BASIN BÜLTENİ-Kaspersky Lab: Rusça konuşan tehdit grubu Sofacy, hedefini Uzak Doğu’ya çevirdi

  • 14.03.2018 13:15

Kaspersky Lab araştırmacıları, APT28 veya Fancy Bear olarak da
bilinen, Rusça konuşan tehdit grubu Sofacy’nin hedefini Uzak Doğu’ya
çevirdiğini ve NATO ile ilgili hedeflere ek olarak askeri ve
diplomatik kurumlara büyük ilgi göstermeye başladığını gözlemledi.
Araştırmacılar Sofacy’nin kurbanları hedef alırken zaman zaman diğer
tehdit gruplarıyla kesiştiğini de keşfetti. Bunlar arasında Rusça
konuşan Turla ve Çince konuşan Danti gibi gruplar yer alıyor. Ayrıca,
Lambert saldırılarının ardındaki İngilizce konuşan tehdit grubunun
daha önceden ele geçirdiği bir sunucuda Sofacy’e ait arka kapılar
bulundu. Sunucu, Çin’deki büyük bir askeri uzay ve havacılık şirketine
aitti.
Kaspersky Lab, hayli aktif bir siber casusluk grubu olan Sofacy’i
uzun yıllardır takip ediyor. Kaspersky Lab Şubat ayında, Sofacy’nin
2017’deki aktivitelerini özetleyen bir rapor yayınladı. Raporda grubun
NATO ile ilişkili hedefleri yavaşça terk edip Orta Doğu, Orta Asya ve
ötesine kaymaya başladığı belirtildi. Sofacy hesap bilgileri, hassas
iletişim ve belgeler gibi verileri çalmak için hedef odaklı kimlik avı
ve bazen de sık ziyaret edilen web sitelerini ele geçirme yöntemlerini
kullanıyor. Ayrıca grubun çeşitli hedeflere hasar verici yükler
gönderdiğinden de şüpheleniyor.
Elde edilen yeni bulgular Sofacy’nin bu bölgede aktif olan tek
grup olmadığını gösteriyor. Bazı durumlarda farklı tehdit gruplarının
aynı yeri hedef aldığı da görülüyor. Sofacy’e ait Zebrocy adlı zararlı
yazılımın, Rusça konuşan Mosquito Turla grubuyla erişim için rekabete
girdiği tespit edildi. Ayrıca, grubun SPLM adlı arka kapısı da Turla
ve Çince konuşan Danti grubunun saldırılarıyla çakıştı. Bu ortak
hedefler arasında Orta Asya’daki devlet, teknoloji, bilim ve ordu
kurumları yer alıyor.
Bazı durumlarda, hedeflerin aynı anda SPLM ve Zebrocy
saldırılarına da uğradığı belirlendi. Ancak saldırıların örtüştüğü en
ilginç olay ise Sofacy ile Lambert saldırılarının ardındaki İngilizce
konuşan tehdit grubu arasında yaşandı. Bu iki grup arasındaki ilişki,
araştırmacıların tehdit istihbaratının daha önceden Grey Lambert adlı
zararlı yazılım tarafından ele geçirildiği bilinen bir sunucuda Sofacy
izlerine rastlamasıyla ortaya çıktı. Sunucu, havacılık ve hava savunma
teknolojileri geliştirip üreten Çinli bir şirkete aitti.
Ancak bu olayda Sofacy’nin SPLM arka kapısını nasıl gönderdiği
henüz bilinmiyor. Bunun için olası birkaç hipotez var. Sofacy, arka
kapısı için daha önceden tespit edilmemiş yeni bir açıktan
faydalanıyor ya da zararlı yazılımını indirmek için Grey Lambert’ın
iletişim kanallarını kullanmayı bir şekilde başarmış olabilir. Lambert
yazılımını kullanan grubun, dikkati başka yöne çekmek için Sofacy
izlerini özellikle yerleştirmesi de olasılıklar arasında. Ancak
araştırmacılar bu olaydaki en olası senaryonun, SPLM kodunu yükleyip
