İki siber hata çetesi malumat hırsızlığı için işbirliği yapıyor

ESET, 16 Haziran tarihinde düzenlediği küresel online basın içtimasında, sıra dışı siber akın sistemleri ve gerilerindeki siber kabahat çetelerine ait 2. tahlilini de paylaştı.

ESET araştırmacıları, karanlık bir geçmişe sahip InvisiMole çetesinin, güncellenmiş siber taarruz araçlarıyla Şark Avrupa memleketlerinde askeri ve diplomatik hizmetlerde öne çıkan kurumları gaye aldığını tespit etti. 2013 yılından beri faal olduğu kestirim edilen InvisiMole’un, belgelendirilmiş birinci hücumları Ukrayna ve Rusya’da amaçlandırılmış siber casusluk ve kurbanlarını gözetlemek hedefliydi. 

Güzel donatılmış art kapılara sahip

InvisiMole’u tahlil eden ESET araştırmacısı Zuzana Hromcova, “O vakitler, şaşırtıcı raddede güzel donatılmış art kapıları bulmuştuk ancak fotoğrafın büyük bir kısmı kayıptı“ haberini paylaştı. Etkilenen kurumlar ile işbirliği içinde atakların incelenmesi sayesinde ESET araştırmacıları, InvisiMole’un çalışmalarındaki detayları ve kullandıkları araç setlerini belgelendirme imkanı buldu.

Karanlık siber işbirliği

İncelemenin ana bulgularından biri, InvisiMole çetesinin sair bir tehdit çetesi olan Gamaredon ile işbirliği yaptığının ortaya çıkması oldu. Araştırmacılar, InvisiMole’un cephanesinin, Gamaredon tarafından laf konusu ağa evvelden sızılması ve muhtemelen başkan müsaadeleri ele geçirildikten sonra pratiğe konulabildiğini keşfetti.

ESET Araştırmacısı Zuzana Hromcova, “Araştırmalarımız, gayelere yönelik akınların, görece olağan Gamaredon bed emelli yazılımlarından gelişmiş InvisiMole berbat gayeli yazılımlarına dönüştürüldüğünü gösteriyor. Bu durum, InvisiMole çetesinin radara yakalanmadan taarruzlar düzenleyebilmek için yaratıcı yollar geliştirdiğini gösteriyor” dedi.

Yakalanmamak için şifrelenmiş teknikler kullanılmış

Araştırmacılar, InvisiMole’un radara yakalanmamak için dört farklı çalıştırma zinciri kullandığını, bunları makûs hedefli kabuk kodu, yasal araçlar ve zafiyete sahip çalıştırılabilir programlarla birleştirerek işlediklerini tespit etti. Güvenlik araştırmacılarından gizlemek için InvisiMole bileşenleri, her kurban için münferit şifrelemeyle korunuyor; yük şifresinin yalnızca etkilenen bilgisayarda çözülebilmesi ve yükün orada çalıştırılabilmesini temin ediyorlar. Güncellenmiş InvisiMole araç kümesi ayrıyeten daha bilinmeyen C&C muhaberesi için DNS tünellemesi kullanan yeni bir bileşene sahip.

Çetenin güncellenmiş araç kümesini tahlil eden araştırmacılar, evvelce tahlil edilen sürümlerle karşılaştırıldığında kıymetli iyileştirmelerin yapıldığını gözlemledi. Zuzana Hromcova, “Yeni datalar sayesinde çetenin bed emelli faaliyetlerini daha âlâ takip etme imkanı bulacağız” diyerek kelamlarını tamamladı.