?>

Kaspersky Lab'den "TajMahal" uyarısı

-Kaspersky Lab Zararlı Yazılım Baş Analisti Alexey Shulmin: -"TajMahal’in bilindik tehdit gruplarıyla bağını gösteren herhangi bir ipucu bulunmuş değil"

Genel - 6 yıl önce

İSTANBUL (AA) - Kaspersky Lab, teknik açıdan çok gelişmiş olan Siber Casusluk Platformu TajMahal'ın kurumları tehdit ettiğini bildirdi.

Kaspersky Lab açıklamasına göre, Kaspersky Lab araştırmacılarını TajMahal’i 2018’in sonlarında keşfetti. Teknik açıdan çok gelişmiş bir APT platformu olan TajMahal, kapsamlı siber casusluk çalışmaları için tasarlandı. Zararlı yazılım üzerinde yapılan analizlerde platformun en az beş yıldır kullanıldığı belirlendi. Tespit edilen en eski örnek Nisan 2013 tarihliyken en sonuncusu ise Ağustos 2018’de görüldü. TajMahal adı çalınan verileri dışarı çıkarmada kullanılan dosyanın adından geliyor.

TajMahal platformunun ‘Tokyo’ ve ‘Yokohama’ adlı iki ana paketten oluştuğuna inanılıyor.

Daha küçük olan Tokyo’da yaklaşık üç adet modül bulunuyor. Ana arka kapı işlevini içeren bu paket komut ve kontrol sunucularına belirli aralıklarla bağlanıyor. PowerShell’den yararlanan Tokyo, sızma işleminin ikinci aşamasında bile ağda kalmaya devam ediyor.

İkinci aşama ise Yokohama adlı tam donanımlı casusluk paketiyle gerçekleşiyor. Yokohama’da tüm eklentilere sahip bir Sanal Dosya Sistemi (VFS), açık kaynaklı ve özel üçüncü taraf kütüphaneleri ve yapılandırma dosyaları bulunuyor. Paketteki yaklaşık 80 modül arasında yükleme ve yönetim araçları, komut ve kontrol iletişimini sağlayan araçlar, ses ve tuş kaydediciler, ekran ve web kamerası görüntülerini saklayan araçlar, belge ve şifre anahtarı hırsızları yer alıyor.

TajMahal ayrıca tarayıcı çerezlerini de çalabiliyor, Apple mobil cihazları için yedek listeyi toplayabiliyor, CD’ye yazılan verileri ve yazıcı sırasında bekleyen belgeleri alabiliyor. Bir USB bellekten bakılan herhangi bir dosyanın çalınmasını da talep edebiliyor. USB bellek tekrar takıldığında dosya alınıyor. Kaspersky Lab’ın tespit ettiği hedeflerde hem Tokyo hem de Yokohama’nın bulunduğu görüldü. Bu da Tokyo’nun ilk aşamada kullanılarak ilgili hedeflere tam fonksiyonlu Yokohama’yı kurduğunu, ardından yedekleme amacıyla ayrıldığını gösteriyor.

Şimdiye kadar gözlemlenen tek kurban Orta Asya’dan yabancı bir diplomatik kurum oldu. Bu kuruma 2014’te sızıldığı belirlendi. TajMahal’in dağıtım ve bulaşma vektörleri henüz bilinmiyor.

Açıklamada görüşlerine yer verilen Kaspersky Lab Zararlı Yazılım Baş Analisti Alexey Shulmin, TajMahal platformunun çok ilginç etkileyici bir keşif olduğunu belirtti. Teknik düzeyi şüphe götürmeyecek kadar yüksek olan platformda daha önce hiçbir gelişmiş kalıcı tehdit grubunda görülmeyen işlevler bulunduğunu aktaran Shulmin, "Bunun hakkında akıllarda kalan bazı sorular var. Örneğin, bu tür büyük bir yatırımın yalnızca tek bir hedef için yapılmış olması pek ihtimal dahilinde değil. Bu da henüz tespit edilmemiş kurbanlar olduğuna veya bu zararlı yazılımın başka sürümlerinin de bulunduğuna işaret ediyor. Muhtemelen her ikisi de var. Tehdidin dağıtım ve bulaşma vektörleri de henüz bilinmiyor. Platform bir şekilde beş yıldan fazla süredir gizli kalmayı başarmış. Bunun platformun faaliyet göstermemesinden mi yoksa başka bir nedenden mi olduğu da merak uyandırıyor. TajMahal’in bilindik tehdit gruplarıyla bağını gösteren herhangi bir ipucu da bulunmuş değil." değerlendirmesinde bulundu.

