Siber Savaş / Ulus Devlet Saldırıları , Dolandırıcılık Yönetimi ve Siber Suçlar
Saldırgan DarkCrystal ve DWAgent Uzaktan Erişim Truva Atlarını Yükledi
Bay Mihir (MihirBagwe) •
4 Nisan 2023
Ukraynalı bir kamu hizmeti şirketinin bir çalışanı, bir torrent web sitesinden Microsoft Office’in lisanssız bir sürümünü indirip yükledi ve bunun sonucunda iki uzaktan erişim Truva Atı şirketin sistemlerini iki ay boyunca etkiledi.
Ayrıca bakınız: Web Semineri | Ağ Mimarisinin Evrimi: Bilmedikleriniz Size Zarar Verebilir
Ukrayna Bilgisayar Acil Müdahale Ekibi, Office paketinin korsan sürümünün DarkCrystal uzaktan erişim Truva Atı’nı ve DWAgent uzaktan yönetim aracını içerdiğini söyledi. İki uygulama, 19 Ocak ile 22 Mart arasında şirketin ağına yetkisiz üçüncü taraf erişimi sağladı.
Siber güvenlik ilk müdahale görevlisi, Truva atlarını izlediği bir grupla UAC-0145 olarak ilişkilendirir. Ukraynalı CERT daha önce DarkCrystal RAT kullanımını, Ukrayna’ya karşı bir dizi yıkıcı bilgisayar saldırısından sorumlu bir Rus askeri istihbarat korsanları biriminin Batılı adı olan Sandworm grubuna bağlamıştı. Kiev, Sandworm’u UAC-0113 olarak takip ediyor (bkz: Rus Sandworm APT, Cephaneliğine Yeni Silecek Ekliyor).
CERT-UA, torrent yazılımının enfeksiyon için yaygın bir yol olduğunu söyledi. “Microsoft Office yazılım ürünlerine ek olarak, resmi olmayan kaynaklardan indirilen işletim sistemlerinin yanı sıra tarayıcılar, parola kurtarma araçları vb. diğer programların yüklenmesi dahil olmak üzere bilinen bulaşma vakaları vardır.”
Rus devlet bilgisayar korsanları, Moskova’nın Kiev’e karşı bir fetih savaşı başlattığı sıralarda, 2022’nin ilk dört ayında kayda değer bir artışla yaklaşık on yıldır Ukrayna’yı alt üst etti. Çatışmanın siber boyutu, birçok kişinin tahmin ettiği siber savaşa dönüşmedi, ancak bilgisayar korsanlığı sabit kaldı. Microsoft kısa süre önce Rus bilgisayar korsanlarının fidye yazılımı kullanımlarını artıracağını, sistemlere ilk erişim arayacağını ve ek etki operasyonları başlatacağını tahmin etti (bkz.: Rusya Bahar Taarruzu Öncesinde Siber Operasyonları Canlandırıyor Olabilir).