Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Devlet
Raporlar, Saldırılardaki Verileri Silme Girişimlerinin Başarısız Olduğunu Söylüyor
Sayın Mihir (MihirBagwe) •
5 Ocak 2024
İranlı bilgisayar korsanları, Adaletsiz Silecek ve yaygın olarak kullanılan diğer araçları kullanarak Arnavutluk Parlamentosunu hedef aldı. Saldırı, Arnavutluk’un Temmuz ayında ülkenin çevrimiçi hükümet hizmetleri portalını kesintiye uğratan siber saldırının ardından İran’la diplomatik bağlarını kesmesinden aylar sonra gerçekleşti.
Ayrıca bakınız: Savaş Sisi | Ukrayna Çatışması Siber Tehdit Ortamını Nasıl Dönüştürdü?
Araştırmacılar, bilgisayar korsanlarının PuTTY Link, Revsocks ve Windows 2000 kaynak kiti gibi keşif, yanal hareket ve bir telekomünikasyon servis sağlayıcısını hedeflemeye yardımcı olan araçları da kullandığından şüpheleniyorlar
Arnavut örgütleri Noel Günü yeni bir siber saldırı dalgasıyla karşı karşıya kaldı. En dikkat çekici olay Parlamentonun altyapısında yaşandı. Yerel medya, bilgisayar korsanlarının saldırı sırasında bir kez daha verileri silmeye çalıştığını, ancak “çabalarının sonuçta başarısız olduğunu” iddia etti (bkz: İranlı Hackerlar Arnavut Kurumlarını Engellediklerini İddia Ediyor).
İranlı ileri düzey ısrarcı tehdit aktörü Homeland Justice, saldırının sorumluluğunu üstlendi ve Telegram kanalında bir video pasajı paylaştı. İsrailli firma ClearSky Cyber Security, videoda gösterilen kod parçacıklarını bir PowerShell betiğiyle tam olarak eşleştirdi ve güvenlik ihlali göstergelerini takip etti. NACL.exe hack’te kullanılan dosya.
Keşfedildiği sırada, yalnızca iki antivirüs motoru bu dosyayı kötü amaçlı yazılım veritabanı hizmeti VirusTotal’da kötü amaçlı olarak işaretledi. Cuma 08:00 ET itibarıyla 29 satıcı bunu kötü amaçlı olarak işaretledi.
Kampanyanın ve IoC’lerinin Perşembe günü yayınlanan otopsisinde ClearSky, kampanyada kullanılan veri silicinin Adaletsiz olduğunu belirledi. Siber güvenlik firması, kampanyada iki ana aracın (silecek ve PowerShell kodu) kullanıldığını tespit etti.
Kötü amaçlı yazılım, bir kitaplığın yüklenmesi, API işlevleri için adreslerin alınması ve sonuçta bilgisayar disklerinin silinmesi gibi çeşitli eylemler gerçekleştirir.
Kötü amaçlı dosyanın benzersiz bir simgesi ve teknoloji tabanlı çağdaş değerlendirme çözümleri sağlayıcısı Attest Inspection Limited tarafından imzalanmış, hâlâ geçerli bir dijital imzası var. İlk Homeland Justice saldırısında No-Justice Wiper’ın aynı zamanda “Kuveyt Telekomünikasyon Şirketi KSC”den gelen geçerli bir dijital imzası vardı; bu, kötü amaçlı dosyaların meşru görünmesini sağlama konusunda tutarlı bir metodolojiyi gösteriyordu.
PowerShell dosyası p.ps1 Keşfedildiği sırada VirusTotal’da mevcut değildi ve halen Eset dahil yalnızca iki antivirüs motoru tarafından kötü amaçlı olarak işaretleniyor.
Bu komut dosyası bir makinenin erişilebilir olup olmadığını kontrol eder; Windows sunucuları için bir uzaktan yönetim protokolü olan WinRM’nin söz konusu makinede etkin olup olmadığını test eder ve etkin değilse etkinleştirmeye çalışır; bir PowerShell oturumu oluşturur; ve bir dosyayı hedef makineye kopyalar ve isteğe bağlı olarak çalıştırır. Betik, PowerShell betiklerinin birden fazla makinede paralel olarak çalışmasını sağlayacak şekilde yazılmıştır.
ClearSky, “PowerShell’in etki alanı denetleyicisi sunucusundan yönetici ayrıcalıklarını kullanarak çalıştığını değerlendiriyoruz” dedi. Silecek dosyası ayrıca “bilgisayarı silmek için” yükseltilmiş yönetici ayrıcalıkları gerektirir.
ClearSky, Homeland Justice’in radar altında kalmak ve yanal hareket etmek için, daha önce İranlı tehdit aktörleri tarafından kullanılan, ağa uzaktan bağlantıya yardımcı olmak için tasarlanmış bir sistem yöneticisi aracının bir sürümü de dahil olmak üzere diğer yardımcı programları kullandığını söyledi (bkz: Görünür İranlı APT Gruplarının Saldırısına Uğrayan Yamasız VPN Sunucuları).
ClearSky, Revsocks’ın saldırganların SOCKS proxy’si aracılığıyla bir sunucuyla bağlantı kurmasına ve bunu veri sızdırma, komuta ve kontrol için veya tehlikeye atılmış bir ağda kalıcılığı sürdürmek için kullanmasına olanak sağlayabileceğini, W2K Reskit aracının ise bilgisayar korsanlarının tüm ağ bilgisayarlarındaki yerel yöneticileri numaralandırmasına yardımcı olabileceğini söyledi. .
Arnavutluk, Temmuz ayında ülkenin çevrimiçi devlet hizmetleri portalını kesintiye uğratan siber saldırının ardından İran’la diplomatik bağlarını kopardı (bkz: Arnavutluk, Siber Saldırının Ardından İran’la Diplomatik Bağlarını Kesti).