Bu grup, Uzak Doğu’daki askeri ve diplomatik kurumları hedef alıyor

Bu grup, Uzak Doğu’daki askeri ve diplomatik kurumları hedef alıyor

Kaspersky Lab araştırmacıları, APT28 veya Fancy Bear olarak da bilinen, Rusça konuşan tehdit grubu Sofacy’nin hedefini Uzak Doğu’ya çevirdiğini ve NATO ile ilgili hedeflere ek olarak askeri ve diplomatik kurumlara büyük ilgi göstermeye başladığını gözlemledi. Araştırmacılar Sofacy’nin kurbanları hedef alırken zaman zaman diğer tehdit gruplarıyla kesiştiğini de keşfetti. Bunlar arasında Rusça konuşan Turla ve Çince konuşan Danti gibi gruplar yer alıyor. Ayrıca, Lambert saldırılarının ardındaki İngilizce konuşan tehdit grubunun daha önceden ele geçirdiği bir sunucuda Sofacy’e ait arka kapılar bulundu. Sunucu, Çin’deki büyük bir askeri uzay ve havacılık şirketine aitti.

Kaspersky Lab, hayli aktif bir siber casusluk grubu olan Sofacy’i uzun yıllardır takip ediyor.

Kaspersky Lab Şubat ayında, Sofacy’nin 2017’deki aktivitelerini özetleyen bir rapor yayınladı. Raporda grubun NATO ile ilişkili hedefleri yavaşça terk edip Orta Doğu, Orta Asya ve ötesine kaymaya başladığı belirtildi. Sofacy; hesap bilgileri, hassas iletişim ve belgeler gibi verileri çalmak için hedef odaklı kimlik avı ve bazen de sık ziyaret edilen web sitelerini ele geçirme yöntemlerini kullanıyor. Ayrıca grubun çeşitli hedeflere hasar verici yükler gönderdiğinden de şüpheleniyor.

Elde edilen yeni bulgular Sofacy’nin bu bölgede aktif olan tek grup olmadığını gösteriyor. Bazı durumlarda farklı tehdit gruplarının aynı yeri hedef aldığı da görülüyor. Sofacy’e ait Zebrocy adlı zararlı yazılımın, Rusça konuşan Mosquito Turla grubuyla erişim için rekabete girdiği tespit edildi. Ayrıca, grubun SPLM adlı arka kapısı da Turla ve Çince konuşan Danti grubunun saldırılarıyla çakıştı. Bu ortak hedefler arasında Orta Asya’daki devlet, teknoloji, bilim ve ordu kurumları yer alıyor.

Bazı durumlarda, hedeflerin aynı anda SPLM ve Zebrocy saldırılarına da uğradığı belirlendi. Ancak saldırıların örtüştüğü en ilginç olay ise Sofacy ile Lambert saldırılarının ardındaki İngilizce konuşan tehdit grubu arasında yaşandı.  Bu iki grup arasındaki ilişki, araştırmacıların tehdit istihbaratının daha önceden Grey Lambert adlı zararlı yazılım tarafından ele geçirildiği bilinen bir sunucuda Sofacy izlerine rastlamasıyla ortaya çıktı. Sunucu, havacılık ve hava savunma teknolojileri geliştirip üreten Çinli bir şirkete aitti.

Ancak bu olayda Sofacy’nin SPLM arka kapısını nasıl gönderdiği henüz bilinmiyor. Bunun için olası birkaç hipotez var. Sofacy, arka kapısı için daha önceden tespit edilmemiş yeni bir açıktan faydalanıyor ya da zararlı yazılımını indirmek için Grey Lambert’ın iletişim kanallarını kullanmayı bir şekilde başarmış olabilir. Lambert yazılımını kullanan grubun, dikkati başka yöne çekmek için Sofacy izlerini özellikle yerleştirmesi de olasılıklar arasında. Ancak araştırmacılar bu olaydaki en olası senaryonun, SPLM kodunu yükleyip çalıştırmak için bilinmeyen yeni bir PowerShell kodundan veya yasal fakat güvenlik açıkları bulunan bir web uygulamasından faydalanılması olduğuna inanıyor. Bu konudaki araştırmalar sürüyor.

Kasperksy Lab Baş Güvenlik Araştırmacısı Kurt Baumgartner, “Sofacy zaman zaman vahşi ve umursamaz bir grup olarak yansıtılıyor. Ancak bizim gözlemlerimize göre grup yeri geldiğinde pragmatik, ölçülü ve çevik olabiliyor. Sofacy’nin Doğu’daki aktiviteleri pek fazla rapor edilmedi fakat kendileri bu bölgeyle hatta aynı hedeflerle ilgilenen tek tehdit grubu değil.  Tehdit alanı genişleyip daha kalabalık ve karmaşık hale geldikçe, hedeflerin çakıştığına daha sık rastlayabiliriz. Bu da çoğu tehdit grubunun saldırıdan önce kurbanlarının sisteminde diğer saldırganların varlığını neden kontrol ettiğini de açıklıyor.” dedi.

Araştırmacılar Sofacy’nin ana araçları için farklı alt bölümlere sahip olduğunu tespit etti. SPLM (CHOPSTICK ve Xagent olarak da biliniyor), GAMEFISH ve Zebrocy’nin kodlanması, geliştirilmesi ve hedeflerinin belirlenmesi için ayrı kümeler bulunuyor.  SPLM, Sofacy’nin birincil ve en çok tercih edilen ikinci aşama aracı olarak kabul edilirken, Zebrocy ise yüksek hacimli saldırılarda kullanılıyor. Araştırmacılara göre Sofacy 2018’in başlarında SPLM ile hava savunma sektöründeki Çinli ticari kurumları hedef alırken; Ermenistan, Türkiye, Kazakistan, Tacikistan, Afganistan, Moğolistan, Çin ve Japonya’da ise Zebrocy yazılımını dağıttı.

Kaspersky Lab ürünlerinin tümü bilinen Sofacy saldırılarının tamamını başarıyla tespit edip engelleyebiliyor. Bazı zorlu temizlik işlemleri sistemin yeniden başlatılmasını gerektirebiliyor.

Kaspersky Lab, saldırılardan etkilenen bölgelerdeki askeri ve dış ilişkiler alanlarında faaliyet gösteren kurumların, gelişmiş bir hedefli saldırının kurbanı olmaları için şu önlemleri almalarını öneriyor:

• Kaspersky Threat Management and Defence çözümü gibi, hedefli saldırıları önleyen teknolojilere ve tehdit istihbaratı özelliğine sahip kurumsal düzeyde bir güvenlik çözümü kullanın. Bu çözümler, ağdaki anormallikleri analiz edip siber güvenlik ekiplerinin tüm ağı görebilmesini ve otomatik tepki vermesini sağlayarak gelişmiş hedefli saldırıları yakalayabiliyor.
• Güvenlik ekiplerinin en son tehdit istihbaratı verilerine erişmesini sağlayın. Bu sayede, hedefli saldırıları önlemeleri için sızma belirtileri (IOC), YARA ve özel gelişmiş tehdit raporlaması gibi faydalı araçlara sahip olabilirler.
• Bir hedefli saldırının ilk belirtilerini tespit ettiyseniz gelişmiş tehditleri önceden tespit etmenizi sağlayan yönetimli güvenlik servislerini kullanın. Böylece tehdidin sistemde kalma süresini azaltıp zamanında karşılık verebilirsiniz.

 Sofacy’nin 2018’deki aktiviteleri hakkında daha fazla detayı ve gelişen araçları hakkında teknik bilgileri Securelist.com adresinde bulabilirsiniz.