Kaspersky araştırmacıları, Rusça konuşan kişilerden oluşan Turla tehdit grubunun yeni araçlarla harekete geçtiğini tespit etti. Daha önce kullandıkları ünlü JavaScript KopiLuwak zararlı yazılımını, hedef bilgisayara kötü niyetli programlar kuran Topinambour (yer elması) adlı yeni bir şekilde sunan grup, farklı dillerde iki benzer sürüm çıkardı.
Zararlı yazılım, internet sansürüne karşı kullanılan programların kurulum dosyaları üstünden bulaşıyor. Araştırmacılar, bu tekniklerin tespiti zorlaştırmak ve belirli bireyleri hedef alabilmek için kullanıldığına inanıyor. Topinambour, 2019’un başında devlet kurumlarına dair saldırılarda tespit edildi.
Rusça konuşan kişilerden oluşan yüksek profilli tehdit grubu Turla, devlet kurumları ve diplomatik kuruluşları hedefleyen siber casusluk faaliyetleri ile biliniyor. Yenilikçi teknikleriyle tanınan grubun KopiLuwak adlı ünlü zararlı yazılımı öncelikle 2016 sonlarında gözlemlenmişti. 2019’da Kaspersky araştırmacıları bu tehdit grubunun yeni araçlar ve teknikler kullanarak tespit edilme ihtimalini daha da azalttığını belirledi.
Turla tarafından kullanılan Topinambour (ismini yer elması sebzesinden alıyor), JavaScript KopiLuwak zararlı yazılımını dağıtmaya yarayan bir .NET dosyası. Bu dosya, internet sensörünü aşmada kullanılan VPN gibi yasal programların kurulum paketlerine bulaşarak kurbanlara ulaşıyor.
Siber casusluk hedefiyle tasarlanan KopiLuwak, Turla’nın yeni bulaştırma teknikleri sayesinde tespit edilmekten kurtulabiliyor.Örneğin, zararlı yazılımın komut ve kontrol altyapısında sıradan LAN adreslerini taklit eden IP’ler bulunuyor. Bunun yanı sıra zararlı yazılım nerdeyse tamamen “dosyasız” bir yapıda. Bulaşma sürecinin son aşamasında uzaktan yönetim için kullanılan şifreli bir Truva atı, bilgisayarın kayıt defterine zararlı yazılım hazır olduğunda erişebilmesi için ekleniyor.
KopiLuwak’ın iki sürümü .NET RocketMan Trojan ve PowerShell MiamiBeach Trojan da siber casusluk için tasarlandı.Araştırmacılar bu sürümlerin, KopiLuwak’ı tespit edebilen güvenlik yazılımlarına sahip hedeflere dair hazırlandığına inanıyorlar. Bu üç sürüm de kurulduktan sonra şunları yapabiliyor:
- Ne tür bir bilgisayara erişebildiğini anlamak için hedefi detaylı şekilde inceleme
- Sistem ve ağ adaptörleri hakkında bilgi toplama
- Dosya çalma
- Başka zararlı yazılımlar indirip çalıştırma
- MiamiBeach sürümü bunun yanında ekran görüntüsü de alabiliyor
Kaspersky Baş Güvenlik Araştırmacısı Kurt Baumgartner, “Turla 2019’da yenilenmiş bir araç setiyle karşımıza çıktı. Yeni özellikler muhtemelen güvenlik çözümleri ve araştırmacılardan kaçınmak için eklendi. Bu özellikler ve yöntemler arasında zararlı yazılımın dijital izini küçültmek ve iyi bilinen KopiLuwak zararlı yazılımının birbirine benzer fakat ayrı iki sürümünü çıkarmak yer almakta.
İnternet sensörünü aşabilen VPN yazılımlarının kurulum paketlerinin kullanılması, saldırganların bu araçları birer siber casusluk aracı olarak kabul ettiğini gösteriyor. Bu gelişmeler, APT’lerin kullanmış olduğu en yeni araçlar ve tekniklere karşı koruma sağlamakta olan güvenlik yazılımları ve tehdit istihbaratına duyulan ihtiyacı hatırlatıyor. Örneğin, uç nokta koruması ve kurulum yazılımını indirdikten sonra dosya kodlarını kontrol etme gibi yöntemler Topinambour gibi tehditlere karşı koruma sağlıyor” dedi.
Kaspersky, karmaşık siber casusluk operasyonlarının kurbanı olma ihtimalini azaltmak için şu tedbirlerin alınmasını öneri ediyor: Çalışanların potansiyel zararlı uygulama ya da dosyaları tanıyabilmesi ve bunlardan kaçınması için güvenlik farkındalığı eğitimleri düzenleyin. Örneğin, çalışanlar güvenilmeyen ya da bilinmeyen kaynaklardan herhangi bir uygulama veya program indirip çalıştırmamalı. Uç nokta düzeyinde tespit, soruşturma ve vakalara zamanında müdahale için bir uç nokta tespit ve müdahale çözümü kullanın.
Mutlaka bulunması gerekli olan uç nokta koruma çözümlerinin yanı sıra gelişmiş tehditleri ilk etapta ağ düzeyindeyken tespit eden, kurumsal sınıf bir güvenlik çözümü kullanın. Güvenlik merkezi ekiplerinizin en yeni Tehdit İstihbaratı verilerine ulaşmasını sağlayın. Böylece tehdit grupları tarafından kullanılan yeni araçlar, teknikler ve taktikler hakkında güncel bilgiye sahip olabilirler.