Pakistan Bağlantılı APT36, Hindistan Savunma Kuruluşlarını Hedef Alıyor

Hindistan basınında çıkan haberlere göre, Savunma Bakanlığı geçen yıl Windows’un yerine Chakravyuh adlı bir uç nokta algılama ve koruma sistemi ile birlikte gelen Maya adlı bir Ubuntu çatalı alacağını söyledi. Bir bakanlık yetkilisi Ağustos ayında gazetecilere verdiği demeçte, ilk uygulamanın bakanlık bünyesinde gerçekleştiğini ve daha sonra askeri hizmetlerin genişletilmesinin planlandığını söyledi (bkz: Hindistan Savunma Bakanlığı Windows’u Yerel İşletim Sistemiyle Değiştirecek).

BlackBerry Tehdit Araştırma ve İstihbarat ekibindeki araştırmacılar Çarşamba günü yaptığı açıklamada, APT36 olarak takip edilen siber casusluk grubunun “ağırlıklı olarak Yürütülebilir ve Bağlanabilir Format (ELF) ikili dosyalarının dağıtımına odaklandığını” gözlemlediklerini söyledi. ELF, yaygın olarak kullanılan bir Linux çalıştırılabilir dosya formatı spesifikasyonudur.

Transparent Tribe ve Earth Karkaddan olarak da takip edilen siber casusluk grubu, saldırıların çoğunda Linux platformuyla uyumlu casusluk ve veri sızma araçlarından oluşan bir cephanelik kullandı; bu eğilim daha önce siber güvenlik şirketi Zscaler tarafından da gözlemlenmişti.

BlackBerry, siber casusluk grubunun 2023 sonlarından Nisan ayına kadar devam etmesi muhtemel bir kampanyayla devlet kurumlarını ve savunma ve havacılık endüstrilerini hedef alan bir dizi faaliyet üstlendiğini gözlemledi. Grubun Pakistan hükümetiyle bağlantısı kesin değil, ancak araştırmacılar Pakistan istihbarat bağlantısının muhtemel olduğu konusunda geniş çapta hemfikir.

BlackBerry araştırmacıları, hedef odaklı kimlik avı e-postasının içinde Pakistan merkezli bir mobil şebeke operatörüyle ilişkili uzak bir IP adresi bulduklarını söyledi. Kötü amaçlı bir komut dosyasındaki saat dilimi değişkeni Pakistan Standart Saati’ne ayarlandı. Muhtemelen bir başlangıç ​​testi olan kötü amaçlı bir dosya “Pakistan’ın Multan kentinden gönderildi.” Grubun Hindistan’ın askeri ve savunma sanayii üssünü uzun vadeli olarak hedeflemesi aynı zamanda “Pakistan’ın çıkarlarıyla potansiyel uyum” olduğunu da gösteriyor.

Araştırmacılar, siber casusluk grubunun hedef odaklı kimlik avı saldırıları için e-postayı bir vektör olarak kullandığını ve ayrıca yemleri ve kötü amaçlı yazılımları depolamak ve dağıtmak için Telegram, Discord, Slack ve Google Drive gibi popüler web hizmetlerini kullandığını söyledi. Her saldırının zamanlaması stratejikti; bu da bilgisayar korsanlarının ayrıntılı planlama yaptığını ve her saldırıyı başlatırken belirli hedefleri akılda tuttuğunu gösteriyordu.

Araştırmacılar APT36 operasyonlarını izlemeye başladığından bu yana ilk kez grup, saldırı vektörleri olarak ISO görüntülerini kullandı. Ayrıca hükümetin savaş uçağı satın alma ve düzinelerce Sukhoi 30MKI savaş uçağını yükseltme ihalelerini açıkladığı bir dönemde, hedef odaklı kimlik avı e-postalarında ISO görüntülerini kullanarak Hindistan Hava Kuvvetleri yetkililerini hedef alıyordu.

BlackBerry, casusluk grubunun, kurbanları kötü amaçlı yem belgeleri indirmeye ikna etmek için Hint savunma ve stratejik düşünce kuruluşları ile devlet kurumlarının web alanlarını taklit ettiğini söyledi. Bu kuruluşlar arasında Yeni Delhi merkezli bağımsız düşünce kuruluşu Kara Harp Araştırmaları Merkezi, Hindistan’ın Bilgisayar Acil Durum Müdahale Ekibi ve Ordu Refahı Eğitim Topluluğu vardı.

BlackBerry, “16 ay boyunca grup, çoğu ‘.in’ üst düzey alan adını (TLD) içeren çok sayıda meşru Hint alan adıyla çarpıcı benzerlikler taşıyan birden fazla alan adı oluşturdu” dedi.

Gönderdiği kötü amaçlı komut dosyaları arasında, VirusTotal’da minimum düzeyde tespit edilen, ELF ikili dosyaları halinde derlenen Python kodu da vardı. İkili dosyalar, Google Drive’dan bir PDF cazibesi açtı ve Globshell olarak bilinen APT36 ile zaten ilişkilendirilmiş, Linux için özel olarak oluşturulmuş bir dosya sızdırma dosyasının bir varyasyonunu indirdi.