Kaspersky Global Araştırma ve Analiz Ekibi, Hindistan merkezli finans kurumları ve araştırma merkezlerinde daha önceden bilinmeyen bir casusluk aracı tespit etti. Lazarus grubu tarafından geliştirilen ve Dtrack olarak adlandırılan bu casusluk yazılımı kurbanların sistemlerine dosya indirmek, basılan tuşları kaydetmek ve zararlı uzaktan yönetim araçlarının diğer tipik işlevlerini uygulamak için kullanılıyor.
Kaspersky araştırmacıları 2018 yılında ATMDtrack adlı bir zararlı yazılım keşfetti. Bu yazılım Hindistan’da ATM’lerden müşterilerin kart verilerini çalmak için kullanılıyordu. Kaspersky Atıf Motoru ve diğer araçlarla yapılan derinlemesine inceleme sonrasında araştırmacılar, ATMDtrack ile kod benzerlikleri bulunan 180’den fazla yeni zararlı yazılım örneği buldu. Ancak bunların ATM’leri hedef almadığı görüldü. Yazılımların işlevlerine bakıldığında casusluk aracı olarak kullanıldıkları belirlendi ve bunlara Dtrack adı verildi. Ayrıca, çok sayıda siber casusluk ve siber sabotaj operasyonuna karışan ünlü gelişmiş kalıcı tehdit grubu (APT) Lazarus’a atfedilen 2013 DarkSeoul saldırısıyla da benzerlikler tespit edildi.
Uzaktan yönetim aracı (RAT) olarak kullanılabilen Dtrack, tehdit gruplarının sızdıkları cihazlar üzerinde tam kontrol sahibi olmasını sağlıyor. Suçlular dosya indirmek ve yüklemek, temel işlemler başlatmak gibi farklı şeyler yapabiliyor.
Dtrack kullanan tehdit gruplarının hedefleri genellikle zayıf ağ güvenlik politikalarına ve parola standartlarına sahip, iç trafiği izleyemeyen kurumlar oluyor. Yazılım başarılı bir şekilde kurulduğunda mevcut tüm dosyaları ve çalışan süreçleri listeleyebiliyor, basılan tuşları kaydedebiliyor, tarayıcı geçmişini ve ana makinenin IP adresini görebiliyor. Mevcut ağlar ve etkin bağlantılar hakkındaki bilgiler de toplanabiliyor.
Bu yeni keşfedilen zararlı yazılım, Kaspersky ölçümlerine göre siber saldırılarda halen kullanılıyor.
Kaspersky Global Araştırma ve Analiz Ekibi Güvenlik Araştırmacısı Konstantin Zykov, “Devlet destekli Lazarus, çok sıra dışı bir grup. Diğer gruplara benzer bir şekilde bu grup da siber casusluk veya sabotaj operasyonlarına katılıyor. Ancak öte yandan, para çalma hedefli saldırılara da ilgi gösteriyor. Bu derece yüksek profilli tehdit grupları için bu pek görülen bir durum değil. Diğer grupların saldırılarında finansal amaçlar olmuyor. Bulduğumuz inanılmaz sayıda Dtrack örneği, Lazarus’un en etkin APT gruplarından biri olduğunu gösteriyor. Lazarus geniş ölçekli sektörleri etkileyen tehditler geliştirmeyi sürdürüyor. Dtrack RAT ile ulaştıkları başarı, tehdit şimdilik kaybolmuş gibi görünse de yeni hedeflere saldırmak için farklı bir şekilde yeniden karşımıza çıkabileceklerini kanıtlıyor. Araştırma merkezleri veya devletle hiçbir bağlantısı olmadan faaliyet gösteren bir finans kuruluşu olsanız da bir gelişmiş tehdit grubunun saldırısına uğrama olasılığına karşı hazırlıklı olmanız gerekiyor.” dedi.
Kaspersky ürünleri, Dtrack adlı zararlı yazılımı başarılı bir şekilde tespit edip engelliyor.
Dtrack RAT gibi zararlı yazılımlardan etkilenmemek için Kaspersky şunları öneriyor:
- Kaspersky Anti Targeted Attack Platform (KATA) gibi bir trafik izleme yazılımı kullanın.
- Kaspersky Endpoint Security for Business gibi, davranış tabanlı tespit teknolojilerine sahip, başarısı kanıtlanmış bir güvenlik çözümü kullanın.
- Kurumun BT altyapısına düzenli olarak güvenlik denetimleri yapın.
- Çalışanlarınıza düzenlik güvenlik eğitimleri verin.
Lazarus grubu tarafından kullanılan bu yeni zararlı yazılım hakkında daha fazla bilgiyi Securelist.com adresinde bulabilirsiniz.