Transparent Tribe (PROJECTM ve MYTHIC LEOPARD olarak da biliniyor) düzenlediği büyük casusluk akınlarıyla siber güvenlik sanayisinde tanınan bir küme. 2013’ten bu yana faaliyetlerini sürdüren küme 2016’dan itibaren Kaspersky’nin takibi altında.
Kümenin sistemlere sızmak için içinde bir makro bulunan ziyanlı dokümanlar kullanmayı tercih ediyor. En sık kullandığı ziyanlı yazılım ise Crimson isimli uzaktan erişim Truva atı. Farklı bileşenlerden oluşan bu araç saldırganların sızdıkları makinelerde çeşitli süreçler yapmasını sağlıyor. Bu araç sayesinde saldırganlar evrak sistemlerini uzaktan denetim edebiliyor, ekran manzarası alabiliyor, mikrofonlarla ortam dinlemesi yapabiliyor, web kameralarıyla manzara alabiliyor ve çıkarılabilir depolama aygıtlarından belge çalabiliyor.
Kümenin kullandığı taktikler ve prosedürler yıllar içinde pek değişmese de Kaspersky’nin yaptığı araştırmada kümenin makul akınlar için yeni programlar geliştirdiği görüldü. Geçtiğimiz yıl kümenin faaliyetlerini takip eden Kaspersky araştırmacıları, güvenlik tahlillerinin Crimson RAT olarak tanımladığı bir .NET belgesi tespit etti. Yapılan tahlillerde belgenin aslında daha farklı bir şey olduğu görüldü. Saldırganların sızdıkları makineleri yönetmek için sunucu tarafında yeni bir Crimson RAT bileşeni kullandığı anlaşıldı. İki farklı sürümü olan bu belgenin 2017, 2018 ve 2019’da derlendiği görüldü. Bu da yazılımın hala geliştirilme etabında olduğunu ve APT kümesinin yazılımı daha âlâ hale getirmeye çalıştığını gösteriyor.
Kullanılan aktüel bileşen listesiyle birlikte uzmanlar, kümenin gelişim sürecini ve faaliyetlerini gözlemleme fırsatı yakaladı. Transparent Tribe’ın büyük hücumlar başlattığı, yeni araçlar geliştirdiği ve dikkatini Afganistan’a çevirdiği görüldü.
Genel olarak, araştırmacılar Haziran 2019 ile Haziran 2020 ortasında belirlenen tüm bileşenleri 27 ülkeden 1090 gayede tespit etti. Akınlardan en çok etkilenen ülkeler Afganistan, Pakistan, Hindistan, İran ve Almanya oldu.
Ggüvenlik analisti Giampaolo Dedola, “Yaptığımız incelemeler, Transparent Tribe’ın birçok maksada karşı ağır bir faaliyet içerisine girdiğini gösteriyor. Son 12 ay içinde askeri ve diplomatik amaçlara geniş kapsamlı hücumlar yapıldığını gözlemledik. Bu hücumlar büyük bir altyapıyla destekleniyordu. Ayrıyeten kümenin kullandığı silahların da daima geliştiğini gördük. Küme ana silahı olan Crimson RAT ile hassas amaçlarda istihbarat toplamaya devam ediyor. Kümenin yakın gelecekte yavaşlamasını beklemiyoruz. Takibi sürdüreceğiz.” dedi.
Uzmanlar, bu tehditten korunmak isteyenlere şu güvenlik tedbirlerini almalarını tavsiye ediyor:
Uç nokta düzeyinde tespit, soruşturma ve olaylara vaktinde müdahale için bir uç nokta tespit ve müdahale tahlili kullanın.
Kesinlikle bulunması gereken uç nokta muhafaza tahlillerinin yanı sıra gelişmiş tehditleri birinci kademede ağ seviyesindeyken tespit eden bir kurumsal sınıf bir güvenlik tahlili kullanın.
Takımınızın temel siber güvenlik tedbirlerini öğrenmesini sağlayın. Birden fazla amaçlı akınların kimlik avı yahut başka toplumsal mühendislik teknikleriyle başladığını unutmayın. Uygulamalı gösterimler yaparak kimlik avı e-postalarını ayırt edebilmelerini sağlayın.
