” FBI ayrıca, Snake’in kodunun Carbon arka kapısı da dahil olmak üzere oldukça üretken bir dizi kötü amaçlı yazılımın temeli olmasına rağmen, Kremlin bilgisayar korsanlarının Snake’i tespit olasılığını azaltmak için geniş çapta dağıtmadığını söyledi.
Avustralya, Kanada, Yeni Zelanda, Birleşik Krallık ve Birleşik Krallık’tan oluşan Five Eyes istihbarat ittifakı tarafından Salı günü yayınlanan ortak bir siber güvenlik danışmanlığına göre, Snake, bir çekirdek sürücüsü yükleyerek ve FSB bilgisayar korsanlarına rutin olarak rapor veren bir keylogger kullanarak virüslü sistemlerde kalıcılık kazanıyor. Devletler.
Danışma belgesi, “Bu P2P ağındaki birçok sistem, FSB’nin nihai hedefleri üzerindeki Snake implantlarına ve FSB’den gizli operasyonel trafiği yönlendiren röle düğümleri olarak hizmet ediyor” diyor. “Snake’in özel iletişim protokolleri, gizlilik için şifreleme ve parçalama kullanır ve algılama ve toplama çabalarını engellemek için tasarlanmıştır.”
Snake’in çekirdek bileşeni, benzersiz bir kimlik doğrulama kodu içerip içermediğini görmek için gelen internet trafiğini inceler. Bunu yaptığında, paketleri başka bir Snake düğümüne iletir. Bu müdahale yöntemi, kötü amaçlı yazılımın sıradan saldırı tespit güvenlik uygulamaları veya güvenlik duvarları tarafından tespit edilmeden iletişim kurmasını sağlar.
Snake sürümleri, Windows, Linux ve MacOS çalıştıran sistemlere bulaşır ve saldırganların ek kötü amaçlı yeteneklere sahip modülleri virüs bulaşmış uç noktalara itmesine izin verecek şekilde tasarlanmıştır. Kurbanlar kötü amaçlı yazılımı tespit ettiğinde bile, ortadan kaldırmak tarihsel olarak zor olmuştur.
Yine de DOJ, Snake’in geliştiricilerinin, kötü amaçlı yazılımı ve ilişkili altyapısını bozmanın yollarını bulmak için istismar edebildiği bazı hatalar yaptığını söyledi.
Mehtaplı Labirent, Agent.biz
Yılan operasyonları kalıcı olarak kesintiye uğrasa bile, Turla araç setini kullanmakla suçlanan grup, FBI tarafından Moonlit Maze olarak adlandırılan 1990’larda bilinen ilk siber casusluk olaylarından birine bağlı olarak siber güvenlik tarihindeki yerini çoktan sağlamlaştırdı. Daha sonra Turla, 2008’de keşfedilen ve askeri sırları başarıyla çalan ve ABD Siber Komutanlığının doğuşuna yardımcı olan kötü niyetli Agent.btz solucanını oluşturmakla suçlandı.
İstihbarat analizi başkanı John Hultquist, “Turla bir Rus siber casusluk aktörü ve takip ettiğimiz en eski izinsiz giriş gruplarından biri ve bir şekilde Kevin Mandia’nın hükümete ve savunma sanayisine müdahalelerine yanıt verdiği 1990’larda var oldu” dedi. Google’ın bir parçası olan olay müdahale şirketi Mandiant’ta.
Batılı istihbarat yetkilileri, Snake’in 2003’ün sonlarında “Uroburos” olarak geliştirilmeye başladığını ve 2004’ün başlarında çıkış yaptığını söylüyor. Yerel olarak sabah 7’den akşam 8’e kadar süren günlük operasyonlarla desteklenen Rusya’nın Ryazan kentindeki belirli bir tesise bağlı gibi göründüğünü söylüyorlar. zaman.
Hultquist, “Casusluğun klasik hedeflerinin (hükümet, ordu ve savunma sektörü) peşinden koştuğunu ve faaliyetlerinin bu hedeflere nadiren dikkat çeken güvenilir ve sessiz bir saldırı ile karakterize edildiğini” söyleyen Hultquist, grubun süregelen yenilikçiliğiyle tanındığını da sözlerine ekledi. .
İran Yaramazlığı
Turla’nın iddia edilen daha yenilikçi çabalarından biri, İranlı bir ulus devlet grubu olan OilRig – namı diğer APT34, Crambus veya Helix Kitten tarafından kullanılan saldırı araçlarını ve komuta ve kontrol sunucularını ele geçirmekti.
Rusça konuşan saldırganların çökmüş İran altyapısını kullanması, özel sektör güvenlik araştırmacılarının saldırıları önce İran’a atfetmesine neden oldu. Daha sonra, Ulusal Güvenlik Ajansı ve Birleşik Krallık Ulusal Siber Güvenlik Merkezi, Rusya’nın görünüşte bir dizi OilRig kampanyasının arkasında olduğunu belirten ortak bir uyarı yayınladı (bkz:: Turla Teardown: Neden Ulus-Devlet Saldırılarını Nitelendirin?).
Turla’nın faaliyetleri, 2013’te eski NSA yüklenicisi Edward Snowden tarafından sızdırılan Kanada’nın İletişim Güvenliği Kuruluşu tarafından 2011’de yapılan gizli bir sunumda detaylandırılmıştı.
Sunumda MAKERSMARK kod adlı Turla’nın faaliyetleri ve altyapısı “dahiler tarafından tasarlanmış, moronlar tarafından uygulanmış” olarak anlatılıyor. Turla üyelerinin saldırı altyapısını kişisel tarama için kullandığı ve grubun geliştirme ortamının “suç yazılımından etkilendiği” söyleniyor.