.jpg)
BLACK HAT USA – Las Vegas – 10 Ağustos Perşembe — Belarus bağlantılı bir APT, muhtemelen ülkenin yerel İnternet servis sağlayıcısını (ISP) kullanarak ülkede faaliyet gösteren en az dört büyükelçiliğin personelini gözetledi.
Black Hat’ta Perşembe günü yapılacak bir sunumda, ESET’in kıdemli kötü amaçlı yazılım araştırmacısı Matthieu Faou, Belarus hükümetinin çıkarlarıyla uyumlu, daha önce bilinmeyen ancak yaklaşık on yıllık bir APT olan “MoustachedBouncer”ın casusluk kampanyasını anlatacak. Grup, 2017’den 2022’ye kadar, ısmarlama infostealer kötü amaçlı yazılımı kullanarak bir güneydoğu Asya ülkesinden, bir Afrika ülkesinden ve iki Avrupa ülkesinden diplomatları başarıyla ele geçirdi.
İzinsiz girişin kesin yöntemi henüz kanıtlanmadı. MoustachedBouncer, bireysel elçiliklerdeki yönlendiricilere bulaşmış olabilir, ancak ESET, Beyaz Rusya ve Rusya hükümetleri tarafından ISP düzeyinde kullanıldığı bilinen yasal iletişim dinleme teknolojisinden daha fazla yararlandığını değerlendirdi.
Faou, “Çoğu Batı ülkesinde mahremiyet yasaları vardır, ancak Beyaz Rusya gibi ülkelere gittiğinizde gerçekten dikkatli olmalısınız.” “VPN olmadan trafiğin bilgisayarınızın dışına çıkmasına izin vermemelisiniz.”
MoustachedBouncer, Diplomatları Gözetlemek İçin ISP’leri Kullandı
Beş yıl önce ESET, Rus APT Turla’nın veri çalan kötü amaçlı yazılımını trojenleştirilmiş bir Adobe Flash yükleyicisinin içine yerleştirdiği bir casusluk kampanyasını anlattı. Bu kötü amaçlı yazılımı hedeflerine ulaştırmanın kesin yöntemi tam olarak net değildi, ancak araştırmacılar, grubun ISP düzeyinde HTTP isteklerini manipüle ediyor olabileceğini tahmin ettiler.
Bunun, MoustachedBouncer’ın çalıştığı seviyeyle aynı olduğuna inanıyorlar.
1995’ten beri Rus hükümeti, Operatif Soruşturma Faaliyetleri Sistemi (SORM) aracılığıyla İnternet ve telefon ağlarında casusluk yapabiliyor. Uluslararası Af Örgütü’ne göre, Beyaz Rusya’daki tüm telekomünikasyon sağlayıcıları da SORM uyumludur. Kâr amacı gütmeyen kuruluş 2021 tarihli bir raporunda “SORM sistemi, yetkililerin tüm kullanıcı iletişimlerine ve ilişkili verilere sağlayıcıya haber vermeden doğrudan, uzaktan kontrollü erişim sağlamasına olanak tanır.”
Bu nedenle araştırmacılar, “AitM’yi yürütmek için yönlendiricilerden taviz verilirken” yazdı. [attacks in the middle] büyükelçilik ağları tamamen ortadan kaldırılamaz, Belarus’ta yasal dinleme yeteneklerinin varlığı, trafiğin hedefin yönlendiricilerinden ziyade ISP düzeyinde gerçekleştiğini gösteriyor.”
MoustachedBouncer’ın Yeraltı On Yılı
MoustachedBouncer, ISP veya yönlendirici güvenliği kullanmış olsun, hedeflenen bilgisayarları sahte bir Windows Update sayfasına yönlendirdi. Faou, Dark Reading’e “Oldukça verimli, çünkü bu sahte Windows sayfası bilgisayarı başlatır başlatmaz çıkıyor. Kötü amaçlı yazılımı indirmekten başka yapacakları bir şey yok” diyor.
Kötü amaçlı yazılım “Disco”, ekran görüntüleri alabilen, PowerShell komut dosyalarını çalıştırabilen ve hedeflenen makineden veri sızdırabilen modüler bir çerçevedir.
Ancak bu yöntem, trafiğini VPN’ler aracılığıyla filtreleyen hedefler için işe yaramadı. Bu durumlarda, MoustachedBouncer, dosyaları izleme ve sızdırmanın yanı sıra ekran görüntüsü alma, tuş vuruşlarını kaydetme ve ses kaydetme yeteneğine sahip başka bir modüler kötü amaçlı yazılım olan “Nightclub”ı devreye aldı. Komuta ve kontrol iletişiminin tamamı, SMTP ve IMAP protokolleri aracılığıyla e-posta üzerinden gerçekleşir. Gece Kulübü’nün hedeflere nasıl teslim edildiği belli değil.
Disco, elçilik saldırılarına uygun olarak yaratıldı, ancak Gece Kulübü ilk olarak 2014’te inşa edildi (ve o zamandan beri üç kez tekrarlandı). Faou, grubun yaklaşık on yıl boyunca tam olarak nasıl radarın altında uçtuğunun birkaç faktöre bağlı olduğunu söylüyor.
“Birincisi, çok sayıda kurbanı riske atmıyorlar – yılda yalnızca birkaç hedef görüyoruz” diye belirtiyor.
“Ve teknik düzeyde,” diye ekliyor, “oldukça karmaşık bir kampanya olduğunu söyleyebilirim. Bu, çok sık gördüğümüz bir şey değil.”