Son zamanlarda yapılan bir siber güvenlik soruşturması, açık kaynaklı kötü amaçlı yazılımların dağıtımı yoluyla hem İsrail hükümet kuruluşlarını hem de özel şirketleri hedef alan “Supposed Grasshopper” olarak bilinen karmaşık bir operasyonu ortaya çıkardı.
Altyapı ve araç setlerinin stratejik kullanımıyla öne çıkan Sözde Çekirge kampanyası, hedeflerine ulaşmak için kamuya açık araçlar ile özelleştirilmiş geliştirmelerin bir karışımını sergiliyor.
Supposed Grasshopper operasyonunun merkezinde, bir İsrail hükümet kuruluşuyla ilişkili olduğu iddia edilen bir komuta ve kontrol (C2) sunucusu olarak tanımlanan bir alan yer alıyor. Analistler, 2023’ün sonlarında çeşitli özel sektör kuruluşlarına uzanan bir saldırı örüntüsü gözlemlediler.
Bu saldırılar, çeşitli ve ilgisiz sektörleri kapsamasına rağmen, enfeksiyon zincirlerinin bir parçası olarak sürekli olarak iyi bilinen açık kaynaklı kötü amaçlı yazılımları kullanıyor.
Sözde Çekirge Kampanyasının Kodunu Çözmek
HarfangLab’a göre, kampanyanın ilk aşaması, özel olarak tasarlanmış WordPress web siteleri aracılığıyla kötü amaçlı yüklerin dağıtılmasını içeriyor. Bu siteler, erişildiğinde birinci aşama Nim indiricisinin kurulumunu tetikleyen Sanal Sabit Disk (VHD) görüntüleri gibi görünüşte zararsız dosyaları barındırıyor. Tehdit aktörleri tarafından tasarlanan bu indirici, kontrolleri altındaki uzak sunuculardan sonraki kötü amaçlı yazılım bileşenlerinin alınmasını ve yürütülmesini kolaylaştırır.
Saldırı kampanyasının son yükü, iki önemli açık kaynaklı projenin bir karışımından oluşuyor: Konumdan bağımsız kabuk kodu üretme çerçevesi olan Donut ve CobaltStrike gibi daha geleneksel kötü amaçlı yazılımlara uygun maliyetli bir alternatif olarak tasarlanmış Golang tabanlı bir trojan olan Sliver. Bu araçlar, saldırganlara tehlikeye atılmış sistemler üzerinde tam kontrol sağlayarak, çok çeşitli kötü amaçlı faaliyetleri uzaktan yürütmelerine olanak tanıyor.
Kampanyanın altyapısına yönelik daha detaylı inceleme, SintecMedia ve Carlsberg gibi meşru kuruluşların taklitleri de dahil olmak üzere çeşitli takma adlar altında kayıtlı alan adlarından oluşan bir ağ ortaya koyuyor. Bu alan adları, kötü amaçlı yazılım için sahneleme noktaları ve C2 sunucuları olarak hizmet ediyor ve saldırganların operasyonlarını yürütürken tanınabilir markalarla uyum sağlamak için kasıtlı bir çaba gösterdiğini gösteriyor.
Siber Güvenlikte Meşruiyet ve Jeopolitik Endişeler
Kampanyanın karmaşıklığına rağmen, gerçek amacı hakkında sorular devam ediyor. Analistler, faaliyetlerin odaklanmış ve metodik yaklaşımları nedeniyle meşru penetrasyon testi uygulamalarına atfedilebileceğini düşünüyor. Ancak, bilinen test şirketleriyle tanımlanabilir bağlantıların olmaması, kampanyanın meşruluğu ve potansiyel jeopolitik etkileri konusunda endişelere yol açıyor.
Keşif, siber güvenlikteki daha geniş zorlukları, özellikle tehdit aktörlerinin hem meşru hem de kötü amaçlı amaçlar için WordPress web siteleri gibi serbestçe erişilebilen araçları ve gerçekçi taktikleri ne kadar kolay kullanabildiklerini vurguluyor. Bu, özellikle hükümet kuruluşları ve kritik altyapı söz konusu olduğunda, penetrasyon testi taahhütlerinde artan şeffaflık ve hesap verebilirliğe yönelik devam eden ihtiyacı vurguluyor.
Siber güvenlik uzmanları, geleceğe bakıldığında benzer kampanyaların erişilebilir saldırı çerçevelerini kullanmaya devam edeceğini ve bu tür tehditleri etkili bir şekilde nitelendirme ve azaltma çabalarını karmaşıklaştıracağını öngörüyor. Bu eğilim, siber savaşın doğasını daha da vurguluyor ve giderek daha karmaşık saldırılara karşı korunmada proaktif savunma önlemlerinin kritik rolünü vurguluyor.