EclecticIQ siber güvenlik araştırmacıları, Hindistan devlet kurumlarını ve enerji şirketlerini hedef alan “FlightNight Operasyonu” adlı bir siber casusluk operasyonunu ortaya çıkardı.
Muhtemelen devlet destekli olan saldırganlar, hassas verileri çalmak için açık kaynaklı bilgi hırsızı HackBrowserData'nın değiştirilmiş bir versiyonundan yararlandı.
EclecticIQ, saldırganların popüler bir iletişim platformu olan Slack kanallarını sızma noktası olarak kullandığını tespit etti.
Bu kanallara operasyona da adını veren “FlightNight” adı verildi.
Veri İhlali:
Saldırganlar iletişim, bilgi teknolojileri ve ulusal savunmadan sorumlu çok sayıda devlet kurumuna başarıyla sızdı.
Ücretsiz CISO'nun Bir Sonraki İhlalden Kaçınma Kılavuzunu İndirin
SOC Ekibi, Ağ Güvenliği veya Güvenlik Yöneticisi veya CSO'dan mısınız? Bulut tabanlı, bütünleşik ağ güvenliğinin güvenliği nasıl iyileştirdiğini ve TCO'yu nasıl azalttığını öğrenmek için Perimeter Kılavuzunu indirin.
- Sıfır güven stratejisinin önemini anlayın
- Ağ güvenliği Kontrol Listesini tamamlayın
- Eski bir VPN'e güvenmenin neden artık geçerli bir güvenlik stratejisi olmadığını görün
- Bulut tabanlı bir ağ güvenliği çözümüne geçişin nasıl sunulacağına ilişkin öneriler alın
- Birleşik ağ güvenliğinin eski yaklaşımlara göre avantajlarını keşfedin
- Ağ güvenliğini en üst düzeye çıkaran araçları ve teknolojileri keşfedin
Perimeter 81'in bulut tabanlı, birleşik ağ güvenliği platformuyla değişen tehdit ortamına zahmetsizce uyum sağlayın.
Perimeter 81 Ücretsiz PDF Kılavuzunu İndirin
Ek olarak, mali belgeler, çalışan bilgileri ve hatta petrol ve gaz sondaj faaliyetleriyle ilgili ayrıntılar çalınarak özel enerji şirketlerinin güvenliği ihlal edildi.
8,81 GB'lık şaşırtıcı miktarda veri sızdırıldı ve potansiyel olarak gelecekteki izinsiz girişlere yardımcı oldu.
Saldırganlar, kurbanlara kötü amaçlı yazılım yüklemelerini sağlamak için bir hile kullandı.
Hindistan Hava Kuvvetleri'nden davet kılığında e-postalar gönderdiler.
Bu e-postalar, zararsız bir arşiv gibi görünen bir ISO dosyası içeriyordu.
Ancak kurban ISO dosyasını açtığında aslında PDF belgesi olarak gizlenen bir kısayol dosyasını (LNK) başlattı.
LNK dosyasına tıklamak bilmeden kötü amaçlı yazılımı etkinleştirdi.
Kötü amaçlı yazılım daha sonra gizli belgeleri, özel e-postaları ve önbelleğe alınmış web tarayıcı verilerini sızdırdı.
Kötü Amaçlı Yazılımın Çalışması:
Çalınan veriler arasında belgeler, e-postalar ve tarama geçmişi yer alıyordu.
Kötü amaçlı yazılım, çalınan verileri doğrudan saldırganlara göndermek yerine Slack adlı iletişim platformundaki kanallara yükledi.
Ağdaki normal aktivite gibi görünmesini sağlamak ve saldırganların tespit edilmekten kaçınmasına yardımcı olmak.
Saldırganlar, HackBrowserData adlı mevcut bir aracı değiştirerek belge hırsızlığı ve Slack üzerinden iletişim gibi yeni özellikler ekledi.
Kodun analizi bu değişiklikleri doğruladı.
Kötü amaçlı yazılım ayrıca geçici dosyalar için belirli bir adlandırma şeması kullandı ve verileri daha hızlı çalmak için belgeler ve veritabanları gibi belirli dosya türlerini hedef aldı.
Kurbanların Bulunması:
Kötü amaçlı yazılım, Slack kanallarına erişmek ve bunları kontrol etmek için gereken anahtarları doğrudan kodunda saklayarak büyük bir hata yaptı.
EclecticIQ araştırmacıları bu anahtarları buldu ve bunları çalınan verilerin yüklendiği Slack kanallarına erişmek için kullandı.
Bu kanallarda araştırmacılara yönelik bilgiler yer alıyordu:
- Saldırının hedefinde olan kurbanların listesi.
- Dosya yolları – çalınan verilerin kurbanın bilgisayarında tam olarak nereden geldiği.
- Zaman damgaları – verilerin çalındığı zaman.
- İndirme URL'leri – bağlantıya sahip olan herkesin çalınan verileri indirmesine olanak tanıyan benzersiz bağlantılar!
Bir diğer hata ise bağlantıyı Slack çalışma alanları üzerinden test etmekti.
Bu, araştırmacıların, Slack ekibi ve iletişim için kullanılan botlar hakkındaki ayrıntılar da dahil olmak üzere, saldırganın kurulumu hakkında daha fazla bilgi edinmesine yardımcı oldu.
Tavsiye/Azaltma
- Web tarayıcısında “beni hatırla” özelliğini devre dışı bırakın ve otomatik kullanıcı adı tamamlamayı kapatın.
- İki faktörlü kimlik doğrulama (2FA), oturum açarken şifreye ek olarak ikinci bir doğrulama kodu gerektirerek ekstra bir güvenlik katmanı ekler.
- ISO dosyalarına karşı dikkatli olun
- Komut satırı denetimi, kötü amaçlı yazılım başlatabilecek LNK dosyalarıyla ilgili şüpheli etkinliklerin izlenmesine yardımcı olabilir.
- Bilinmeyen Slack kanallarına olağandışı miktarda veri gönderilmesini izleyin.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & ikiitter.