Ghoul Operasyonu: Sanayi ve Mühendislik Şirketlerinin Peşinde Yeni Bir Aktör


Kaspersky Lab dünya üzerinde birçok ülkedeki sanayi ve mühendislk sektörü şirketini hedef alan yeni bir saldırı dalgası keşfetti. Ticari casus yazılımı kitini baz almış, şirketler veya bireylerden geliyor gibi gözüken mailer ve kötü yazılımlar kullanarak suçlular, kurbanlarının ağlarında kaydedilmiş değerli iş verilerinin peşine düşüyor. Aralarında İspanya, Pakistan, Birleşik Arap Emirlikleri, Hindistan, Almanya, Britanya ve Suudi Arabistan'ın da bulunduğu 30 ülkedeki 130'dan fazla şirkete bu grup tarafından başarılı saldırılar gerçekleştirildi

siber güv yarısması2016'nın Haziran ayında, Kaspersky Lab araştırmacıları zararlı ekler içeren, şirket veya birey imzalı sahte bir e-mail dalgası gözlemledi. Bu mesajlar çoğunlukla pek çok sayıda şirketin orta veya üst düzey yöneticilerine gönderilmişti. Saldırganlar tarafından gönderilen e-mailler, Birleşik Arap Emirlikleri'nde bulunan bir bankadan gönderilmiş gibi yapılmıştı. E-mailler ek halinde bulunan SWIFT dökümanı içeriyor ve ödeme ihbarı gibi görünüyordu fakat gerçekte e-mail ekleri kötü amaçlı yazılım içeriyordu.

Kaspersky Lab tarafından yapılan detaylı inceleme, şirket veya bireylerden geliyor gibi görünen bu e-mail kampanyasının çok büyük ihtimalle 2015 Mart ayından bu yana şirket araştırmacıları tarafından izlenen siber suçlu bir grup tarafından organize edildiğine işaret ediyor. Haziran ayında gerçekleşen saldırılarsa bu grup tarafından yapılmış en yakın zamanlı operasyon olarak görünüyor.

Ekte bulunan kötü amaçlı yazılım, HawkEye adı verilen, Darkweb'de açıkça satılan ticari casus yazılımını baz alıyor; saldırganlar için de çeşitli araçlar sunuyor. Yüklenmesinden sonra kurbanın bilgisayarından ilginç veriler topluyor. Bu bilgilerin bazıları şöyle:

  • Tuş vuruşu
  • Pano (clipboard) verileri
  • FTP sunucu bilgileri
  • İnternet tarayıcılarından hesap bilgileri
  • Paltalk, Google talk, AIM'daki gibi müşteri mesajlaşma araçlarındaki hesap verileri
  • Outlook, Windows Live mail'daki gibi e-mail araçlarındaki hesap verileri
  • Microsoft Office gibi yüklenmiş uygulamalar hakkında bilgi

Daha sonra bu veriler tehdit aktörünün komuta ve kontrol sunucularına gönderiliyor. Bazı komuta ve kontrol sunucularından gelen bilgiye bakıldığında, kurbanların çoğu sanayi ve mühendislik sektörlerinde faaliyet gösteren şirketleri. Diğerleri ise nakliyat, ilaç, üretim, ticaret, eğitim şirketleri ve diğer kurumlardan oluşuyor.

Bu şirketlerin tamamı daha sonra kara borsada satılabilecek önemli bilgilere sahip. Ghoul operasyonu saldırganlarının temel motivasyonunu da finansal kazanç oluşturuyor.

Kaspersky Lab araştırmacıları tarafından 'Ghoul Operasyonu' adı verilen kampanya, aynı grup tarafından yürütüldüğü tahmin edilen başka birçok kampanyanın arasında yer alıyor. Grup hala aktif olarak faaliyette.

kaspersky labbKaspersky Lab Güvenlik Uzmanı Mohammed Amin Hasbini: "Eski kültürlerde Ghoul, aslen Mezopotamyalı bir iblis olan, insan eti tüketip çocuk avlayan kötü niyetli bir ruhun adıdır. Günümüzde bu terim bazen açgözlü ve maddiyatçı kişileri tanımlamak için kullanılıyor. Bu tanım Ghoul Operasyonu'nun arkasındaki saldırganları da iyi tanımlıyor. Bu saldırganların temel motivasyonu ya çalıntı veriler ve şirket istihbaratları ya da kurbanların banka hesaplarına yapılan saldırılardan elde edilen finansal kazançlar. Hedeflerini dikkatlice belirleyen devlet destekli aktörlerin aksine, bu veya buna benzer gruplar herhangi bir şirkete saldırabilirler. Kullandıkları kötü amaçlı araçlar görece basit olsa da saldırılarında oldukça başarılılar. Bu sebeple saldırıları fark etme konusunda hazırlıklı olmayan şirketler maalesef bundan kötü etkileneceklerdir," yorumunda bulundu.

Ghoul Operasyonu ve benzer gruplardan korunmak için, Kaspersky Lab araştırmacıları şirketlere aşağıdaki önlemleri almalarını öneriyor:

  • Gerçek e-mail ve linkleri sahte mail ve linklerden ayırt edebilmeleri için çalışanlarınıza eğitim verin.
  • Etkisi kanıtlanmış olan bir şirket güvenliği ürünü kullanın. Bu ürün ağlardaki sorunları analiz ederek saldırıları yakalayabilecek özellikte olmalı.
  • Güvenlik alanındaki çalışanlarınıza güncel tehdit istihbaratı verilerini temin edin. Bu, güvenlik çalışanlarına YARA kuralları ve yasak giriş belirtileri (IOC – Indicators of Compromise) gibi, hedef saldırıları engelleyip keşfedebilmelerini sağlayacak yararlı araçlar sağlayacaktır.

İlginizi Çekebilecek Yazılar





İletişim | Gizlilik | Kullanım Koşulları