çalıştırmak için bilinmeyen yeni bir PowerShell kodundan veya yasal
fakat güvenlik açıkları bulunan bir web uygulamasından faydalanılması
olduğuna inanıyor. Bu konudaki araştırmalar sürüyor.
Kasperksy Lab Baş Güvenlik Araştırmacısı Kurt Baumgartner, “Sofacy
zaman zaman vahşi ve umursamaz bir grup olarak yansıtılıyor. Ancak
bizim gözlemlerimize göre grup yeri geldiğinde pragmatik, ölçülü ve
çevik olabiliyor. Sofacy’nin Doğu’daki aktiviteleri pek fazla rapor
edilmedi fakat kendileri bu bölgeyle hatta aynı hedeflerle ilgilenen
tek tehdit grubu değil.Tehdit alanı genişleyip daha kalabalık ve
karmaşık hale geldikçe, hedeflerin çakıştığına daha sık
rastlayabiliriz. Bu da çoğu tehdit grubunun saldırıdan önce
kurbanlarının sisteminde diğer saldırganların varlığını neden kontrol
ettiğini de açıklıyor.” dedi.
Araştırmacılar Sofacy’nin ana araçları için farklı alt bölümlere
sahip olduğunu tespit etti. SPLM (CHOPSTICK ve Xagent olarak da
biliniyor), GAMEFISH ve Zebrocy’nin kodlanması, geliştirilmesi ve
hedeflerinin belirlenmesi için ayrı kümeler bulunuyor.SPLM, Sofacy’nin
birincil ve en çok tercih edilen ikinci aşama aracı olarak kabul
edilirken, Zebrocy ise yüksek hacimli saldırılarda kullanılıyor.
Araştırmacılara göre Sofacy 2018’in başlarında SPLM ile hava savunma
sektöründeki Çinli ticari kurumları hedef alırken Ermenistan,
Türkiye, Kazakistan, Tacikistan, Afganistan, Moğolistan, Çin ve
Japonya’da ise Zebrocy yazılımını dağıttı.
Kaspersky Lab ürünlerinin tümü bilinen Sofacy saldırılarının
tamamını başarıyla tespit edip engelleyebiliyor. Bazı zorlu temizlik
işlemleri sistemin yeniden başlatılmasını gerektirebiliyor.
Kaspersky Lab, saldırılardan etkilenen bölgelerdeki askeri ve dış
ilişkiler alanlarında faaliyet gösteren kurumların, gelişmiş bir
hedefli saldırının kurbanı olmaları için şu önlemleri almalarını
öneriyor:
Kaspersky Threat Management and Defence çözümü gibi, hedefli
saldırıları önleyen teknolojilere ve tehdit istihbaratı özelliğine
sahip kurumsal düzeyde bir güvenlik çözümü kullanın. Bu çözümler,
ağdaki anormallikleri analiz edip siber güvenlik ekiplerinin tüm ağı
görebilmesini ve otomatik tepki vermesini sağlayarak gelişmiş hedefli
saldırıları yakalayabiliyor.
Güvenlik ekiplerinin en son tehdit istihbaratı verilerine
erişmesini sağlayın. Bu sayede, hedefli saldırıları önlemeleri için
sızma belirtileri (IOC), YARA ve özel gelişmiş tehdit raporlaması gibi
faydalı araçlara sahip olabilirler.
Bir hedefli saldırının ilk belirtilerini tespit ettiyseniz
gelişmiş tehditleri önceden tespit etmenizi sağlayan yönetimli
güvenlik servislerini kullanın. Böylece tehdidin sistemde kalma
süresini azaltıp zamanında karşılık verebilirsiniz.
Sofacy’nin 2018’deki aktiviteleri hakkında daha fazla detayı ve
gelişen araçları hakkında teknik bilgileri Securelist.com adresinde
bulabilirsiniz.



Foreks Haber Merkezi ( haber@foreks.com )
http://www.foreks.com
http://twitter.com/ForeksTurkey