Güvenlik 12 AĞUSTOS 2014 / 13:40

Siber casusluk sırlarından yalnızca biri

Turla gündemde en çok yer alan casusluk kampanyalarının başında geliyor.

Son yıllarında şirketlerin ve kullanıcıların en rahatsız olduğu konularından biri olan “siber casusluk” gündemi meşgul etmeye devam ediyor. Yapılan son Kaspersky Lab araştırmasında Epic'in Turla virüs bulaştırma mekanizmasının ilk aşaması olduğu görülüyor.

Kuşkulanmayan bir kullanıcı, güvenlik açıklarının bulunduğu bir sistemde zararlı kod içeren bir PDF dosyasını açtığı zaman makine otomatik olarak virüs kapıyor ve saldırganın hedef sistem üzerinde anında ve tam kontrol sağlayabiliyor.

Kullanıcı virüs kapmasının ardından Epic arka kapısı anında komut ve kontrol (C&C) sunucusuna bağlanarak kullanıcının sistem bilgilerinin bulunduğu bir paket gönderiyor. Sistem ele geçirildiğinde saldırganlar, kurbandan bilgilerinin bir özetini alıyor ve buna dayanarak bir dizi yürütme komutu içeren önceden yapılandırılmış yama dosyaları yolluyor. İlaveten saldırganlar, özel bir tuş kaydedici araç, bir RAR arşivcisi ve Microsoft DNS sorgu aracı gibi standart araçlar içeren özel yanal hareket araçları da yüklüyor.

2012’den beri kullanılan “Epic” projesinin en yüksek hacimli etkinliğine Ocak-Şubat 2014'te ulaştığı gözlemlendi ve 5 Ağustos 2014 tarihinde, Kaspersky Lab, kullanıcılarından birine bu saldırının gerçekleştirildiğini saptadı.

“Epic” zararlı yazılımının kurbanları; resmi kurumlar (İçişleri Bakanlığı, Ticaret Bakanlığı, Dışişleri Bakanlığı, istihbarat teşkilatları), elçilikler, ordu, araştırma ve eğitim kurumları ve ilaç şirketleri olarak kategorilere ayrılıyor.Söz konusu kullanıcılar Orta Doğu ve Avrupa'dan olmakla birlikte; araştırmacılar, ABD dahil farklı bölgelerde de virüse rastlandığını açıklıyor.

Kaspersky Lab uzmanları da Fransa'nın başını çektiği toplamda 45'ten fazla ülkede yüzlerce kullanıcının IP'den etkilendiğini gözlemlediklerini belirtiyorlar.

Ayrıca Kaspersky Lab’ın araştırmacıları Epic Turla'nın kurbanlarına virüs bulaştırmak amacıyla sıfır günlük açıklardan yararlanan yazılımlardan, sosyal mühendislik ve sulama kanalı tekniklerinden (kurbanların ilgilendiği konuları içeren, saldırganlar tarafından ele geçirilmiş ve zararlı kodlar yaymak üzere yerleştirilmiş web siteleri) faydalandığını keşfetti. Örnek olarak Kaspersky Lab, toplamda 100’den fazla yerleştirilmiş web sitesi gözlemlediğini duyurdu.

Yapılan araştırmalar nezdinde saldırganlar özellikle web sitesi seçiminde kullanıcıların ilgi alanlarına odaklanıyorlar. Virüsü taşıyan İspanyolca web sitelerinin çoğu yerel resmi kurumlara ait olması örneklerden bir tanesi olarak görülüyor.

Turla'nın arkasındaki saldırganların anadillerinin İngilizce olmadığı tespit edilmiş durumda. Saldırganların uyruklarına ilişkin bazı ipuçları veren belirtilerin bulunduğunu belirten uzmanlar, arka kapıların bazılarının Rusça kullanılan bir sisteminde derlendiğini de duyurdu . Son olarak Epic ana kontrol panelinde kod sayfasının da, Kiril alfabesi için kullanılan 1251 olarak ayarlandığı konuşuluyor.
 Kaspersky Lab Global Araştırma ve Analiz Ekibi Başkanı Costin Raiu konuyla ilgili; “Carbon sistemi zararlı yazılımının yapılandırma güncellemeleri çok ilginç. Çünkü bu, Turla'nı bir diğer projesidir. Bu, Epic Turla ile başlayan çok aşamalı bir virüs ile uğraştığımız anlamına gelir. Epic Turla bir tutunma noktası elde etmek ve kurbanın profilini doğrulamak için kullanılıyor. Eğer kurban ilginç biriyse, tam Turla Carbon sistemine yükseltiliyor” dedi.

“Epic Turla” operasyonu hakkında daha fazla bilgi edinmek için: Securelist.com