Makalecin - Güncel Blog Yazıları

Rus Hackerlar, Ataklarda Gmail’i Kullanıyormuş

0 15

Siber güvenlik araştırmacıları, çeşitli devletlerin kurumlarına yaptıkları ataklarla tanınan Rus hacker kümesi Turla’nın bilinen yazılım araçlarından ComRAT’ın gelişmiş bir sürümünü ortaya çıkardıklarını açıkladılar. 

Siber güvenlik şirketi ESET’ten yapılan açıklamada, Turla’nın ComRAT’a komut göndermek ve elde edilen donelere ulaşmak için Gmail’i kullandığı açıklandı. ESET, Turla’nın siber atak için alışılmışın dışında formülleri kullandığını, Gmail’in kullanılmasının da bu alışılmamış usullerden olduğu belirtti. 

Rus hacker kümesi Tıpla, 2004 yılından beri farklı devletlerin askeri ve sivil kurumlarına yaptıkları hücumlarla ün kazanmıştı. Hacker öbeğinin kullandığı araçlarından en tesirlisi olan ComRAT’ın geliştirilme tarihi 2007 yılına kadar dayanıyor. 

ABD Merkez Komutanlığı’nın Afganistan ve Irak savaş ortamlarını denetlemek için kullandığı bilgisayarlar dahil olmak üzere birçok devlet kurumunun bilgisayarını amaç aldığı belirlenen ComRAT sayesinde Turla’nın kıymetli haberlere ulaştığı düşünülüyor. 

ComRAT’ın mevcut versiyonu ESET tarafından birinci olarak 2017 yılında tespit edildi. Turla’nın siber hücum aracı o günden bu yana Şark Avrupa’daki iki devletin dışişleri bakanlığının ve Kafkasya’da bulunan bir parlamentonun bilgisayarlarını hedef aldı.

ESET’in yaptığı yeni araştırmada ComRAT’ın son versiyonunun 2020 başında hala canlı olarak kullanıldığı belirlendi. ESET, Turla’nın ComRAT’a komut göndermek ve denetim etmek için Gmail’in kullanıcı arayüzünün yanında eski bir HTTP muhabere kanalını kullandığını açıkladı. 

Kasım 2019’da derlendiği belirlenen ComRAT’ın yeni versiyonu, Cinsle operatörleri tarafından öbür e-posta sağlayıcılarından gönderilen şifreli komutları içeren posta eklerini indirmek için Gmail’e bağlanıyor. 

Turla’nın hususî akın aracı ComRAT’ın yeni versiyonunun detayları

ComRAT’ın yeni versiyonu evvelki ComRAT sürümlerine kıyasla nispeten karmaşık yeni bir kod yapısına sahip durumda. ESET, son versiyonun eski HTTP C&C protokolüne sahip olduğunu ve Turla’nın öbür bir makûs emelli yazılımıyla kimi ağ altyapılarını paylaştığını açıkladı. 

ComRAT V4 olarak isimlendirilen son versiyon sayesinde çalınan haberler, Turla’nın gayri araçlarıyla güvenliği ihlal edilmiş sistemlerine ulaştırıldı. Güvenliği ihlal edilmiş gayrı bir cihaza gönderilen malumatların dışarı aktarılması için ise 4shared ve OneDrive üzere bulut hizmetleri kullanıldığı belirlendi. 

ESET, Turla’nın yazılım araçlarını geliştirmek ve güvenlik yazılımlarından kaçınmak için kıymetli bir çalışma yürüttüğünü de açıkladı. ESET’e nazaran Çeşitle yazılım örneklerinin algılanıp algılanmadığını anlamak için güvenlikle ilgili belgelerini tertipli olarak genişletiyor. 

ComRAT, güvenlik yazılımlarını atlatmak için kişisel olarak tasarlandı

ESET’te hizmetli olan bed maksatlı yazılım araştırmacısı Matthieu Faou, ComRAT’ın son versiyonunun Turla’nın gelişim düzeyini ve girmeyi başardıkları bilgisayarda uzun vade kalmayı düşündüklerini gösterdiğini söyledi. 

Faou, ComRAT’ın son versiyonunun Gmail’in web sürümünün kullanıcı arayüzünü kullanması nedeniyle güvenlik yazılımlarının denetimlerinden kaçabildiğini söyledi. Faou, hücuma uğrayan bilgisayarlarda yaptıkları inceleme sonucunda ComRAT’ın Çeşitle tarafından kullanıldığını belirlediklerini söyledi. 

ComRAT’ın son versiyonunun ESET tarafından belirlenmesinin yanında bu ayın başında Kaspersky de bir Cinsle yazılımı tespit etti. Kaspersky’den yapılan açıklamada COMpfun ismi verilen aracın Avrupa’daki diplomatik kurumlara yönelik hücumlarda kullanıldığı açıklandı. 

Kaynak:Webtekno

Cevap bırakın

E-posta hesabınız yayımlanmayacak.