İSTANBUL (AA) - Devlet kurumları ve diplomatik kuruluşları hedef alan ve Rusça konuşan kişilerden oluşan Turla tehdit grubunun yeni araçlarla siber casusluk faaliyeti yürüttüğü belirlendi.
Kaspersky'den yapılan açıklamaya göre, daha önce kullandıkları ünlü JavaScript KopiLuwak zararlı yazılımını, hedef bilgisayara kötü niyetli programlar kuran Topinambour (yer elması) adlı yeni bir şekilde sunan grup, farklı dillerde iki benzer sürüm çıkardı.
- Yasal programların kurulum paketleriyle kurbanlara ulaşıyor
Zararlı yazılım, internet sansürüne karşı kullanılan programların kurulum dosyaları üzerinden bulaşıyor. Araştırmacılar, bu yöntemlerin tespiti zorlaştırmak ve belirli kişileri hedef alabilmek için kullanıldığına inanıyor. Topinambour, 2019'un başında devlet kurumlarına yönelik saldırılarda tespit edildi.
Rusça konuşan kişilerden oluşan yüksek profilli tehdit grubu Turla, devlet kurumları ve diplomatik kuruluşları hedef alan siber casusluk faaliyetleriyle biliniyor. Yenilikçi yöntemleriyle tanınan grubun KopiLuwak adlı ünlü zararlı yazılımı ilk olarak 2016 sonlarında gözlemlenmişti. 2019'da Kaspersky araştırmacıları, bu tehdit grubunun yeni araçlar ve teknikler kullanarak tespit edilme ihtimalini daha da azalttığını belirledi.
Turla tarafından kullanılan Topinambour, JavaScript KopiLuwak zararlı yazılımını dağıtmaya yarayan bir .NET dosyası. Bu dosya, internet sensörünü aşmada kullanılan VPN gibi yasal programların kurulum paketlerine bulaşarak kurbanlara ulaşıyor.
- Siber casusluk için tasarlandı
Siber casusluk amacıyla tasarlanan KopiLuwak, Turla’nın yeni bulaştırma yöntemleri sayesinde tespit edilmekten kurtulabiliyor. Zararlı yazılımın komut ve kontrol altyapısında sıradan LAN adreslerini taklit eden IP’ler bulunuyor. Bunun yanı sıra zararlı yazılım neredeyse tamamen dosyasız bir yapıya sahip. Bulaşma sürecinin son aşamasında uzaktan yönetim için kullanılan şifreli bir Truva atı, bilgisayarın kayıt defterine zararlı yazılım hazır olduğunda erişebilmesi için ekleniyor.
KopiLuwak’ın iki sürümü .NET RocketMan Trojan ve PowerShell MiamiBeach Trojan da siber casusluk için tasarlandı. Araştırmacılar, bu sürümlerin, KopiLuwak’ı tespit edebilen güvenlik yazılımlarına sahip hedeflere yönelik hazırlandığını düşünüyor.
Bu üç sürüm de kurulduktan sonra şunları yapabiliyor:
"Ne tür bir bilgisayara erişebildiğini anlamak için hedefi ayrıntılı şekilde inceleme, sistem ve ağ adaptörleri hakkında bilgi toplama, dosya çalma, başka zararlı yazılımlar indirip çalıştırma. MiamiBeach sürümü ayrıca ekran görüntüsü de alabiliyor."
- "Yenilenmiş araç setiyle faaliyete geçildi"
Açıklamada görüşlerine yer verilen Kaspersky Baş Güvenlik Araştırmacısı Kurt Baumgartner, Turla'nın bu yıl yenilenmiş bir araç setiyle faaliyete geçtiğini ve yeni özelliklerin güvenlik çözümleri ve araştırmalardan kaçınmak için eklendiğini aktardı.
VPN yazılımlarının kurulum paketlerinin kullanılmasının, saldırganların bu araçları siber casusluk aracı olarak kabul ettiğinin bir kanıtı olduğunu belirten Baumgartner, şunları kaydetti:
"Bu özellikler ve yöntemler arasında zararlı yazılımın dijital izini küçültmek ve iyi bilinen KopiLuwak zararlı yazılımının birbirine benzer fakat ayrı iki sürümünü çıkarmak yer alıyor. Bu gelişmeler, APT’lerin kullandığı en yeni araçlar ve tekniklere karşı koruma sağlayan güvenlik yazılımları ve tehdit istihbaratına duyulan ihtiyacı hatırlatıyor. Örneğin, uç nokta koruması ve kurulum yazılımını indirdikten sonra dosya kodlarını kontrol etme gibi yöntemler Topinambour gibi tehditlere karşı koruma sağlıyor."
- "Güvenlik farkındalığı eğitimleri düzenlenmeli"
Kaspersky, karmaşık siber casusluk operasyonlarının kurbanı olma ihtimalini azaltmak için şu önlemlerin alınmasını tavsiye ediyor:
"Çalışanların potansiyel zararlı uygulama veya dosyaları tanıyabilmesi ve bunlardan kaçınması için güvenlik farkındalığı eğitimleri düzenleyin. Örneğin, çalışanlar güvenilmeyen veya bilinmeyen kaynaklardan herhangi bir uygulama ya da program indirip çalıştırmamalı. Uç nokta seviyesinde tespit, soruşturma ve vakalara zamanında müdahale için Kaspersky Endpoint Detection and Response gibi bir uç nokta tespit ve müdahale çözümü kullanın. Mutlaka bulunması gereken uç nokta koruma çözümlerinin yanı sıra gelişmiş tehditleri ilk aşamada ağ düzeyindeyken tespit eden, Kaspersky Anti Targeted Attack Platform gibi kurumsal sınıf bir güvenlik çözümü kullanın. Güvenlik merkezi ekiplerinizin en yeni tehdit istihbaratı verilerine ulaşmasını sağlayın. Böylece tehdit grupları tarafından kullanılan yeni araçlar, teknikler ve taktikler hakkında güncel bilgiye sahip olabilirler."