Hindistan Hava Kuvvetlerini hedef alan karmaşık bir siber casusluk saldırısı gün ışığına çıktı. Hindistan Hava Kuvvetlerine yapılan siber saldırı, hassas bilgileri gizlice çıkarmak için tasarlanmış kötü şöhretli Go Stealer yazılımının bir çeşidini içeriyor.
Kurnazca “SU-30_Aircraft_Procurement” adlı bir ZIP dosyası aracılığıyla dağıtılan kötü amaçlı yazılım, en son savunma satın alma duyurularından, özellikle de Eylül 2023’te Hindistan Savunma Bakanlığı tarafından 12 Su-30 MKI savaş uçağının onaylanmasından yararlanıyor.
Hindistan Hava Kuvvetlerine siber saldırı
Cyble Research and Intelligence Labs’a (CRIL) göre, bu siber tehdidin işleyiş tarzı, dikkatlice planlanmış bir dizi adımla ortaya çıkıyor. Saldırganlar, yanıltıcı ZIP dosyasını barındırmak için Oshi adında anonim bir dosya depolama platformu kullanıyor ve dosyayı kritik savunma belgeleri gibi gösteriyor. Bağlantı, “hxxps://oshi[.]at/ougg” muhtemelen spam e-postalar veya diğer iletişim kanalları aracılığıyla dolaşıyor.
Bulaşma sırası, ZIP dosyasından ISO dosyasına, ardından .lnk dosyasına ilerlemeyi ve Go Stealer yükünün dağıtımıyla sonuçlanan süreci içerir. Saldırganlar, Hindistan Hava Kuvvetleri profesyonellerini farkında olmadan kötü amaçlı yazılımı tetiklemeye ikna etmek için savunma tedariki etrafındaki artan gerilimi stratejik olarak kullanıyor.
Go Stealer’ın Teknik Analizi
Tanımlanan Go Stealer çeşidi, GitHub muadilinden farklı olarak, tehdit seviyesini yükselten gelişmiş özelliklere sahiptir. Go programlama dilinde kodlanmıştır ve temelini GitHub’da bulunan açık kaynaklı bir Go Stealer’dan devralır. Ancak bu varyant, tarayıcı hedefleme için genişletilmiş kapsam ve Slack aracılığıyla yeni bir veri sızdırma yöntemi de dahil olmak üzere geliştirmeler sunuyor.
Çalıcı, yürütmenin ardından, derinlemesine analiz için GoReSym gibi GoLang araçlarını kullanarak kurbanın sisteminde bir günlük dosyası oluşturur. Kötü amaçlı yazılım, Google Chrome, Edge ve Brave gibi belirli internet tarayıcılarından oturum açma kimlik bilgilerini ve çerezleri çıkarmak için titizlikle tasarlanmıştır.
Hedeflenen yaklaşım, Hindistan Hava Kuvvetleri profesyonellerinden kesin ve hassas bilgiler toplamaya yönelik stratejik bir niyeti ifade eder.
Veri Sızıntısı ve Gizli İletişim
Geleneksel bilgi hırsızlarından farklı olarak bu varyant, gizli iletişimler için Slack API’sinden yararlanarak daha fazla gelişmişlik sergiliyor. İletişim kanalı olarak Slack’in seçilmesi, platformun kurumsal ağlardaki yaygın kullanımıyla uyumlu olup, kötü amaçlı etkinliklerin normal iş trafiğine sorunsuz bir şekilde karışmasını sağlar.
Go Stealer çeşidi, çalınan verileri saldırganın Slack kanalına yüklemek için özel olarak tasarlanmış “main_Vulpx” adlı bir işlevi sunar. Taktiklerdeki bu evrim, tehdit aktörlerinin iletişimi sürdürmesine ve çalınan verileri gizlice almasına olanak tanıyor.
“SU-30_Aircraft_Procurement” adlı aldatıcı ZIP dosyası aracılığıyla yayılan, kimliği tespit edilen Go Stealer, Hindistan Savunma Personeli için büyük bir tehdit oluşturuyor.
Saldırının zamanlamasının Hindistan Hükümeti’nin Su-30 MKI savaş uçağı alımına ilişkin açıklamasıyla örtüşmesi, hedefli saldırılar veya casusluk faaliyetlerine ilişkin endişeleri artırıyor.
Go Stealer’ın bu çeşidi, GitHub muadilinde gözlemlenmeyen bir düzeyde gelişmişlik sergiliyor; genişletilmiş tarayıcı hedefleme yeteneklerine sahip ve veri sızdırma için Slack’ten yararlanıyor.
Tarayıcılardan oturum açma kimlik bilgilerinin ve çerezlerin seçici bir şekilde toplanmasına yönelik stratejik odaklanma, tehdit aktörünün Hint Hava Kuvvetleri profesyonellerinden kesin ve hassas bilgiler edinme niyetini vurgulamaktadır.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.