Siber güvenlikte dünya başkanı olan ESET, yeni APT (Gelişmiş Kalıcı Tehdit) kümesi BackdoorDiplomacy’yi gün yüzüne çıkardı. Bu küme, Orta Doğu’daki ve Afrika’daki dış ilgiler bakanlıklarını ve telekomünikasyon şirketlerini amaç alıyor.
BackdoorDiplomacy, bilhassa USB flash şoförler başta olmak üzere çıkarılabilir ortamı algılayabiliyor ve bu ortamdaki içerikleri ana şoförün geri dönüşüm kutusuna kopyalayabiliyor. Web sunucularında internete açık olan, kolay ihlal edilebilir uygulamalara sızıyor ve bu uygulamalara ESET’in Turian ismini verdiği özel bir art kapı yüklüyor.
APT, bir kişi yahut kümenin bir ağa yetkisiz erişim sağladığı ve uzun bir müddet boyunca algılanamadığı bilgisayar ağı saldırısı olarak tanımlanıyor. APT kümeleri, sofistike siber akınlar gerçekleştirebilecek hackerlardan oluşuyor. Büyük bir kurum, kuruluş yahut politik kümeleri hedefliyorlar. Çoklukla devlet dayanaklı olan gelişmiş tehditlerde son birkaç yıl içerisinde devlet dayanağında olmayan APT taarruzları da görülmeye başlandı.
Diplomatik kuruluşlara sızıyorlar
ESET Araştırma uzmanları, 08 Haziran’da gerçekleştirilen ESET World konferansı kapsamında düzenlenen online basın toplantısında yeni APT kümesi BackdoorDiplomacy ile ilgili raporları sundu. ESET’te Tehdit Araştırma Kısmı Lideri olan ve ESET’te Kıdemli Tehdit İstihbarat Analisti Adam Burgher ile bu araştırmada birlikte çalışan Jean-Ian Boutin bu mevzudaki görüşlerini şöyle tabir etti: “BackdoorDiplomacy, Asya’da bulunan başka kümelerle birebir taktikleri, teknikleri ve prosedürleri kullanıyor. Turian, Suriye’deki ve Amerika’daki diplomatları maksat alan ve en son 2013 yılında görülen Quarian art kapısının evrim geçirmiş, yeni etabına benziyor.” Turian’ın ağ şifreleme protokolü, Asya’da bulunan öteki bir küme olan Calypso’nun yönettiği Whitebird art kapısının kullandığı ağ şifreleme protokolü ile neredeyse birebir. Whitebird, BackdoorDiplomacy (2017-2020) ile tıpkı vakit aralığında Kazakistan’daki ve Kırgızistan’daki diplomatik kuruluşlarla sızdı.
Telekomünikasyon şirketleri de hedefte
Avrupa, Orta Doğu ve Asya’nın yanı sıra çeşitli Afrika ülkelerinin dış işleri bakanlıklarında BackdoorDiplomacy’nin kurbanları olduğu keşfedildi. Ayrıyeten Afrika’daki ve Orta Doğu ülkelerinin en az birindeki telekomünikasyon şirketleri de amaçlar ortasında. Tüm olaylarda operatörler emsal taktikleri, teknikleri ve prosedürleri (TTP’ler) kullansa da kullanılan araçlar farklılık gösteriyordu, hatta coğrafik açıdan birbirine yakın bölgelerde kümenin izini sürmek daha zordu.
Aynı vakitte BackdoorDiplomacy, Windows ve Linux sistemlerini maksat alan platformlar ortası bir küme. Küme, internete açık temas noktalarına sahip sunucuları maksat alıyor ve ekseriyetle zayıf bir halde şifrelenmiş belge yükleme güvenliğinden yahut yamalanmamış güvenlik açıklarından yararlanıyor. Bilgi toplama yürütülebilir belgeleri, kurbanların alt kümelerini amaç alır. Bu evraklar çıkarılabilir ortamı (çoğunlukla USB flash sürücüler) aramak üzere tasarlanmıştır. İmplant, rutin olarak bu üzere şoförleri tarar ve bu taramalarda çıkarılabilir ortamın takıldığını algıladığında şoförlerdeki tüm evrakları şifreyle korunan bir arşive kopyalamaya çalışır. BackdoorDiplomacy kurbanın sistem bilgilerini çalabilir, ekran manzarası alabilir, belgeleri yazabilir, evrakların yerini değiştirebilir yahut silebilir.
Kaynak: (BHA) – Beyaz Haber Ajansı
