Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Sosyal Mühendislik
‘Coldriver’ Kasım 2022’den Bu Yana PDF’lere Gömülü Arka Kapılar Gönderiyor
David Perera (@daveperera) •
18 Ocak 2024
Google’dan güvenlik araştırmacıları, Batılı hedeflere karşı uzun süreli oturum açma kimlik bilgileri avı kampanyalarıyla tanınan bir Rus iç istihbarat teşkilatı hack grubunun artık PDF’lere gömülü kötü amaçlı yazılımlar yaydığını söylüyor.
Ayrıca bakınız: Savaş Sisi | Ukrayna Çatışması Siber Tehdit Ortamını Nasıl Dönüştürdü?
Aralık ayında Amerika Birleşik Devletleri ve İngiltere’den yetkililer, Google’ın izlediği bilgisayar korsanlığı grubunu “Coldriver” olarak Rusya’nın Sovyetler Birliği’nin KGB güvenlik teşkilatının halefi olan Federal Güvenlik Servisi’ne bağladı. Star Blizzard ve Callisto Grubu olarak da bilinen ve daha önce Microsoft tarafından Seaborgium olarak takip edilen bilgisayar korsanlığı grubu, birçok siyasi partideki İngiliz milletvekillerine karşı yaklaşık 10 yıllık bir hedef odaklı kimlik avı kampanyasından ve gizli belgelerin sızdırılmasından sorumludur (bkz.: İngiltere ve ABD, Rusya FSB’yi ‘Hack and Sızıntı’ Operasyonuyla Suçladı).
ABD federal savcıları, biri FSB görevlisi olan iki Rus erkeği, Amerikan istihbarat, savunma ve Enerji Bakanlığı hükümet çalışanlarına ait e-posta hesaplarına izinsiz erişim sağlamakla suçladı. 7 Aralık gibi yakın bir tarihte ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı, Coldriver’ın casusluk amaçlı hedef odaklı kimlik avı saldırılarına devam ettiği konusunda uyardı. Grup, ağırlıklı olarak sahte e-posta hesaplarından (güvenilir bir kişi veya kuruluştan geliyormuş gibi görünen e-postalar) mesaj göndermeye güveniyor.
Google’ın Tehdit Analizi Grubu Perşembe günü yayınlanan bir blog yazısında Coldriver’ın kimlik bilgileri için kimlik avının ötesine geçerek PDF belgelerini yem olarak kullanan kötü amaçlı yazılımlar sunmaya doğru ilerlediğini söyledi. Kurbanlar, sahte gönderenin yayınlanmasını istediği bir fikir olduğu varsayılan belgeyi açtığında içerik şifrelenir.
Bu noktada Coldriver çalışanları, kurbanların bilgisayarlarına bir şifre çözme yardımcı programı indirmelerini önererek kötü amaçlı yazılımları kaçırmaya çalışıyor. Yazılım aslında Google’ın Spica adını verdiği bir arka kapıdır.
Tehdit grubunun hedefleri arasında Ukraynalı bir savunma yüklenicisi, Doğu Avrupa orduları ve bir NATO Mükemmeliyet Merkezi de yer alıyor.
Google, Spica arka kapısının birden fazla sürümü olduğuna inanıyor – “her biri, hedeflere gönderilen yem belgesiyle eşleşecek farklı bir gömülü tuzak belgeye sahip.” Google tarafından incelenen bir örnek muhtemelen Ağustos ve Eylül aylarında aktifti, ancak Silikon Vadisi devi Coldriver’ın arka kapıyı kullanımının en az Kasım 2022’ye kadar uzandığını söyledi.
Arka kapı, web tarayıcısı oturum çerezlerini çalmak, belgeleri numaralandırmak ve arşiv olarak dışarı çıkarmak da dahil olmak üzere bir dizi işlevi destekler. Spica ayrıca “telegram” adı verilen bir komut da içeriyor ancak “bu komutun işlevselliği belirsiz.”