.jpg)
MuddyWater olarak bilinen İran devleti ile uyumlu gelişmiş kalıcı tehdit (APT), bölgedeki birçok kampanyasının sadece sonuncusunda, sekiz ay boyunca isimsiz bir Orta Doğu hükümetini gözetlemek için yeni özel kötü amaçlı yazılım araçlarından oluşan bir cephanelik kullandı.
Bu, Symantec’in “Crambus” olarak takip ettiği MuddyWater’ın zaman zaman hassas hükümet verilerini çalmaya yönelik günlük çabalarını anlatan Symantec’e göre. Grup aynı zamanda APT34, Helix Kitten ve OilRig olarak da biliniyor.
Bir düzine bilgisayara sızmasına, yarım düzine farklı bilgisayar korsanlığı aracını kullanmasına ve şifreleri ve dosyaları çalmasına rağmen kampanya, Şubat ayından Eylül ayına kadar kesintiye uğramadan önce radarın altında kalmayı başardı.
Symantec’in baş istihbarat analisti Dick O’Brien, “Ağdaki oldukça geniş bir bilgisayar yelpazesine eriştiler, bu nedenle belirli bir şeyin peşinde koşmak yerine daha genel bir saldırı gibi görünüyor” diye değerlendiriyor.
MuddyWater’ın Kötü Amaçlı Yazılım Arsenal’i
MuddyWater’ın son kampanyası 1 Şubat’ta, hedeflenen makinedeki şüpheli bir dizinden bilinmeyen bir PowerShell betiğinin çalıştırılmasıyla başladı.
Takip eden aylarda grup, üçü daha önce siber güvenlik topluluğu tarafından bilinmeyen dört özel kötü amaçlı yazılım aracını devreye aldı.
İlk olarak, dosyaları indirmek ve isteğe bağlı PowerShell komutlarını yürütmek için Backdoor.Tokel var. Trojan.Dirps ayrıca PowerShell komutları ve bir dizindeki dosyaları numaralandırmak için de kullanılır. Infostealer.Clipog, adından da anlaşılacağı gibi, tuş günlüğü tutma, tuş vuruşlarının girildiği işlemleri günlüğe kaydetme ve pano verilerini kopyalama yeteneğine sahip bilgi hırsızı kötü amaçlı yazılımıdır.
Son olarak Mayıs ayında keşfedilen ancak MuddyWater’a özel olarak atfedilmeyen Backdoor.PowerExchange var. PowerShell tabanlı araç, Microsoft Exchange Sunucularında sabit kodlanmış kimlik bilgileriyle oturum açar, bunları komut ve kontrol (C2) için kullanır ve saldırganlar tarafından gönderilen e-postaları izler. Konu satırında “@@” bulunan postalar, dosya yazma ve çalma veya isteğe bağlı PowerShell komutlarını yürütme talimatlarını gizler.
MuddyWater, kendi silahlarının yanı sıra iki popüler açık kaynak hackleme aracından da yararlandı: Kimlik bilgisi dökümü için Mimikatz ve uzak kabuk yetenekleri için Plink.
O’Brien’a göre grubun aylarca ayakta kalabilmesi, silah seçimine bağlanabilir:
“Yeni araçlar sunarsanız ve yasal araçlar kullanıyorsanız, otomatik olarak kırmızı alarmlar oluşmaz. [As an analyst] Potansiyel olarak kötü niyetli bir aktiviteye dair bir bildirim gelene kadar beklemeniz ve konuları oradan çekmeye başlamanız gerekiyor.”
Çamurlu Su Geri Döndü
Mandiant’a göre MuddyWater en az 2014’ten beri ortalıkta. Ancak birkaç yıl önce bu yazı silindi. O’Brien, “Crambus, görünüşe göre eski bir yüklenici veya ekip üyesi tarafından yapılan bir sızıntıya yoğun şekilde maruz kaldığı için ortadan kaybolabileceğini düşündüğümüz gruplardan biriydi” diye belirtiyor.
Şimdi ise “kesinlikle geri döndüler” diye ekliyor.
Yıllar geçtikçe, casusluk kampanyaları Orta Doğu’nun çoğuna yayıldı – Suudi Arabistan, İsrail, Türkiye, Irak, Ürdün, Lübnan, Kuveyt, Katar, Arnavutluk ve Birleşik Arap Emirlikleri (aynı zamanda Amerika Birleşik Devletleri) – dokunaklı finans, enerji, telekomünikasyon, kimya, hükümet ve kritik altyapı sektörleri. APT, siber casusluk faaliyetleri nedeniyle ABD yaptırımlarına maruz kaldı; ve son zamanlarda bu faaliyetler arasında Menora olarak bilinen başka bir yeni kötü amaçlı yazılımın yer aldığı Suudi Arabistan’a yönelik siber saldırılar da yer aldı; ve BAE’ye bir tedarik zinciri saldırısı.