Telekomünikasyon şirketleri, verilerini ve ağlarını korumaları gereken gelişmiş kalıcı tehdit (APT) aktörlerinin zaten uzun olan listesine bir tane daha gelişmiş rakip ekleyebilir.
Yeni tehdit, ağustos ayında serap gibi ortaya çıkan ve Lua programlama dili için yüksek performanslı, tam zamanında derleyici olan LuaJIT’i kullanarak yeni bir arka kapı dağıtan, kökeni bilinmeyen bir grup olan “Sandman”dir.
SentinelOne’daki araştırmacılar, Orta Doğu, Batı Avrupa ve Güney Asya’daki telekomünikasyon şirketlerine yapılan saldırılarda arka kapıyı “LuaDream” olarak gözlemlediler. Analizleri, kötü amaçlı yazılımın, sistem ve kullanıcı bilgilerini çalmak, gelecekteki saldırılara olanak sağlamak ve kötü amaçlı yazılımın yeteneklerini genişleten saldırgan tarafından sağlanan eklentileri yönetmek için bir dizi işleve sahip oldukça modüler olduğunu gösterdi.
SentinelOne araştırmacısı Aleksandar Milenkoski, şirketin bu hafta LABScon konferansında sunduğu bir makalede, “Şu anda güvenilir bir atıf anlayışı yok” dedi. “Mevcut veriler, farklı coğrafi bölgelerdeki telekomünikasyon sağlayıcılarını hedeflemeye güçlü bir şekilde odaklanan bir siber casusluk düşmanına işaret ediyor.”
Popüler Bir Hedef
Telekom şirketleri, özellikle devlet destekli olanlar olmak üzere, tehdit aktörlerinin uzun süredir popüler bir hedefi olmuştur — insanları gözetlemek ve geniş çaplı siber casusluk yapmak için sağladıkları fırsatlar nedeniyle. Çağrı verileri kayıtları, mobil abone kimlik verileri ve operatör ağlarından gelen meta veriler, saldırganlara bireyleri ve ilgi gruplarını çok etkili bir şekilde izlemenin bir yolunu verebilir. Bu saldırıları gerçekleştiren grupların birçoğu Çin, İran ve Türkiye gibi ülkelerde bulunuyor.
Son zamanlarda, iki faktörlü kimlik doğrulama için telefonların kullanılması, çevrimiçi hesaplara sızmak isteyen saldırganlara telekom şirketlerinin peşine düşmeleri için başka bir neden verdi. Bu saldırılardan bazıları, büyük ölçekte SIM değiştirme (başka bir kişinin telefon numarasını saldırganın kontrolündeki bir cihaza taşıma) gerçekleştirmek için operatör ağlarına girmeyi içeriyordu.
Sandman’in ana kötü amaçlı yazılımı LuaDream, 34 farklı bileşen içerir ve komuta ve kontrol (C2) için birden fazla protokolü destekler; bu da önemli ölçekte bir operasyona işaret eder. Milenkoski kayıt edilmiş.
Meraklı Bir Seçim
Bileşenlerin on üçü, kötü amaçlı yazılım başlatma, C2 iletişimleri, eklenti yönetimi ve kullanıcı ve sistem bilgilerinin sızması gibi temel işlevleri destekler. Geri kalan bileşenler, Lua kitaplıklarının ve LuaDream işlemleri için Windows API’lerinin uygulanması gibi destek işlevlerini yerine getirir.
Milenkoski, kötü amaçlı yazılımın dikkate değer yönlerinden birinin LuaJIT kullanması olduğunu belirtti. LuaJIT genellikle geliştiricilerin oyun uygulamaları ve diğer özel uygulamalar ve kullanım durumları bağlamında kullandıkları bir şeydir. “Son derece modüler, Lua kullanan kötü amaçlı yazılım nispeten nadir görülen bir durum; Project Sauron siber casusluk platformu da nadir görülen örneklerden biri” dedi. Ayrıca, APT kötü amaçlı yazılımlarında kullanılmasının, üçüncü taraf bir güvenlik sağlayıcısının kampanyaya dahil olma ihtimaline işaret ettiğini de belirtti.
SentinelOne’ın analizi, tehdit aktörünün hedef ağa erişim sağlamasının ardından dikkat edilmesi gereken en önemli noktanın dikkat çekmemek ve mümkün olduğunca göze çarpmamak olduğunu gösterdi. Grup başlangıçta idari kimlik bilgilerini çalıyor ve özellikle yönetici pozisyonlarındaki bireylere atanmış olan, özel olarak hedeflenen iş istasyonlarına sızmak amacıyla ele geçirilen ağ üzerinde sessizce keşif yapıyor. SentinelOne araştırmacıları, tehdit aktörünün, tespit edilmeyi en aza indirmek için uç nokta saldırıları arasında ortalama beş günlük bir boşluk bıraktığını gözlemledi. Milenkoski, bir sonraki adımın genellikle Sandman oyuncularının LuaDream’i yüklemek ve yürütmek için klasörleri ve dosyaları dağıtmasını içerdiğini söyledi.
LuaDream’in özellikleri, Kaspersky’deki araştırmacıların bu yılın başlarında Pakistan devlet kurumunu hedef alan bir kampanyada kullanıldığını gözlemlediği DreamLand adlı başka bir kötü amaçlı yazılım aracının bir çeşidi olduğunu gösteriyor. Milenkoski, LuaDream gibi, Kaspersky’nin keşfettiği kötü amaçlı yazılımın da oldukça modüler olduğunu, çünkü Lua’yı JIT derleyicisiyle birlikte kullanarak kodu tespit edilmesi zor bir şekilde yürütmek için kullandığını söyledi. O dönemde Kaspersky, kötü amaçlı yazılımı, Sauron Projesi ve Hayvan Çiftliği adlı başka bir eski kampanyadan bu yana Lua’yı kullanan bir APT aktörünün ilk örneği olarak tanımlamıştı.