Perşembe günü Avustralya, Kanada, Yeni Zelanda, İngiltere ve ABD’den siber güvenlik ve istihbarat teşkilatları, Ukrayna ordusu tarafından kullanılan Android cihazlarını hedef alan bir mobil kötü amaçlı yazılım türünün ayrıntılarını açıkladı.
Kötü amaçlı yazılım adı verilen Rezil Keski Sandworm adlı Rus devlet destekli bir aktöre atfedilen bu silahın “güvenliği aşılmış cihazlara yetkisiz erişimi etkinleştirme, dosyaları tarama, trafiği izleme ve hassas bilgileri periyodik olarak çalma” yetenekleri var.
Kötü amaçlı yazılımın bazı yönleri, Ağustos ayının başlarında Ukrayna Güvenlik Servisi (SBU) tarafından ortaya çıkarıldı; bu durum, Rus düşmanlarının Ukrayna askeri ağlarına sızma ve değerli istihbarat toplama yönündeki başarısız girişimlerini ortaya çıkardı.
FROZENBARENTS, Iron Viking, Seashell Blizzard ve Voodoo Bear isimleriyle de bilinen Sandworm, Rusya Ana İstihbarat Müdürlüğü’nün (GRU) Özel Teknolojiler Ana Merkezi’ni (GTsST) ifade eder.
En az 2014’ten bu yana aktif olan bilgisayar korsanlığı ekibi, Industroyer, BlackEnergy ve NotPetya gibi kötü amaçlı yazılımları kullanan yıkıcı ve yıkıcı siber kampanyalarıyla tanınıyor.
Temmuz 2023’te, Google’ın sahibi olduğu Mandiant, GRU’nun kötü niyetli siber operasyonlarının taktiksel ve stratejik faydalar sunan, tehdit aktörlerinin “hızlı ve son derece çekişmeli bir işletim ortamına” hızlı bir şekilde uyum sağlamasını sağlayan ve aynı zamanda aynı zamanda taktiksel ve stratejik faydalar sunan bir taktik kitabına bağlı kaldığını söyledi. Zaman, tespit edilmeden hızı, ölçeği ve yoğunluğu en üst düzeye çıkarır.
Infamous Chisel, uzaktan erişimi mümkün kılmak ve Android telefonlardan bilgi sızdırmak amacıyla tasarlanmış birden fazla bileşenden oluşan bir koleksiyon olarak tanımlanıyor.
Kötü amaçlı yazılım, önceden tanımlanmış bir dizi dosya uzantısıyla eşleşen bilgi ve dosyalar için cihazları taramanın yanı sıra, yerel ağı periyodik olarak tarama ve SSH erişimi sunma işlevi de içerir.
Five Eyes (FVEY) istihbarat ittifakı, “Infamous Chisel ayrıca, SSH bağlantısı sağlayan değiştirilmiş bir Dropbear ikili dosyasına ileten gizli bir hizmetle TOR’u yapılandırıp çalıştırarak uzaktan erişim sağlıyor.” dedi.
Modüllerin her birinin kısa bir açıklaması aşağıdaki gibidir:
- netd – Uygulamaya özel dizinler ve web tarayıcıları da dahil olmak üzere, güvenliği ihlal edilmiş cihazdaki bilgileri belirli aralıklarla toplayın ve sızdırın
- td – TOR hizmetleri sağlayın
- damla – Tor hizmetlerini yapılandırın ve ağ bağlantısını kontrol edin (netd tarafından yürütülür)
- tcpdump – Hiçbir değişiklik gerektirmeyen meşru tcpdump yardımcı programı
- katil – Netd işlemini sonlandırın
- db – Dosyaları kopyalamak ve Dropbear’ın değiştirilmiş bir sürümünü kullanarak TOR gizli hizmeti aracılığıyla cihaza güvenli kabuk erişimi sağlamak için çeşitli araçlar içerir
- NDBR – Arm (ndbr_armv7l) ve Intel (ndbr_i686) CPU mimarilerinde çalışabilmek için iki farklı biçimde gelen, db’ye benzer bir çoklu çağrı ikili programı
Cihazdaki kalıcılık, Android’deki ağ yapılandırmasından sorumlu meşru netd arka plan programının, kök kullanıcı olarak komutları yürütmesine olanak tanıyan hileli bir sürümle değiştirilmesiyle elde edilir.
