Acronis Tehdit Araştırma Birimi’ndeki (TRU) siber güvenlik araştırmacıları, bilgisayar korsanlarının ABD hükümet grupları hakkında casusluk yapmak için haber başlıklarını kullandığını tespit etti. Bu saldırganlar, karmaşık istismarlar kullanmak yerine çok daha basit bir hileye, yani güncel olaylara dair meraka güveniyorlar.
Raporun yazarları Ilia Dafchev ve Subhajeet Singha, kampanyanın ABD ile Venezuela arasında devam eden siyasi gerilimi yem olarak kullandığını açıkladı. Tuzak, “ABD artık bundan sonra ne olacağına karar veriyor” adlı bir dosyayla başlıyor. Venezuela.zipBu, bir hükümet yetkilisini düşünmeden tıklaması için kandırmak için büyük haberleri kullanmayı içeren klasik bir harekettir.
Arka Kapı Stratejisi
Saldırının teknik tarafı, bilgisayar korsanlarının güvenli görünen bir programın içine bir virüs gizlediği DLL yan yükleme adı verilen sinsi bir harekete dayanıyor. Bu özel kampanyada, Tencent adlı bir şirkete ait, adı “Maduro’ya götürülecek” olarak yeniden adlandırılan bir müzik çalar kullandılar. New York.exe.”
Birisi bu müzik çaları çalıştırdığında, bilgisayar kandırılarak kugou.dll adlı gizli, kötü amaçlı bir dosyayı açar. Bu dosya araştırmacıların LOTUSLITE adını verdikleri bir arka kapıdır. Aktif hale geldikten sonra bilgisayar korsanları, dosyaları çalmalarına, ekranı izlemelerine veya sanki masada oturuyorlarmış gibi komutları çalıştırmalarına olanak tanıyan gizli bir giriş yolu elde ediyor.
Kötü amaçlı yazılım, Google’ın web’e göz atmak için kullandığı araç olan Googlebot gibi davranarak görünmez kalmaya bile çalışıyor. Çalınan bilgileri IP adresindeki bir bilgisayara gönderir 172.81.60.97 Phoenix, Arizona’da.
Mustang Panda’ya Giden İpuçları
Raporda araştırmacılar, bilgisayar korsanlarının geride bazı tuhaf ipuçları bıraktığını belirtti; Kod, yazarın Çinli olduğunu iddia ettiği ve özellikle Rus olmadığını söylediği gizli mesajlar içeriyordu. Ekip, “Yükleyicinin geliştirme olgunluğunun düşük olduğunu gösteriyor” dedi; bu da bilgisayar korsanlarının, haber henüz tazeyken saldırıyı gerçekleştirmek için acele ettiklerini gösteriyor.
Bu kalıplara dayanarak Acronis ekibi, hızlı casusluk görevleri başlatmak için son dakika haberlerini kullanmasıyla tanınan Çin destekli hack grubu Mustang Panda’nın (diğer adıyla HoneyMyte) sorumlu olduğuna “orta derecede güvenle” inanıyor.
Buradaki amaç açıkça casusluktur; para çalmak yerine siyasi ve stratejik istihbarat toplamayı içerir. Saldırganlar, karmaşık yöntemler yerine güvenilir, basit yöntemleri tercih ederek, teknik açıdan gösterişli olmaktan ziyade işi bitirmeye öncelik veriyor.
Bu yaklaşım, istikrarlı bir bilgi akışı isteyen devlet bağlantılı gruplar için yaygındır ve bu, haberlerle ilgili basit bir e-postanın bile bir casusun hükümet sırlarına göz atması için güçlü bir araç olabileceğini gösteriyor.