Siber Dünyada Casusluk Faaliyetleri Hız Kesmiyor

Siber emniyet firması ESET, Birleşik Arap Emirlikleri (BAE) bağlantılı Stealth Falcon grubunun sınır komşusu ülkelere yönelik yeni ve komplike bir arka kapıyla casusluk yaptığını ortaya koydu.

 

ESET araştırmacıları, Stealth Falcon grubu tarafınca kullanılan ve ESET tarafınca Deadglyph olarak adlandırılan komplike bir arka kapıyı keşfederek çözümleme etti. ABD’nin kâr amacı gütmeyen emniyet kuruluşu MITRE’ye göre öbek Birleşik Arap Emirlikleri ile bağlantılı. Deadglyph alışılmadık bir mimariye haiz ve arka kapı yetenekleri, Komuta ve Kontrol tarafınca ek modüllerden oluşuyor. Deadglyph’in bir takım karşı belirleme mekanizması var ve muayyen durumlarda belirleme edilme riskini azaltmak için kendi kendini kaldırma kabiliyetine de sahip. 

 

ESET araştırmacıları bu keşfi, bazıları Orta Doğu bölgesinde bulunan yüksek profilli müşterilerin sistemlerindeki şüpheli etkinlikleri rutin olarak izlerken gerçekleştirdi. Analiz edilen sızma eyleminin kurbanı, Orta Doğu’da casusluk amacıyla emniyet ihlaline uğrayan bir devlet kurumu. VirusTotal’de bulunan alakalı bir misal de Katar’dan yüklendi.

 

ESET bu arka kapının adını, arka kapıda bulunan yapılardan ve bir homoglif saldırısının varlığından esinlenerek verdi. Homoglif, güvenilir bir takım gibi gözüken yanıltıcı bir karakter dizisidir. Bu arka kapı, Microsoft Corporation’ı taklit ediyordu. Daha ilkin belgelenmemiş olan bu arka kapı, büyük oranda komplike ve adeta bir ihtisas eseri olarak tanımlanıyor. Geleneksel arka kapı komutları, arka kapı çift dosyasında uygulanmaz; bunun yerine, Komuta ve Kontrol sunucusundan ek modüller biçiminde hareketli olarak alınırlar. Bu arka kapı bunun yanı sıra sistem süreçlerinin devamlı izlenmesi ve herhangi ağ modellerinin uygulanması da dahil olmak suretiyle belirleme edilmekten kaçınmak için bir takım kabiliyete de sahip.

 

ESET Research, Deadglyph’in bütün özelliklerinin sadece bir kısmını ortaya çıkararak bu modüllerden üçünü almayı başardı: Süreç oluşturucu, dosya okuyucu ve malumat toplayıcı. Bilgi toplama modülü, işletim sistemi, yüklü program ve sürücüler, işlemler, hizmetler, kullanıcılar ve emniyet yazılımı hakkındaki teferruat da dahil olmak suretiyle bilgisayar ile alakalı kapsamlı detayları toplar. Ayrıca dosya okuyucu modülü belirtilen dosyaları okuyabilir. Bir olayda modül, kurbanın Outlook veri dosyasını almak için kullanılmıştır.

 

ESET Research bunun yanı sıra Deadglyph’i yüklemek için kullanılabilecek alakalı bir kabuk kodu indiricisi buldu. Hedefleme ve ek kanıtlara dayanarak ESET, yüksek olasılıkla Deadglyph’i Stealth Falcon APT grubuyla ilişkilendiriyor. Project Raven ya da FruityArmor şeklinde de malum bu tehdit grubunun MITRE’ye göre Birleşik Arap Emirlikleri ile bağlantısı bulunuyor. 2012’den bu yana etken olan Stealth Falcon’un Orta Doğu’daki siyasal aktivistleri, gazetecileri ve muhalifleri hedef almış olduğu biliniyor. İlk olarak 2016 senesinde bir casus program saldırısının analizini gösteren Citizen Lab tarafınca ortaya çıkarıldı ve tanımlandı.

 

Kaynak: (BYZHA) Beyaz Haber Ajansı