İran Destekli Hacker Grubunun Fidye Yazılımlarıyla Bağlantısı Tespit Edildi

Son zamanlarda İsrail ile İran arasındaki artan gerilim siber dünyada da kendini gösteriyor, güvenlik araştırmacıları siber savaşın daha da tırmanmasından endişeli.

Siber güvenlik araştırmacıları, Thanos fidye yazılımıyla yapılan son saldırıları İran devlet destekli bir grup hacker ile ilişkilendiren ipuçları bulduklarını ilettiler.

ClearSky ve Profero’da görev alan güvenlik araştırmacıları, İsrail’in önde gelen birkaç kuruluşundaki güvenlik olaylarını araştırırken, izinsiz girişlerde İran devletinin sponsor olduğu bilinen bir bilgisayar korsanlığı grubu olan MuddyWater’in izini tespit ettiler.

Yapılan araştırmaya göre MuddyWater, izinsiz girişleri belirlediği iki taktik ile benzer kalıpları takip eden şekilde gerçekleştiriyor.

İlk senaryoda MuddyWater bir kimlik avı (phishing) e-postası yoluyla izinsiz erişimler elde ediyor. Hedef bilgisayar bu e-postaları açtığında, korsanların sunucularından kötü amaçlı PDF ve Excel belgeleri indirilerek, kuruluyor.

İkinci senaryoda ise MuddyWater, internette güncellenmemiş Microsoft Exchange e-posta sunucularını arıyor, sunucudaki CVE-2020-0688 güvenlik açığından yararlanarak, sunucuya bir web kabuğu yüklüyor ve ardından aynı kötü amaçlı yazılımları indirip yüklüyor.

ClearSky, bu ikinci aşama kötü amaçlı yazılımın herhangi bir kötü amaçlı kod parçası olmadığını, daha önce yalnızca bir kez görülen ve belgelenen bir tür olduğunu bildirdi.

PowGoop adlı bu PowerShell tabanlı tehdit, Eylül ayı başlarında yalnızca bir kez görüldü ve diğer güvenlik firması Palo Alto Networks’ün bir raporuna göre Thanos fidye yazılımını yüklemek için kullanılmıştı. Diğer Thanos (veya Hakbit) fidye yazılımı saldırıları, fidye yazılımını dağıtmak için diğer kötü amaçlı yazılım türlerini, yani Visual Basic 6.0’da yazılan tamamen farklı bir kötü amaçlı yazılım türü olan her yerde bulunan GuLoader’ı kullandı.

ClearSky’ın basına sunduğu raporda, saldırganların herhangi bir zarar vermeden izinsiz erişimin durdurulduğu iletildi. Her ne kadar erişim durdurulsa da tüm şirket geçmiş Thanos fidye yazılımı sebebiyle alarm seviyesine geçmiş durumda.

ClearSky güvenlik araştırmacıları bu haftaki bir röportajda MuddyWater’ın, saldırılarını gizlemek ve saldırıya uğramış ağlardaki dosyaları şifreleyerek saldırı kanıtlarını yok etmek için Thanos fidye yazılımını yüklemeye çalışacağı tahmininde bulundular.

İzinsiz girişleri gizlemek için fidye yazılımı dağıtma taktiği, daha önce de devlet destekli diğer operasyonlar tarafından kullanılmış ve saldırılar tespit edilerek iyi bir şekilde belgelenmişti.

Geçmişteki saldırılar yeniden incelenmeli

Geçmişteki Thanos fidye yazılımı saldırılarının artık yeniden gözden geçirilmesi ve yeni bulgular ışığında yeni kanıtlar aranması gerekiyor. Böylelikle “Saldırı bağımsız bir siber suç grubundan mı yoksa İran destekli bilgisayar korsanları tarafından mı gerçekleştirilmişti?” sorusu cevap bulabilir.

Bir Ransomware-as-a-Service (hizmet olarak fidye yazılımı) olarak sunulan Thanos, büyük oranda Rus bilgisayar korsanlığı forumlarında dolaşımda olan bir siber silah. Bu durum da bir önce ki paragraftaki sorunun sebeplerinden biri olarak karşımıza çıkıyor.

Thanos fidye yazılımının son sürümleri, ek olarak bilgisayarın MBR’sini (master boot record )yeniden yazan ve sistemlerin önyüklenmesini önleyen bir bileşenle birlikte geliyor. Bu tür saldırılar, sistemleri geçici olarak kilitleyebileceği ve sıfırdan geri yüklenmesi gerekebileceğinden son derece rahatsız edici olabiliyor.

ClearSky araştırmacısı Ohad Zaidenberg yaptığı açıklamada, MuddyWater’ın fidye yazılımı dağıtımlarına ayak uydurmasının son dönemde artan siyasi gerilimler ve İran ile İsrail arasındaki karşılıklı siber saldırılarla ilgili olabileceğine inandığını söyledi.

MuddyWater’ın uzun bir hack geçmişi var, ancak geçmiş operasyonların çoğu gizli istihbarat toplamaya yönelikti. Fidye yazılımı ise, diğer saldırılara oranla saldıranın kimliği ile ilgili kanıt bırakmaya daha yatkın bir saldırı türü. Bu sebeble Zaidenberg’in iddiası, özellikle mevcut siyasi duruma bakıldığında bir olasılık olabilir.

Kaynak

Exit mobile version