Siber güvenlik kuruluşu ESET, 16 Haziran tarihinde düzenlediği küresel online basın içtimasında, çarpıcı metotlar içerdiği için öne çıkan bir siber atağa dikkat çekti. ESET’in “Operation Interception” ismini verdiği siber atakta adeta yok yok: Linkedin tabanlı kimlik malumatı avı, yakalanmamak için tesirli hileler, maksatlı casusluk ve mali çıkar elde etmek için maksatlı hücum.
Hikaye Linkedin iletisiyle başlıyor
Online basın içtimasında akınlarla ilgili ayrıntıları, ESET Kanada Tehdit Araştırmaları Şefi Jean-Ian Boutin paylaştı. “Olay bir Linkedin iletisiyle başlıyor“ diyen Boutin, şöyle devam etti: “Mesaj, ilgili kesimde tanınmış bir şirketten gönderiliyor üzere gösterilen çok inandırıcı bir iş teklifi. Alışılmış ki Linkedin profili geçersiz ve bildiride gönderilen belgeler istenilmeyen hedefli.”
Makûs maksatlı yazılım içeren evrak paylaşılıyor
Alıcı, uydurma iş teklifiyle ilgili maaş malumatlarını içeren günahsız bir PDF dokümanı üzere görünen belgeyi açtığında bed hedefli yazılım, sessizce kurbanın bilgisayarına yerleşiyor. Bu formda, saldırganlar bir birinci tutunma yerini oluşturuyor ve sistem üzerinde kalıcılık sağlıyor.
Tesirli saklanma yolları
Belgeler doğruca Linkedin bildirileri üzerinden yahut bir OneDrive linki içeren e-posta yoluyla gönderiliyor. E-posta yoluyla yapılan gönderilerde saldırganlar, düzmece Linkedin şahıslarıyla eşleşen e-posta hesapları oluşturuyor. Bunun yanı sıra teknik olarak zekice kurgulanmış saklanma hileleriyle müdafaa yazılımlarının algılama mekanizmalarından kaçınmaya çalışılıyor.
Kimler maksat?
Doneler, çeşitli Avrupa uzay, havacılık ve askeri şirket ve çalışanlarının gaye alındığını gösteriyor. Saldırganların kullandığı araçlar arasında birden fazla hengam yasal yazılım üzere gizlenmiş olan hususî çok aşamalı istenilmeyen gayeli programlar ve açık kaynaklı araçların değiştirilmiş sürümleri nokta alıyor. Saldırganlar başkaca, berbat emelli operasyonları gerçekleştirmek için evvelden yüklenmiş Windows araçlarını da istismar etmiş görünüyor.
Saldırganlar kim?
Jean-Ian Boutin ve soruşturmaya liderlik eden ESET Araştırmacısı Dominik Breitenbacher’e nazaran, pek çok ipucu, istenilmeyen nam salmış Lazarus öbeği ile beklenen ilişkilere işaret ediyor. Lakin Breitenbacher, “Ne istenilmeyen emelli yazılım tahlili, ne de incelemeler, saldırganların hangi evrakları hedeflediği hakkında haber elde etmemize imkân vermedi” diyor.
Yalnızca malumat değil, para da kazanmaya çalıştılar
ESET araştırmacıları, olgu hırsızlığının yanı sıra saldırganların, istismar edilen hesapları farklı şirketlerden para çekme hedefiyle kullandıklarının da kanıtını buldu. Yani siber saldırganlar, elde ettikleri malumatları paraya da dönüştürme eforu içine giriştiler.
ESET araştırmacıları, “Kurbanın ağına erişmeye yönelik bu paraya çevirme teşebbüsü, hem içeriye sızmalara karşı güçlü bir savunmanın oluşturulması hem de çalışanlara siber güvenlik eğitiminin verilmesi için yeniden öteki bir sebep oluşturuyor. Bu türlü bir eğitim, çalışanların bu atak teşebbüsünde kullanılanlar üzere daha az bilinen çevre mühendislik tekniklerini anlamalarına yardımcı olabilir” diyerek laflarını tamamladı.
