Bu Grubun Hedefi Askeri ve Diplomatik Kurumlar

Bu grup, Uzak Doğu'daki askeri ve diplomatik kurumları hedef alıyor.

Bu grubun hedefi askeri ve diplomatik kurumlar

Kaspersky Lab, hayli aktif bir siber casusluk grubu olan Sofacy'i uzun yıllardır takip ediyor. Kaspersky Lab Şubat ayında, Sofacy'nin 2017'deki aktivitelerini özetleyen bir rapor yayınladı. Raporda grubun NATO ile ilişkili hedefleri yavaşça terk edip Orta Doğu, Orta Asya ve ötesine kaymaya başladığı belirtildi. Sofacy; hesap bilgileri, hassas iletişim ve belgeler gibi verileri çalmak için hedef odaklı kimlik avı ve bazen de sık ziyaret edilen web sitelerini ele geçirme yöntemlerini kullanıyor. Ayrıca grubun çeşitli hedeflere hasar verici yükler gönderdiğinden de şüpheleniyor.

Elde edilen yeni bulgular Sofacy'nin bu bölgede aktif olan tek grup olmadığını gösteriyor. Bazı durumlarda farklı tehdit gruplarının aynı yeri hedef aldığı da görülüyor. Sofacy'e ait Zebrocy adlı zararlı yazılımın, Rusça konuşan Mosquito Turla grubuyla erişim için rekabete girdiği tespit edildi. Ayrıca, grubun SPLM adlı arka kapısı da Turla ve Çince konuşan Danti grubunun saldırılarıyla çakıştı. Bu ortak hedefler arasında Orta Asya'daki devlet, teknoloji, bilim ve ordu kurumları yer alıyor.

Bazı durumlarda, hedeflerin aynı anda SPLM ve Zebrocy saldırılarına da uğradığı belirlendi. Ancak saldırıların örtüştüğü en ilginç olay ise Sofacy ile Lambert saldırılarının ardındaki İngilizce konuşan tehdit grubu arasında yaşandı. Bu iki grup arasındaki ilişki, araştırmacıların tehdit istihbaratının daha önceden Grey Lambert adlı zararlı yazılım tarafından ele geçirildiği bilinen bir sunucuda Sofacy izlerine rastlamasıyla ortaya çıktı. Sunucu, havacılık ve hava savunma teknolojileri geliştirip üreten Çinli bir şirkete aitti.

Ancak bu olayda Sofacy'nin SPLM arka kapısını nasıl gönderdiği henüz bilinmiyor. Bunun için olası birkaç hipotez var. Sofacy, arka kapısı için daha önceden tespit edilmemiş yeni bir açıktan faydalanıyor ya da zararlı yazılımını indirmek için Grey Lambert'ın iletişim kanallarını kullanmayı bir şekilde başarmış olabilir. Lambert yazılımını kullanan grubun, dikkati başka yöne çekmek için Sofacy izlerini özellikle yerleştirmesi de olasılıklar arasında. Ancak araştırmacılar bu olaydaki en olası senaryonun, SPLM kodunu yükleyip çalıştırmak için bilinmeyen yeni bir PowerShell kodundan veya yasal fakat güvenlik açıkları bulunan bir web uygulamasından faydalanılması olduğuna inanıyor. Bu konudaki araştırmalar sürüyor.

Kasperksy Lab Baş Güvenlik Araştırmacısı Kurt Baumgartner, "Sofacy zaman zaman vahşi ve umursamaz bir grup olarak yansıtılıyor. Ancak bizim gözlemlerimize göre grup yeri geldiğinde pragmatik, ölçülü ve çevik olabiliyor. Sofacy'nin Doğu'daki aktiviteleri pek fazla rapor edilmedi fakat kendileri bu bölgeyle hatta aynı hedeflerle ilgilenen tek tehdit grubu değil.Tehdit alanı genişleyip daha kalabalık ve karmaşık hale geldikçe, hedeflerin çakıştığına daha sık rastlayabiliriz. Bu da çoğu tehdit grubunun saldırıdan önce kurbanlarının sisteminde diğer saldırganların varlığını neden kontrol ettiğini de açıklıyor." dedi.

Araştırmacılar Sofacy'nin ana araçları için farklı alt bölümlere sahip olduğunu tespit etti. SPLM (CHOPSTICK ve Xagent olarak da biliniyor), GAMEFISH ve Zebrocy'nin kodlanması, geliştirilmesi ve hedeflerinin belirlenmesi için ayrı kümeler bulunuyor.SPLM, Sofacy'nin birincil ve en çok tercih edilen ikinci aşama aracı olarak kabul edilirken, Zebrocy ise yüksek hacimli saldırılarda kullanılıyor. Araştırmacılara göre Sofacy 2018'in başlarında SPLM ile hava savunma sektöründeki Çinli ticari kurumları hedef alırken; Ermenistan, Türkiye, Kazakistan, Tacikistan, Afganistan, Moğolistan, Çin ve Japonya'da ise Zebrocy yazılımını dağıttı.

