Araştırmacılar yakın zamanda Avrupa Dışişleri Bakanlığı (MFA) ve diplomatik misyonlarının altyapısına yerleştirilen iki yeni arka kapıyı ortaya çıkardı.
“LunarWeb” ve “LunarMail” adlı bu iki yeni arka kapıyı bulan Slovak siber güvenlik firması ESET, bunları Rus çıkarlarıyla uyumlu olduğuna inanılan Turla siber casusluk grubuna bağladı.
Turla, muhtemelen 1990’ların sonlarından başlayarak en az 2004’ten beri faaliyet göstermektedir. Rusya FSB’sine bağlı olan Turla, öncelikli olarak Avrupa, Orta Asya ve Orta Doğu’daki hükümetler ve diplomatik kuruluşlar gibi yüksek profilli kuruluşları hedef alıyor. Özellikle 2008’de ABD Savunma Bakanlığı ve 2014’te İsviçre savunma şirketi RUAG gibi önemli kuruluşların ihlallerini gerçekleştirdiler.
Araştırmacılar, araçların taktikleri, teknikleri ve prosedürleri (TTP’ler) ile geçmiş faaliyetler arasındaki benzerliklere dayanarak, en az 2020’den beri kullanılan Ay araç setinin, Rusya bağlantılı siber casusluk grubu Turla’nın cephaneliğine bir ekleme olduğuna inanıyor.
LunarWeb Backd: Dijital Arazide Gezinmek İçin Kullanılır
LunarWeb arka kapısı sunuculara gizlice sızarak hedeflenen altyapıda kendine yer edinir. Gizlice çalışarak, varlığını gizlemek için meşru trafik kalıplarını yansıtırken HTTP(S) aracılığıyla iletişim kurar.
LunarWeb’in taktik kitabında gizleme çok önemlidir. Bunun için arka kapı steganografi tekniğini kullandı. Bu arka kapı, komutları zararsız görüntülerin içine gizlice yerleştirir ve tespit mekanizmalarından etkili bir şekilde kaçınır.
Araştırmacılar, LunarWeb’in uygun bir şekilde LunarLoader olarak adlandırılan yükleyicisinin olağanüstü çok yönlülük sergilediğini belirtti. İster truva atı bulaşmış açık kaynak yazılım olarak görünsün ister bağımsız biçimde çalışsın, bu giriş noktası düşmanın taktiklerinin uyarlanabilirliğini gösterir.
LunarMail: Bireysel İş İstasyonlarına Sızmak İçin Kullanılır
LunarMail, LunarWeb’e kıyasla farklı bir yaklaşım benimsiyor. Kendisini Outlook iş istasyonlarına yerleştirir. E-posta iletişiminin tanıdık ortamından yararlanan bu arka kapı, kurbanlarının iş istasyonlarında aldıkları günlük dijital yazışmalar arasında gizli kalarak casusluk faaliyetlerini yürütüyor.
İlk çalıştırmada LunarMail arka kapısı, ortam değişkenleri ve giden tüm e-posta mesajlarının e-posta adresleri hakkında bilgi toplar. Daha sonra daha fazla talimat almak için Outlook Mesajlaşma API’si aracılığıyla komuta ve kontrol sunucusuyla iletişim kurar.
LunarMail, dosya yazma, C&C iletişimi için e-posta adresleri ayarlama, isteğe bağlı işlemler oluşturma ve bunları yürütme, ekran görüntüleri alma ve daha fazlasını yapma yeteneğine sahiptir.
Benzerine benzer şekilde LunarMail, e-posta eklerinin sınırları dahilinde de olsa steganografinin gücünden yararlanıyor. Komutları görüntü dosyalarının içine gizleyerek, gizli iletişim kanallarını fark edilmeden sürdürür.
LunarMail’in Outlook ile entegrasyonu salt sızmanın ötesine geçer. E-posta eklerini yönetir, şifrelenmiş yükleri görüntü dosyalarına veya PDF belgelerine sorunsuz bir şekilde yerleştirerek, şüphe edilmeyen veri sızıntısını kolaylaştırır.
İlk Erişim ve Keşif
Turla hackerlarının ilk erişim vektörleri, kesin olarak doğrulanmasa da, güvenlik açıklarından yararlanıldığına veya hedef odaklı kimlik avı kampanyalarına işaret ediyor. Araştırmacılar, Zabbix ağ izleme yazılımının kötüye kullanılmasının da potansiyel bir uzlaşma yolu olduğunu söyledi.
Güvenliği ihlal edilen kuruluşlar öncelikle Avrupa Dışişleri Bakanlığı’na bağlıydı, bu da izinsiz girişin stratejik nitelikte olduğu anlamına geliyordu. Soruşturma ilk olarak, kimliği belirsiz bir sunucudaki harici bir dosyanın şifresini çözen ve bu dosyadan bir veri çalıştıran bir yükleyicinin tespit edilmesiyle başladı.
Bu, araştırmacıların LunarWeb adını verdiği, daha önce bilinmeyen bir arka kapıydı. Daha sonra LunarWeb’e benzer bir saldırı zincirinin Avrupa Dışişleri Bakanlığı’nın diplomatik bir kurumunda konuşlandırıldığı ancak LunarMail adında ikinci bir arka kapıya sahip olduğu görüldü.
Başka bir saldırıda araştırmacılar, LunarWeb ile bir zincirin Orta Doğu’daki bu MFA’nın üç diplomatik kurumunda birbirinden birkaç dakika arayla eş zamanlı olarak konuşlandırıldığını tespit etti.
Araştırmacılar, “Saldırganın muhtemelen MFA’nın etki alanı denetleyicisine önceden erişimi vardı ve bunu aynı ağdaki ilgili kurumların makinelerine yanal hareket için kullandı” dedi.
Tehdit aktörleri uzlaşmalarda farklı derecelerde karmaşıklık sergilediler. Arka kapıları geliştirmek için kullanılan kodlama hataları ve farklı kodlama stilleri, “bu araçların geliştirilmesinde ve çalıştırılmasında muhtemelen birden fazla kişinin yer aldığını” öne sürdü.
Rus Devlet Hackerları En Büyük Siber Tehdit
Geçtiğimiz günlerde Google’ın sahibi olduğu Mandiant, ayrıntılı bir raporda Rusya devleti destekli siber tehdit faaliyetinin Avrupa Birliği, Birleşik Krallık ve ABD dahil olmak üzere Rusya’nın çıkarına olan bölgelerdeki seçimler için en büyük riski oluşturduğunu “yüksek güvenle” belirtti.
Rusya’nın seçim müdahalesine yaklaşımı çok yönlü olup, siber saldırı faaliyetlerini kamuoyunun algısını etkilemeyi ve anlaşmazlık yaratmayı amaçlayan bilgi operasyonlarıyla harmanlamaktadır.
Rus devletine bağlı siber tehdit aktörleri, yabancı hükümetlere baskı uygulamak, Rusya’nın ulusal çıkarlarıyla uyumlu sorunları büyütmek ve algılanan düşmanlara karşı misilleme yapmak gibi çeşitli nedenlerle seçimle ilgili altyapıyı hedef alıyor. Mandiant, APT28 ve UNC4057 gibi grupların bu hedeflere ulaşmak için siber casusluk ve bilgi operasyonları yürüttüğünü söyledi.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.