Ajanslar, “Rezil Keski bileşenleri düşük ila orta düzeyde karmaşıklığa sahip ve savunmadan kaçınma veya kötü niyetli faaliyetlerin gizlenmesine pek dikkat edilmeden geliştirilmiş gibi görünüyor” dedi.
“Askeri uygulamalarla ilgili belirli dosyaların ve dizin yollarının aranması ve bu verilerin sızdırılması, bu ağlara erişim kazanma niyetini güçlendiriyor. Bileşenler, faaliyeti gizlemek için temel gizleme veya gizlilik tekniklerinden yoksun olsa da, aktör bunun gerekli olmadığını düşünmüş olabilir. , çünkü birçok Android cihazın ana bilgisayar tabanlı bir algılama sistemi yoktur.”
Algıla, Yanıtla, Koru: Eksiksiz SaaS Güvenliği için ITDR ve SSPM
Kimlik Tehdit Algılama ve Yanıtının (ITDR) SSPM’nin yardımıyla tehditleri nasıl tanımladığını ve azalttığını keşfedin. Kurumsal SaaS uygulamalarınızın güvenliğini nasıl sağlayacağınızı ve ihlal sonrasında bile verilerinizi nasıl koruyacağınızı öğrenin.
Becerilerinizi Güçlendirin
Bu gelişme, Ukrayna Ulusal Siber Güvenlik Koordinasyon Merkezi’nin (NCSCC), Gamaredon (diğer adıyla Aqua Blizzard, Shuckworm veya UAC-0010) olarak bilinen Kremlin destekli başka bir hackleme ekibinin gizli bilgileri ele geçirmeye yönelik kimlik avı çabalarına ışık tutmasıyla gerçekleşti.
Devlet kurumu, 2013’ten bu yana defalarca Ukrayna’yı hedef alan tehdit aktörünün, Rus birliklerine yönelik karşı saldırı operasyonlarıyla ilgili hassas verileri toplamak amacıyla askeri ve devlet kurumlarına yönelik saldırılarını artırdığını söyledi.
NCSCC, “Gamaredon, kurbanlara virüs bulaştırmak için ele geçirilen kuruluşların çalınan meşru belgelerini kullanıyor” dedi. “Gamaredon, mağdurlara virüs bulaştırmak için ele geçirilen kuruluşların çalınan meşru belgelerini kullanıyor.”
Grubun, stratejik hedeflerine ulaşmak için “çok yönlü” kötü amaçlı yazılım araçlarından yararlanırken, komuta ve kontrol (C2) altyapısıyla ilgili bilgileri almak için Telegram ve Telegraph’ı çıkmaz çözümleyiciler olarak kötüye kullanma konusunda bir geçmişi var.
Bu, GammaDrop, GammaLoad, GammaSteel, LakeFlash ve Pterodo’yu kapsıyor; bunların sonuncusu casusluk ve veri sızdırma için geliştirilmiş çok amaçlı bir araç.
NCSCC, “Çeşitli modülleri yerleştirmedeki çok yönlülüğü, onu hedeflenen sistemlere hassas bir şekilde sızma ve tehlikeye atma yeteneğine sahip güçlü bir tehdit haline getiriyor.” dedi.
“Gamaredon, Ukrayna’yı hedef alan teknik açıdan en gelişmiş tehdit grubu olmasa da, taktikleri hesaplanmış bir evrim sergiliyor. Saldırıların artan sıklığı, operasyonel kapasitelerinin ve kaynaklarının arttığını gösteriyor.”