ICT Media
Kaspersky Lab Global Araştırma ve Analiz Ekibi (GReAT), Çince konuşan kişilerden oluşan ünlü tehdit grubu LuckyMouse ile ilişkili olduğu düşünülen ve daha önceden bilinmeyen bir Truva atı ile düzenlenmiş birçok saldırı tespit etti. Bu zararlı yazılımın en olağanüstü özelliği ise sahip olduğu özel seçilmiş sürücüsü. Bu sürücü, bilgi güvenliği yazılımları geliştiren bir şirketin verdiği yasal dijital sertifikayla onaylanıyor.
LuckyMouse grubu tüm dünyada büyük kurumlara düzenlediği hedefli saldırılarla biliniyor. Politik amaçlar güttüğü düşünülen grubun faaliyetleri Güneydoğu ve Orta Asya gibi bölgelerin tamamı için tehlike oluşturuyor. Önceki saldırı vektörlerine ve kurbanların profillerine bakıldığında, Kaspersky Lab araştırmacıları tespit ettikleri Truva atının bir ülke tarafından desteklenen siber casusluk faaliyetleri için kullanılmakta olabileceğini düşünüyor.
Kaspersky Lab uzmanlarının tespit ettiği Truva atı, hedef bilgisayara tehdit grubunun geliştirdiği bir sürücü ile bulaşıyor. Saldırganlar bu sayede; komut çalıştırma, dosya indirme ve yükleme, ağ trafiğini izleme gibi tüm genel görevleri yapabiliyor.
Bu saldırının en ilginç parçası ise sürücünün kendisi. Saldırganlar, sürücünün güvenilir görünmesi için bir dijital sertifika çalmış gibi gözüküyor. Grup, bilgi güvenliğiyle ilişkili bir yazılım geliştiricisine ait olan bu sertifikayı zararlı yazılımlarını onaylatmak için kullanıyor. Bu yasal sertifika, zararlı yazılımın da yasal olarak görünmesini sağlıyor. Bu işlem güvenlik çözümleri tarafından tespit edilmekten kaçınmak amacıyla yapılıyor.
LuckyMouse kendi zararlı yazılımlarını geliştirebilmesine rağmen saldırıda kullanılan yazılımın herkese açık kod havuzlarından ve özel üretim zararlı yazılımlardan alınan kodların bir kombinasyonu olduğu görüldü. Bu da sürücünün diğer öne çıkan özelliği oldu. Sıfırdan kod yazmak yerine kullanıma hazır üçüncü taraf kodlarını uygulamak geliştiricilere vakit kazandırmasının yanında saldırıyı kimin düzenlediğini bulmayı da zorlaştırıyor.
Kaspersky Lab Güvenlik Araştırmacısı Denis Legezo, “LuckyMouse saldırıları her zaman yüksek profilli politik olaylarla aynı zamanlarda gerçekleşiyor. Saldırılar genellikle dünya liderlerinin katıldığı zirvelerin hemen öncesinde yapılıyor. Bu grup, saldırıların kendilerine atfedilmesinden pek endişe duymuyor. Programlarına üçüncü taraf kod örnekleri eklediklerinden, hedef bilgisayara zararlı yazılım kuran Truva atlarına yeni bir katman eklemek veya zararlı yazılımları için yeni bir mod geliştirmek çok fazla vakit almıyor. Aynı zamanda takip de edilemiyorlar.” dedi.
Kaspersky Lab daha önce, LuckyMouse grubunun ülke genelinde bir tuzak saldırısı düzenlemek için ulusal bir veri merkezine yönelik faaliyetlerini raporlamıştı.
Kendinizi nasıl koruyabilirsiniz?
- Sisteminize çalışan kodlara otomatik olarak güvenmeyin. Dijital sertifikalar, arka kapı olmadığını garanti etmez.
- Daha önceden bilinmeyen tehditlerin bile yakalanmasını sağlayan zararlı davranış tespit teknolojilerine sahip sağlam bir güvenlik çözümü kullanın.
- Gelişmiş tehdit gruplarının taktikleri, teknikleri ve prosedürleri hakkında son gelişmelere dair bilgilere erken erişim için kurumunuzun güvenlik ekibini yüksek kaliteli bir tehdit istihbaratı raporlama servisine üye yapın.
