DeathStalker nedir? Nasıl siber taarruz düzenliyor?

Gündemde daima devlet takviyeli tehdit kümeleri ve gelişmiş ataklar olsa da şirketler günümüzde birçok farklı tehditle her an karşı karşıya. Fidye yazılımlarından bilgi sızıntılarına ve ticari casusluğa kadar uzanan bu tehditler şirketlerin çalışmalarına ve prestijine ziyan verebiliyor. Bu çeşit akınlar orta seviye ziyanlı yazılım yöneticileri ve bazen de uzmanların 2018’den beri takip ettiği DeathStalker üzere kiralık kümeler tarafından düzenleniyor.

DeathStalker, hukuk şirketleri ve finans kuruluşlarına yönelik siber casusluk hücumlarına ağırlaşmasıyla başka tehdit kümelerinden ayrılıyor. Yeniliklere çok süratli ahenk sağlayabilen ve yazılım dizaynında süratle çoğaltmaya yönelik bir yaklaşım sergileyen küme, tesirli taarruzlar düzenleyebiliyor.

Kaspersky yaptığı araştırmalarla Powersing, Evilnum ve Janicab ziyanlı yazılım aileleri ile DeathStalker’ın faaliyetleri ortasında bir ilişki kurabildi. Bu da kümenin en az 2012’den bu yana ne kadar geniş bir yelpazede faaliyet gösterdiğini gözler önüne seriyor. Powersing, 2018’den bu yana izlenirken öbür iki ziyanlı yazılım ailesi ise öteki siber güvenlik markaları tarafından raporlandı. Bu üç ziyanlı yazılım ailesinin kodlarındaki ve kurbanlarındaki benzerlik, araştırmacıların bunlar ortasında bir ilgi olduğunu düşünmesini sağladı.

Yıllardır birebir taktik, teknik ve prosedürleri kullanan bu tehdit kümesi, ziyanlı evraklar içeren arşivleri dağıtmak için gayeli kimlik avı e-postalarından yararlanıyor. Kullanıcı kısayola tıkladığında ziyanlı kod çalışmaya başlıyor ve internet üzerinden ek bileşenler indiriyor. Böylelikle saldırganlar kurbanın makinesinin denetimini ele geçiriyor.

Bu tehdit kümesinden tespit edilen birinci ziyanlı yazılım olan Powersing, Power-Shell tabanlı bir sızma programıydı. Yazılım kurbanın aygıtına yüklendikten sonra makul aralıklarla ekran manzarası alıp istediği Powershell kodunu çalıştırabiliyordu. Sızılan aygıttaki güvenlik tahliline nazaran alternatif formüller kullanarak kendini gizleyen bu ziyanlı yazılım, tespit edilmekten kaçınabiliyor, her taarruz öncesinde kümeye sinyal göndererek tespit testleri yapılmasını sağlıyor ve elde edilen sonuçlara bağlı olarak kodlarını güncelleyebiliyor.

DeathStalker, Powersing yazılımını kullandığı taarruzlarda birinci art kapı irtibatlarını olağan ağ trafiğine gizlemek için tanınmış bir servisten yararlanıyordu. Bu da güvenlik tahlillerinin operasyonlarını zorlaştırıyordu. Çeşitli toplumsal medya ağları, blog ve iletileşme servislerine yerleştirilen ve ek komut ve denetim altyapısına yönlendiren büyük ölçüde bilgi sayesinde hatalılar tespit edilmeden saldırıyı tamamlayabiliyordu. Atağa uğrayan kurbanlar öbür yerlere erişmek istediklerinde bu bilgiler tarafından yönlendiriliyordu. Bu da bağlantının bâtın kalmasını sağlıyordu.

DeathStalker’ın dünyanın her yerinde faaliyet göstermesi kümenin operasyonlarının boyutunu ortaya koyuyor. Powersing kullanılan hadiselere Arjantin, Çin, Kıbrıs, İsrail, Lübnan, İsviçre, Tayvan, Türkiye, Birleşik Krallık ve Birleşik Arap Emirlikleri’nde rastlandı. Kaspersky ayrıyeten Kıbrıs, Hindistan, Lübnan, Rusya ve Birleşik Arap Emirlikleri’nde Evilnum’un maksadı olan kullanıcılar tespit etti. 

“DeathStalker, özel daldaki kurumların kendilerini muhafazası gereken tehdit kümelerinin en kıymetli örneklerinden biri. APT kümelerinin faaliyetlerini izlerken, DeathStalker bize güvenliğe ehemmiyet vermediği bilinen kurumların maksat olabileceğini hatırlattı. Son faaliyetlerine bakarak DeathStalker’ın bir tehdit olarak kalmayı sürdüreceğini ve yeni araçlarla kurumları maksat alacağını iddia ediyoruz. Bu küme, küçük ve orta uzunluk şirketlerin de güvenliğe ve güvenlik farkındalığı eğitimine yatırım yapması gerektiğini gösteriyor.” diyen Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Ivan Kwiatkowski, kelamlarını şöyle sürdürdü: “DeathStalker’dan korunmak isteyen kurumlara, powershell.exe ve script.exe üzere kodlama lisanlarını kullanma özelliğini devre dışı bırakmalarını tavsiye ediyoruz. Ayrıyeten, düzenlenecek farkındalık eğitimleri ve güvenlik eseri değerlendirmelerinde kısayol evraklarının kullanıldığı taarruzlara da yer verilmesini öneriyoruz.”