Siber güvenlikte dünya önderi olan ESET, yeni APT (Gelişmiş Kalıcı Tehdit) kümesi BackdoorDiplomacy’yi gün yüzüne çıkardı. Bu küme, Orta Doğu’daki ve Afrika’daki dış alakalar bakanlıklarını ve telekomünikasyon şirketlerini gaye alıyor.
BackdoorDiplomacy, bilhassa USB flash şoförler başta olmak üzere çıkarılabilir ortamı algılayabiliyor ve bu ortamdaki içerikleri ana şoförün geri dönüşüm kutusuna kopyalayabiliyor. Web sunucularında internete açık olan, kolay ihlal edilebilir uygulamalara sızıyor ve bu uygulamalara ESET’in Turian ismini verdiği özel bir art kapı yüklüyor.
APT, bir kişi yahut kümenin bir ağa yetkisiz erişim sağladığı ve uzun bir mühlet boyunca algılanamadığı bilgisayar ağı saldırısı olarak tanımlanıyor. APT kümeleri, sofistike siber taarruzlar gerçekleştirebilecek hackerlardan oluşuyor. Büyük bir kurum, kuruluş yahut politik kümeleri hedefliyorlar. Ekseriyetle devlet takviyeli olan gelişmiş tehditlerde son birkaç yıl içerisinde devlet takviyesinde olmayan APT hücumları da görülmeye başlandı.
Diplomatik kuruluşlara sızıyorlar
ESET Araştırma uzmanları, 08 Haziran’da gerçekleştirilen ESET World konferansı kapsamında düzenlenen online basın toplantısında yeni APT kümesi BackdoorDiplomacy ile ilgili raporları sundu. ESET’te Tehdit Araştırma Kısmı Lideri olan ve ESET’te Kıdemli Tehdit İstihbarat Analisti Adam Burgher ile bu araştırmada birlikte çalışan Jean-Ian Boutin bu mevzudaki görüşlerini şöyle tabir etti: “BackdoorDiplomacy, Asya’da bulunan öbür kümelerle birebir taktikleri, teknikleri ve prosedürleri kullanıyor. Turian, Suriye’deki ve Amerika’daki diplomatları amaç alan ve en son 2013 yılında görülen Quarian art kapısının evrim geçirmiş, yeni evresine benziyor.” Turian’ın ağ şifreleme protokolü, Asya’da bulunan öteki bir küme olan Calypso’nun yönettiği Whitebird art kapısının kullandığı ağ şifreleme protokolü ile neredeyse tıpkı. Whitebird, BackdoorDiplomacy (2017-2020) ile birebir vakit aralığında Kazakistan’daki ve Kırgızistan’daki diplomatik kuruluşlarla sızdı.
Telekomünikasyon şirketleri de hedefte
Avrupa, Orta Doğu ve Asya’nın yanı sıra çeşitli Afrika ülkelerinin dış işleri bakanlıklarında BackdoorDiplomacy’nin kurbanları olduğu keşfedildi. Ayrıyeten Afrika’daki ve Orta Doğu ülkelerinin en az birindeki telekomünikasyon şirketleri de amaçlar ortasında. Tüm olaylarda operatörler emsal taktikleri, teknikleri ve prosedürleri (TTP’ler) kullansa da kullanılan araçlar farklılık gösteriyordu, hatta coğrafik açıdan birbirine yakın bölgelerde kümenin izini sürmek daha zordu.
Aynı vakitte BackdoorDiplomacy, Windows ve Linux sistemlerini amaç alan platformlar ortası bir küme. Küme, internete açık irtibat noktalarına sahip sunucuları gaye alıyor ve ekseriyetle zayıf bir halde şifrelenmiş evrak yükleme güvenliğinden yahut yamalanmamış güvenlik açıklarından yararlanıyor. Data toplama yürütülebilir belgeleri, kurbanların alt kümelerini maksat alır. Bu belgeler çıkarılabilir ortamı (çoğunlukla USB flash sürücüler) aramak üzere tasarlanmıştır. İmplant, rutin olarak bu üzere şoförleri tarar ve bu taramalarda çıkarılabilir ortamın takıldığını algıladığında şoförlerdeki tüm evrakları şifreyle korunan bir arşive kopyalamaya çalışır. BackdoorDiplomacy kurbanın sistem bilgilerini çalabilir, ekran imajı alabilir, evrakları yazabilir, evrakların yerini değiştirebilir yahut silebilir.
Kaynak: (BHA) – Beyaz Haber Ajansı