Kaspersky Lab’ın tüm ürünleri bu tehdidi tespit edip engelleyebiliyor.

-Kaspersky Lab'den öneriler

Kaspersky Lab araştırmacıları, tanınmış veya tanınmamış bir tehdit grubu tarafından düzenlenen bu tür bir saldırıdan etkilenmemek için şunları öneriyor:

"Kaspersky Anti Targeted Attack Platform (KATA) gibi gelişmiş güvenlik araçları kullanın ve güvenlik ekibinizin en güncel siber tehdit istihbaratına erişmesini sağlayın. Kurumunuzda kullandığınız tüm yazılımları düzenli bir şekilde güncellediğinizden emin olun. Yeni bir güvenlik yaması yayınlandığında bunu hemen kurun. Açık Değerlendirme ve Yama Yönetimi özelliklerine sahip güvenlik çözümleri, bu işlemleri otomatik hale getirmenize yardımcı olur. Açıklar da dahil olmak üzere bilinen ve bilinmeyen tehditlere karşı etkili koruma için davranış tabanlı tespit özellikleriyle donatılan, Kaspersky Endpoint Security gibi başarısı kanıtlanmış bir güvenlik çözümünü tercih edin. Ekibinizin temel siber güvenlik önlemlerini almasını sağlayın. Çoğu hedefli saldırıların kimlik avı veya diğer sosyal mühendislik yöntemleriyle başladığını unutmayın."

TajMahal APT platformu hakkındaki rapor Securelist sayfasında bulabiliyor.

Haftanın Öne Çıkanları

Nişantaşı Üniversitesinden, gastronomi ve mutfak sanatları eğitimi

2019-04-09 13:11 - Genel

Karani: "CHP Abdullah Öcalan için dönüştürülüyor"

2019-04-06 20:24 - Özel Haber

Jandarma uzman erbaşlar terörle mücadele için hazır

2019-04-05 17:57 - Gündem

Onbinlerce seveni Başbuğu kabri başında andı

2019-04-04 15:31 - Politika

Türk Eximbank, İslam Kalkınma Bankası ile iş birliğini çeşitlendiriyor

2019-04-06 14:06 - Ekonomi

Küçük Nevin kocaman yüreğiyle bakın ne yapıyor

2019-04-05 13:32 - İnsan&Hayat

Casus işçiye kötü haber

2019-04-04 14:44 - Asayiş

Yeni seçilen meclis üyesi vefat etti

2019-04-09 22:02 - Gündem

Boş arazide ortaya çıkan insan kemikleri korkuttu

2019-04-08 01:17 - Asayiş

Dededen toruna uzanan 88 yıllık muhtarlık serüveni

2019-04-04 18:47 - Gündem

İlgili Haberler

Çevre, Şehircilik ve İklim Değişikliği Bakanlığı 'Yarısı Bizden' kampanyasıyla ilgili soruları cevapladı

20:30 - Genel

Günün Manşetleri

İsrail basınına göre, Slovenya, İsrail'in Eurovision 2025'ten çıkarılmasını resmen talep etti

02:48 - Medya

Kar paylarında tevkifat oranı artırıldı

01:38 - Ekonomi

E-ticaret kapsamında mal satışı ve hizmetlerde tevkifat oranı yüzde 1 olarak belirlendi

01:33 - Ekonomi

Diyanet İşleri Başkanlığının 4 bin imam hatip alım ilanı Resmi Gazete'de

01:18 - İslam-Hayat - CemâziyeleAhir 1446

Halep'te binlerce kişi, Syria Relief tarafından düzenlenen konsere katıldı

01:07 - Magazin