Kaspersky Lab ürünlerinin tümü bilinen Sofacy saldırılarının tamamını başarıyla tespit edip engelleyebiliyor. Bazı zorlu temizlik işlemleri sistemin yeniden başlatılmasını gerektirebiliyor.

Kaspersky Lab, saldırılardan etkilenen bölgelerdeki askeri ve dış ilişkiler alanlarında faaliyet gösteren kurumların, gelişmiş bir hedefli saldırının kurbanı olmaları için şu önlemleri almalarını öneriyor:

  1. Kaspersky Threat Management and Defence çözümü gibi, hedefli saldırıları önleyen teknolojilere ve tehdit istihbaratı özelliğine sahip kurumsal düzeyde bir güvenlik çözümü kullanın. Bu çözümler, ağdaki anormallikleri analiz edip siber güvenlik ekiplerinin tüm ağı görebilmesini ve otomatik tepki vermesini sağlayarak gelişmiş hedefli saldırıları yakalayabiliyor.
  2. Güvenlik ekiplerinin en son tehdit istihbaratı verilerine erişmesini sağlayın. Bu sayede, hedefli saldırıları önlemeleri için sızma belirtileri (IOC), YARA ve özel gelişmiş tehdit raporlaması gibi faydalı araçlara sahip olabilirler.
  3. Bir hedefli saldırının ilk belirtilerini tespit ettiyseniz gelişmiş tehditleri önceden tespit etmenizi sağlayan yönetimli güvenlik servislerini kullanın. Böylece tehdidin sistemde kalma süresini azaltıp zamanında karşılık verebilirsiniz.

BASIN BÜLTENİNDEN DERLENMİŞTİR

Okuyucu Yorumları

Toplam 5 Yorum

Ne yazık ki PowerShell ve PowerShell_ise gibi bazı sistem dosyaları çok tehlikelidir. Bir görüşe göre PowerShell.exe ve PowerShell_ise.exe'i bloke etmek PowerShell'e yönelik atakları bloke etmek için yeterli değildir. Gene de ben tüm PowerShell, Remote Assistance, Remote Desktop, W&C Scripting, Windows Update, Terminal Service, Netbios, NetLogon, Paylaşım, FTP, Format, Mobsync ve Help dosyalarını bloke ediyorum, diğer bazı dosyalarla cli analiz ve embedded code taramasına tabi tutuyorum. >>>

>>> Firewall, Containment ve HIPS gereken herşeyi zaten yapıyor. Bu sadece extra bir güvenlik önlemidir...

ftp.exe, format.com, wscript.exe, cscript.exe, msra.exe, mstsc.exe, raserver.exe, shadow.exe, powershell.exe, powershell_ise.exe, netbios.dll, netlogon.dll, tscon.exe, net.exe, net1.exe, wuauclt.exe, wusa.exe ve bu dosyalar ile bağlantılı birçok exe ve dll ele geçirilmesi durumunda tehlike arz eden dosyalardır. Kullandıklarınız hariç bu dosyaları gerekli tüm servisleri ve mümkünse grup ilkelerini de devredışı bıraktıktan sonra bloke etmenizi tavsiye ederim. >>>

Eğer Uzak Masaüstü'nü de kullanmıyorsanız, rdp ile başlayan exe ve dll'lerin tümünü bloke edebilirsiniz. Bu dosyalar Uzaktan Yardım'dan farklı olarak arka planda ayrı bir oturum açılmasını sağlayan dosyalardır. Bu dosyaları devredışı bıraktıktan sonra geriye kalanlar ile beraber cmd.exe, regedit.exe, regedt32.exe, mshta.exe, rundll32.exe, java.exe, javaw.exe, msiexec.exe, regsvr32.exe dosyalarını Comodo CLI Analizine ve Embeded Code taramasına tabi tutun!..

Tehlikeli gördüğüm üç uygulama daha var: shrpubw.exe, mobsync.exe ve migwiz. Bence bu uygulamalar ve yan uygulamaları da bloke edilmelidir. Dediğim gibi bunlara gerek yok; çünkü Firewall, Containment, HIPS, File Rating ve Antivirus fazlasıyla yeterli ama maximum güvenlik isteyenler bu yöntemi de kullanabilirler...

Sen de yorum yaz

 



CHIP'i Takip edin
E-Posta listemize katılın
CHIP Dergi Mobil Cihazınızda
Apple Store
Google Play

Turhost

İlginizi çekebilir

Turhost