Son dakika haber oku.

Siber casusuluk kümesinin maksat aldığı ülkeler içinde Türkiye’de yer alıyor

0 1

Siber casusuluk kümesinin amaç aldığı ülkeler içinde Türkiye’de yer alıyor

Siber güvenlik şirketi ESET, casusluk yeteneklerine sahip bir art kapı olarak tanımlanan TA410 ile ilgili araştırmasını yayınladı.

Ses kaydediyor, klavye hareketlerini takip ediyor,

kamerayı denetim ediyor

TA410 siber casusluk kümesi

ESET Araştırma Ünitesi, çoğunlukla kamu hizmetleri kesimindeki ABD merkezli kuruluşları ve Orta Doğu ve Afrika’daki diplomatik kuruluşları gaye almasıyla tanınan, APT10 ile temaslı bir siber casusluk şemsiyesi kümesi olan TA410’un detaylı bir profilini ortaya koydu.

ESET araştırmacıları, bu kümenin, ESET tarafından keşfedilen yeni bir FlowCloud sürümü de dahil olmak üzere farklı araç setlerini kullanan üç farklı gruptan oluştuğunu düşünüyor. Küme, farklı casusluk yeteneklerine sahip çok karmaşık bir art kapı. ESET, devam eden araştırmaların sonuçları da dahil olmak üzere TA410 tehdit kümesi ile ilgili en son bulgularını Botconf 2022 sırasında sunacağını açıkladı.

ESET tarafından yapılan açıklamada şu bilgilere yer verildi;

  • TA410, her biri kendi araç seti ve maksatları olan ve ESET araştırmacılarının FlowingFrog, LookingFrog ve JollyFrog ismini verdiği üç takımdan oluşan bir şemsiye küme.
  • ESET telemetrisi, başta kamu ve eğitim bölümleri olmak üzere dünyanın her yerinde bu kümenin kurbanları olduğunu gösteriyor.
  • TA410’un bilinen en son Microsoft Exchange uzaktan kod yürütme güvenlik açıklarına erişimi vardı (örneğin, Mart 2021’de ProxyLogon ve Ağustos 2021’de ProxyShell).
  • ESET araştırmacıları, FlowingFrog tarafından kullanılan karmaşık ve modüler bir C++ RAT olan FlowCloud’un çeşitli enteresan özelliklere sahip yeni bir sürümünü buldu. Bu özellikler ortasında şunlar bulunuyor:
  1. Bağlı mikrofonları denetim etme ve belli bir eşik hacminin üzerindeki ses düzeyleri algılandığında kaydı başlatma.
  2. Pano içeriğini çalmak için pano olaylarını izleme.
  3. Yeni ve değiştirilmiş belgeleri toplamak için belge sistemi olaylarını izleme.
  4. Güvenliği ihlal edilmiş bilgisayarın etrafının fotoğraflarını çekmek için bağlı kamera aygıtlarını denetim etme.

Gaye aldığı ülkeler içinde Türkiye’de yer alıyor

Aşağıda FlowingFrog, LookingFrog ve JollyFrog olarak anılan bu grupların taktik, teknik ve prosedürleri, kurbanları ve ağ altyapıları açısından benzerlikler var.

ESET araştırmacıları ayrıyeten bu alt kümelerin bir halde bağımsız çalıştığını, lakin istihbarat ihtiyaçlarını, gayeye yönelik kimlik avı kampanyalarını yürüten bir erişim takımını ve ayrıyeten ağ altyapısını dağıtan takımı paylaşabileceklerini varsayıyor.

TA410 gayelerinin birçok diplomasi ve eğitim kesimlerindeki yüksek profilli kuruluşlar. Buna rağmen ESET askeri bölümdeki kurbanları, Japonya’da bir üretim şirketi, Hindistan’da bir maden şirketi ve İsrail’de bir hayır kurumu da tespit etti. TA410’un Çin’deki yabancı bireyleri gaye aldığı da belirtiliyor. ESET telemetrisine nazaran, bu durum en az iki kere gerçekleşti; örneğin, kurbanlardan biri bir Fransız akademisyen, oburu ise bir Güney Asya ülkesinin Çin’deki diplomatik misyonunun bir üyesiydi.

Gayelere birinci erişim, Microsoft Exchange üzere internete açık uygulamalardan yararlanarak yahut makûs hedefli dokümanlar içeren gayeye yönelik kimlik avı e-postaları göndererek elde edilir. ESET makus gayeli yazılım araştırmacısı Alexandre Côté Cyr, bu durumu şöyle açıklıyor: “Bu bize, kurbanlarının bilhassa maksat alındığını ve saldırganların amaca sızma bahtının en yüksek olduğu kurbanları seçtikleri manasına geliyor.” ESET araştırmacıları, FlowingFrog grubu tarafından kullanılan FlowCloud’un bu sürümünün hala geliştirme ve test evresinde olduğuna inansa da, bu sürümün siber casusluk yetenekleri ortasında geçerli ön plan penceresiyle ilgili bilgileri toplamanın yanı sıra fare hareketlerini, klavye aktifliğini ve pano içeriğini toplama yeteneği de yer alıyor. Bu bilgiler, saldırganların çalınan dataları bağlama oturtarak anlamasına yardımcı olabilir.

Ayrıyeten FlowCloud bağlı kamera etraf üniteleri yoluyla fotoğraf çekerek ve bir bilgisayarın mikrofonu yoluyla ses kaydederek kurbanın bilgisayarında olup bitenler hakkında bilgi toplayabilir. Côté Cyr kelamlarına şöyle devam ediyor: “Bu ikinci fonksiyon, olağan konuşma hacminin üst aralığında olan 65 desibel eşiğinin üzerindeki rastgele bir sesle otomatik olarak başlar. Siber casusluk makûs emelli yazılımlarındaki tipik ses kayıt fonksiyonları, etkilenen makinede bir aksiyon gerçekleştirildiğinde (örneğin, bir görüntü konferans uygulaması çalıştırıldığında) yahut operatörleri tarafından makûs gayeli yazılıma belli bir komut gönderildiğinde başlatılır.”

TA410, en az 2018’den beri etkindir ve birinci olarak Ağustos 2019’da Proofpoint tarafından LookBack blog yazısında kamuya duyuruldu. Bir yıl sonra, o vakitler yeni ve çok karmaşık bir makus gayeli yazılım ailesi olan FlowCloud da TA410 ile ilişkilendirildi.

Kaynak: (BHA) – Beyaz Haber Ajansı

Kaynak: Beyaz Haber Ajansı

Cevap bırakın

E-posta hesabınız yayımlanmayacak.