Devlet kurumları, diplomatlar ve telekom operatörleri gelişmiş kalıcı tehditlerin (APT) öncelikli maksatları olma eğilimindedir. Zira kelam konusu bireyler ve kurumlar doğal olarak epeyce zımnî ve hassas bilgilere sahiptir. Bundan çok daha nadir görülen başka bir hücum çeşidi ise endüstriyel varlıklara yönelik siber casusluk teşebbüsleridir. Bunlar endüstriyel sistemlere yönelik başka tüm hücumlar üzere işletme için yıkıcı sonuçlar doğurabilir. Bu nedenle MontysThree’nin aktifliği Kaspersky araştırmacılarının çabucak dikkatini çekti.
MontysThree, casusluk faaliyetlerini gerçekleştirmek için dört kesimden oluşan bir berbat emelli yazılım seti kullanıyor. Bunlardan birincisi olan yükleyici, kişi listeleri, teknik dokümantasyonlar ve tıbbi tahlil sonuçları üzere ilgi cazip bilgilerini içeriyormuş üzere görünen RAR SFX evraklarını (kendiliğinden açılan arşivler) kullanılarak çalışanları bunları indirmeye ve çalıştırmaya ikna ediyor. Yükleyici, öncelikle makus emelli yazılımın sistemde algılanmamasını sağlamaktan sorumlu. Bunu yapmak için steganografi olarak bilinen bir teknikten yardım alıyor.
Steganografi, saldırganlar tarafından bilgilerin değiş tokuş edildiği gerçeğini gizlemek için kullanılıyor. MontysThree örneğinde makus gayeli yük, bir Bitmap imaj belgesi içinde gizleniyor. Yanlışsız komut girildiğinde yükleyici, piksel dizisindeki içeriğin şifresini çözmek ve berbat hedefli yükü çalıştırmak için özel olarak hazırlanmış bir algoritmadan faydalanıyor.
Makûs gayeli yük, algılamadan kaçınmak için birkaç şifreleme tekniğini birden kullanıyor. Yani denetim sunucusuyla irtibatı şifrelemek ve makus emelli yazılımdan atanan ana vazifelerin şifresini çözmek için bir RSA algoritmasından faydalanıyor. Bu, makul uzantılara sahip ve muhakkak şirket dizinlerinde yer alan dokümanların aranması işini üstleniyor. MontysThree bilhassa Microsoft ve Adobe Acrobat evraklarını hedeflemek için tasarlanmış oluşuyla dikkat çekiyor. Ayrıyeten saldırganların ilgisini çekip çekmeyeceğini görmek için maksadın ekran manzaralarını ve sistemin parmak izini (sisteme dair ağ ayarları, ana bilgisayar ismi gibi) yakalayabiliyor.
Toplanan bilgiler ve denetim sunucusuyla bağlantı süreci Google, Microsoft ve Dropbox üzere genel bulut hizmetlerinde barındırılıyor. Bu, bağlantı trafiğinin makus emelli olarak algılanmasını zorlaştırıyor ve hiçbir antivirüs bu hizmetleri engellemediğinden, denetim sunucusunun komutları kesintisiz olarak yürütmesini sağlıyor.
MontysThree, virüslü sistemde kalıcılık sağlamak için Windows Süratli Başlatma üzerinde değişiklik yapmak üzere kolay bir yoldan yararlanıyor. Kullanıcılar, Süratli Başlatma araç çubuğunu kullanarak internet tarayıcı üzere uygulamaları her çalıştırdıklarında, makus hedefli yazılımın birinci modülünü de faal hale getirmiş oluyor.
Uzmanlar, kullanılan makus gayeli kodda yahut altyapıda bilinen APT’lerle rastgele bir benzerliğe rastlamadı.
Kaspersky Global Araştırma ve Tahlil Takımı Kıdemli Güvenlik Araştırmacısı Denis Legezo, bulgulara dair şunları söyledi: “MontysThree endüstriyel holdingleri hedefleyen, karmaşık ve amatör TTP’lerin birleşiminden doğmuş enteresan bir araç. Gelişmişliği modülden modüle değişse de en gelişmiş APT’lerle kıyaslanacak düzeyde değil. Fakat güçlü kriptografik standartlar kullanması ve özel steganografi tekniklerinden yararlanması epeyce dikkat cazibeli. Saldırganların MontysThree araç setini geliştirmek için değerli bir efor sarf ettikleri ve maksatlarını gerçekleştirmekte kararlı oldukları, bunun kısa ömürlü bir kampanya olmadığı açık.”
