Gerçek Haberin Kalbini Okuyan Portal

Toplu casus yazılım kampanyası tehlike saçıyor

0 13

Endüstriyel kuruluşlar hem finansal yarar hem de istihbarat toplama açısından siber hatalılar için en cazip maksatların başında geliyor. 2021 yılı Lazarus ve APT41 gibi tanınmış APT kümelerinin endüstriyel kuruluşlara saldırdığına sahne oldu. Kaspersky uzmanları diğer bir taarruz dizisini araştırırken, kümenin savunma sanayisine karşı ThreatNeedle kampanyasında kullandığı özel makûs maksatlı yazılım olan ve Lazarus’un “Manuscrypt” ile kimi benzerliklere sahip yeni bir makûs emelli yazılım kesimini ortaya çıkardı. Bu nedenle yazılım PseudoManuscrypt olarak isimlendirildi.

20 Ocak – 10 Kasım 2021 tarihleri ortasında 195 ülkede 35 binden fazla bilgisayarda PseudoManuscrypt’i engellendi. Maksatların birçok, askeri-endüstriyel işletmeler ve araştırma laboratuvarları dahil olmak üzere sanayi ve devlet kuruluşlarıydı. Taarruza uğrayan bilgisayarların %7,2’si endüstriyel denetim sistemlerinin (ICS) bir kesimiydi. Mühendislik ve bina otomasyonu en çok etkilenen kısımları temsil ediyordu.

PseudoManuscrypt, başlangıçta kimileri ICS’ye özel geçersiz korsan yazılım yükleyici arşivleri aracılığıyla hedeflenen sisteme indiriliyor. Bu uydurma yükleyicilerin Hizmet Olarak Makus Emelli Yazılım (MaaS) platformu aracılığıyla sunulması mümkün. Enteresan bir formda birtakım durumlarda PseudoManuscrypt, makûs bir üne sahip olan Glupteba botnet aracılığıyla kuruluyor. Birinci bulaşmadan sonra ana berbat gayeli modülü indiren karmaşık bir enfeksiyon zinciri başlatılıyor. Kaspersky uzmanları bu modülün iki çeşidini belirledi. Her ikisi de tuş vuruşlarını günlüğe kaydetme, panodan bilgi kopyalama, VPN (ve potansiyel olarak RDP) kimlik doğrulama bilgilerini ve irtibat bilgilerini çalma, ekran imgelerini kopyalama dahil olmak üzere gelişmiş casusluk yeteneklerine sahip.

Akınlar makul sanayilere dair bir tercih göstermiyor. Fakat taarruza uğrayan çok sayıda mühendislik bilgisayarı, 3D ve fizikî modelleme ve dijital ikizler için kullanılan sistemler de dahil olmak üzere, endüstriyel casusluğun tek bir gaye olabileceğini gösteriyor.

Garip bir formda kurbanlardan kimileri, ICS CERT’nin daha evvel bildirdiği Lazarus kampanyasının kurbanlarıyla bağlantılı görünüyor. Bilgiler, daha evvel sadece APT41’in berbat gayeli yazılımıyla kullanılan bir kitaplık yardımıyla az bir protokol üzerinden saldırganların sunucusuna gönderiliyor. Bununla birlikte çok sayıda kurbanı ve odak eksikliğini göz önüne alarak, Kaspersky kampanyayı Lazarus yahut bilinen rastgele bir APT tehdit aktörüyle ilişkilendirmiyor.

Kaspersky Güvenlik Uzmanı Vyacheslav Kopeytsev, şunları söylüyor: “Bu epey sıra dışı bir kampanya ve elimizdeki çeşitli bilgileri hala bir ortaya getiriyoruz. Fakat açık bir gerçek var: Bu, uzmanların dikkat etmesi gereken bir tehdit ve birçok yüksek profilli kuruluş da dahil olmak üzere binlerce ICS bilgisayarına girmeyi başardı. Güvenlik topluluğunu yeni bulgulardan haberdar ederek araştırmalarımızı sürdüreceğiz.”

Cevap bırakın

E-posta hesabınız yayımlanmayacak.