Siber Savaş / Ulus-Devlet Saldırıları, Uç Nokta Güvenliği, Dolandırıcılık Yönetimi ve Siber Suçlar
Ukrayna’daki Rus Aktivist, Casus Yazılımın FSB Tarafından Gözaltındayken Yüklendiğini İddia Ediyor
Chris Riotta (@chrisriotta) •
5 Aralık 2024
Bir Rus sistem analisti ve kendini muhalif siyasi aktivist olarak tanımlayan bir aktivist, Kremlin’i kendisi gözaltındayken cep telefonuna gizli casus yazılım yüklemekle ve Ukrayna’ya para göndermekle suçlanmakla suçladı.
Ayrıca bakınız: Paneli | Siber Saldırılar Artıyor ve Siber Sigorta Oranları Hızla Yükseliyor
Perşembe günü Toronto Üniversitesi Vatandaş Laboratuvarı ve Moskova merkezli Birinci Bölüm tarafından yayınlanan ortak bir araştırma, casus yazılımın Monokle ailesine benzediğini ve kötü amaçlı yazılımın Rus hükümetinin yüklenicisi olan “Özel Teknoloji Merkezi” ile bağlantılı olduğunu ortaya çıkardı. Diğer özelliklerinin yanı sıra, hedef cihazın konumunu izleme, çağrıları kaydetme, tuş vuruşlarını yakalama ve şifrelenmiş uygulamalardan gelen mesajları okuma yeteneğine sahipti.
Kirill Parubets’in telefonuna gizlice yüklenen casus yazılım, Google Play Store’daki meşru Cube Call Recorder uygulamasının, gelen aramaları otomatik olarak kaydetmek için tasarlanmış kötü amaçlı bir sürümüydü. Uzmanlar, Rusya’nın uzaktan bilgisayar korsanlığı kampanyalarındaki önemli ilerlemelere rağmen Bilgi Güvenliği Medya Grubu’na, kablo yoluyla bir Truva atı yüklemeden önce birini telefonunun kilidini açmaya zorlamak gibi kaba yöntemlerin (Parubets vakasında meydana gelmiş gibi görünen bir şey) hala yaygın olduğunu söyledi.
LimaCharlie güvenlik platformunun kıdemli çözüm mühendisi Ken Westin, “Bir cihaza otoriter bir rejim tarafından el konulursa, bu cihazın ele geçirilme ihtimali çok yüksektir” dedi ve birçok ABD şirketinin, yakıcı cihazları belirli bir düzeye getirmek için güvenlik politikaları olduğunu belirtti. Riskleri azaltmak için ülkeler “Bir cihaza geçici olarak el konulursa veya bir otel odasında bırakılırsa, fiziksel erişime sahip casuslar nedeniyle cihazın ele geçirilmesi olasılığı önemli ölçüde artar.”
Parubets, kendisi ve eşinin 2020’den beri Ukrayna’da yaşadığını, Moldova vatandaşlığı için gerekli evrakları tamamlamak üzere Moskova’da olduklarını ve Nisan ayında altı Rus Federal Güvenlik Servisi ajanı tarafından gözaltına alındığını söyledi. Yetkililerin kendisine FSB için muhbirlik yapması yönünde baskı yapmasının ardından dövüldüğü ve Android cihazının şifresini vermeye zorlandığı bildirildi.
Adli yardım kuruluşu Birinci Departman’a konuşan Parubets, “Apartmanda ne kadar emin hareket ettiklerine bakılırsa, daha önce orada oldukları izlenimini edindim” dedi ve daha sonra gözaltı sırasındaki sorgulamalarını da ekledi: “Ellerinde bir çıktının bulunduğu kocaman bir dosya vardı. Telegram sohbetlerimden.”
Kendisi ve eşi daha sonra serbest bırakıldıktan sonra Parubets, cihazında “Kol korteksi vx3 senkronizasyonu” yazan alışılmadık bir bildirim fark ettiğini hatırladı.
Parubets’in cihazının teknik analizi, kötü amaçlı uygulamanın orijinal Cube Call Recorder uygulamasında bulunmayan, ekran görüntülerini kaydetme, kamerayı video için kullanma, SMS mesajları okuma ve gönderme ve konum bilgilerine erişme yeteneği de dahil olmak üzere çok çeşitli izinler talep ettiğini ortaya çıkardı. Uygulama kullanımda olmadığında. Rapor ayrıca casus yazılımın muhtemelen Monokle’nin güncellenmiş bir sürümü olduğunu, komut ve kontrol benzerliklerini paylaştığını, ancak şifre çözmeyi zorlaştıran daha karmaşık yapılandırma dosyaları da dahil olmak üzere önemli farklılıklara sahip olduğunu buldu.
Raporda, “Gözaltı ve cihaza el konulması, bir saldırganın, uzaktan saldırıların sunduğu teknik zorluklarla karşılaşmadan casus yazılım yüklemesi için benzersiz bir fırsat sağlayabilir” ifadesine yer veriliyor. “Bu fırsat, özellikle saldırganın cihaza kullanıcı düzeyinde erişimi varsa ve bu durumda olduğu gibi kişiyi kimlik bilgilerini ve/veya cihaz şifrelerini sağlamaya zorlayabiliyorsa belirginleşir.”
Rusya’nın işgalinden bu yana Ukrayna’ya gönüllü olarak yardım ettiğini ve mali ve insani destek sağladığını kabul eden Parubets, “biraz zaman kazanmak” umuduyla eşiyle birlikte gözaltına alınmalarının ardından kaçarken ele geçirilen cihazı Moskova’da bıraktığını söyledi.
Güvenlik araştırmacıları cihazı incelediler ve kötü amaçlı uygulamanın “telefon sırasında tanıtılmış gibi göründüğünü” buldular. [Parubets’] Casus yazılımın kötü amaçlı işlevselliği, casus yazılım telefonda yürütüldüğünde şifresi çözülen ve belleğe yüklenen şifrelenmiş bir ikinci aşamada gizlenir. Citizen Lab’a göre, bu gizleme taktiği bazı antivirüs yazılımları tarafından tespit edilmekten kaçınmaya yardımcı olur.
Rusya, işgalini başlattığından bu yana Ukrayna’ya ve destekçilerine yönelik siber saldırısını yoğunlaştırdı; bir dizi siber casusluk kampanyasıyla Kiev’i, Batılı hükümetleri, Washington düşünce kuruluşlarını ve Ukrayna’ya odaklanan kurumları hedef aldı. Kasım ayındaki Cyberwarcon zirvesinde ortaya çıkan araştırma, Rusya Genelkurmay Ana İstihbarat Direktörlüğü hack biriminin Washington DC merkezli bir kuruluşu hedeflemek için Wi-Fi bağlantısını kullanan yeni bir saldırı tekniği kullandığını gösterdi (bkz: Rus Hackerlar Gelişmiş Yeni Saldırıda Wi-Fi’den Yararlanıyor).