• BIST 10447.36
  • Altın 2449.904
  • Dolar 32.6972
  • Euro 34.9143
  • Bursa 34 °C
  • İstanbul 24 °C
  • Ankara 31 °C

Avrupalı diplomatlar tehlike altında

Avrupalı diplomatlar tehlike altında
Avrupalı diplomatlar siber casusların hedefinde...

ESET, Lunar araç setinin en az 2020'den beri kullanıldığına inanıyor. ESET araştırmacıları taktikler, teknikler ve prosedürler ile geçmiş faaliyetler arasındaki benzerlikler göz önüne alındığında bu tehlikeleri kötü şöhretli Rusya'ya bağlı siber casusluk grubu Turla'ya atfediyor. Kampanyanın amacı siber casusluk. 

Tanımlanamayan bir sunucuda konuşlandırılan ve bir dosyanın şifresini çözüp yük yükleyen bir yükleyicinin ESET Research tarafından tespit edilmesiyle süreç başladı. Bu, ESET araştırmacılarını, ESET'in LunarWeb adını verdiği, daha önce bilinmeyen bir arka kapının keşfine götürdü.

Daha sonra, diplomatik bir misyonda konuşlandırılmış LunarWeb ile benzer bir zincir tespit edildi. Saldırganın, komuta ve kontrol (C&C) iletişimi için farklı bir yöntem kullanan ve ESET'in LunarMail olarak adlandırdığı ikinci bir arka kapıya da yer vermesi dikkat çekti. Başka bir saldırı sırasında ESET, LunarWeb'li bir zincirin, bir Avrupa ülkesinin Orta Doğu'daki üç diplomatik misyonunda, birbirlerinden birkaç dakika içinde eşzamanlı olarak konuşlandırıldığını gözlemledi. Saldırgan muhtemelen dışişleri bakanlığının etki alanı denetleyicisine önceden erişmiş ve bunu aynı ağdaki ilgili kurumların makinelerine yanal hareket için kullanmıştı.

Sunucularda konuşlandırılan LunarWeb, C&C iletişimleri için HTTP(S) kullanır ve meşru istekleri taklit ederken iş istasyonlarında konuşlandırılan LunarMail, bir Outlook eklentisi olarak varlığını sürdürür ve C&C iletişimleri için e-posta mesajlarını kullanır. Her iki arka kapı da tespit edilmekten kaçınmak için komutların görüntülere gizlendiği bir teknik olan steganografi kullanmakta. Yükleyicileri, saldırganlar tarafından kullanılan gelişmiş teknikleri gösteren truva atı haline getirilmiş açık kaynaklı yazılımlar da dahil olmak üzere çeşitli biçimlerde bulunabilir.

Lunar araç setini keşfeden ESET araştırmacısı Filip Jurčacko "Ele geçirmelerde farklı gelişmişlik dereceleri gözlemledik. Örneğin, güvenlik yazılımı tarafından taranmayı önlemek için ele geçirilen sunucuya dikkatli kurulum, kodlama hataları ve arka kapıların farklı kodlama stilleri ile tezat oluşturuyor. Bu durum, bu araçların geliştirilmesi ve çalıştırılmasında muhtemelen birden fazla kişinin yer aldığını gösteriyor." dedi.

Kurtarılan kurulumla ilgili bileşenler ve saldırgan etkinliği, olası ilk tehlikenin, spearphishing ve yanlış yapılandırılmış ağ ve uygulama izleme yazılımı Zabbix'in kötüye kullanılması yoluyla gerçekleştiğini gösteriyor. Ayrıca saldırgan zaten ağ erişimine sahipti, yanal hareket için çalıntı kimlik bilgilerini kullandı ve şüphe uyandırmadan sunucuyu tehlikeye atmak için dikkatli adımlar attı. Başka bir tehlikede, araştırmacılar, muhtemelen bir spearphishing e-postasından gelen eski bir kötü amaçlı Word belgesi buldular.  LunarWeb, bilgisayar ve işletim sistemi bilgileri, çalışan işlemlerin listesi, hizmetlerin listesi ve yüklü güvenlik ürünlerinin listesi gibi bilgileri toplar ve sistemden dışarı sızdırır. 

LunarWeb, dosya ve süreç işlemleri ve kabuk komutlarının çalıştırılması dahil olmak üzere yaygın arka kapı yeteneklerini destekler. İlk çalıştırmada, LunarMail arka kapısı alıcıların gönderilen e-posta mesajlarından (e-posta adresleri) bilgi toplar. Komut yetenekleri açısından LunarMail daha basittir ve LunarWeb'de bulunan komutların bir alt kümesini içerir. Bir dosya yazabilir, yeni bir işlem oluşturabilir, ekran görüntüsü alabilir ve C&C iletişim e-posta adresini değiştirebilir. Her iki arka kapı da Lua komut dosyalarını çalıştırabilme gibi sıra dışı bir yeteneğe sahiptir.

Snake olarak da bilinen Turla en az 2004'ten beri aktif, hatta muhtemelen 1990'ların sonlarına kadar uzanıyor. Rus FSB'sinin bir parçası olduğuna inanılan Turla, çoğunlukla Avrupa, Orta Asya ve Orta Doğu'daki hükümetler ve diplomatik kuruluşlar gibi yüksek profilli kurumları hedef almakta. Grup, 2008'de ABD Savunma Bakanlığı ve 2014'te İsviçreli savunma şirketi RUAG da dahil olmak üzere büyük kuruluşlara sızmakla ünlü. 
 

 

 

  • Yorumlar 0
  • Facebook Yorumları 0
    UYARI: Küfür, hakaret, rencide edici cümleler veya imalar, inançlara saldırı içeren, imla kuralları ile yazılmamış,
    Türkçe karakter kullanılmayan ve büyük harflerle yazılmış yorumlar onaylanmamaktadır.
    Bu habere henüz yorum eklenmemiştir.
Diğer Haberler
  • Kimlik bilgilerini sızdırmamanın yolları07 Haziran 2024 Cuma 13:43
  • Yerli ve milli şirketlere hayati uyarı06 Haziran 2024 Perşembe 13:18
  • Bungalov, kiralayacaklar dikkat05 Haziran 2024 Çarşamba 12:05
  • Dolandırıcılar otelleri hedef aldı05 Haziran 2024 Çarşamba 11:10
  • Yapay zeka ne kadar dost olacak?03 Haziran 2024 Pazartesi 10:59
  • Şifrelerimizi nasıl güvende tutarız?30 Mayıs 2024 Perşembe 08:47
  • Dijital sağlıkta akla yapay zeka geliyor28 Mayıs 2024 Salı 11:52
  • Çocuklara yönelik siber saldırılara dikkat28 Mayıs 2024 Salı 11:48
  • Yapay zeka yoldan çıkarsa ne olur?24 Mayıs 2024 Cuma 13:32
  • Kritik güvenlik açığı arttı23 Mayıs 2024 Perşembe 12:02
  • Tüm Hakları Saklıdır © 2015 Bursa Bakış | İzinsiz ve kaynak gösterilmeden yayınlanamaz.
    Tel : 0224. 408 35 78- Haber İhbar Hattı: 0544.201 80 43 Faks : 0224.408 35 78