Kaspersky’den yapılan açıklamaya nazaran, şirketin araştırmacıları tarafından son periyotta çok sayıda siber casusluk operasyonu bulunan bir tehdit kümesi olan Cloud Atlas’ın, Portekiz, Romanya, Türkiye, Ukrayna, Rusya, Türkmenistan, Afganistan ve Kırgızistan başta olmak üzere birçok ülkede milletlerarası finans ve havacılık kesimleri ile devlet kurumları ve dini kuruluşları gaye aldığı tespit edildi.
Endüstriyel kuruluşlara, devlet kurumlarına ve öbür tertiplere yönelik çok sayıda siber casusluk operasyonu bulunan Cloud Atlas, 2014’ten bu yana faaliyetlerini sürdürüyor.
Kurbanlara ulaşmak için yeni bir yoldan faydalanıldı
Cloud Atlas kümesi sisteme sızmayı başardıktan sonra erişim sağladığı sistem hakkında bilgi toplayabiliyor, parolaları kaydedebiliyor ve en yeni .txt .pdf .xls .doc uzantılı belgeleri bir komut ve denetim sunucusuna gönderebiliyor. Tehdit kümesi, geçen yıldan bu yana kullandığı taktikleri çok değiştirmemiş olsa da son tespit edilen taarruzlarda kurbanlara ulaşmak için yeni bir usulden faydalanıldığı ve ağda yatay hareket edildiği gözlemlendi.
Cloud Atlas, evvelce maksadına içinde ziyanlı bir ek bulunan kimlik avı e-postası gönderiyordu. “PowerShower” isimli ziyanlı yazılım, kurbanın aygıtına ulaştığında sistemi denetim ediyor ve ek ziyanlı modüller indiriyordu ve siber saldırganlar bu sayede operasyonu sürdürebiliyordu.
Yeni hücum zincirinde ise PowerShower, daha ileri bir etapta faaliyete geçiyor. Bunun yerine, birinci kademede maksat makineye berbat hedefli bir HTML uygulaması indiriliyor ve çalıştırılıyor. Bu uygulama, gaye bilgisayar hakkında bilgi topluyor ve akabinde başka bir ziyanlı modül olan VBShower’ı indirip çalıştırıyor.
VBShower sistemde ziyanlı yazılımlara ilişkin tüm delilleri siliyor ve daha sonra yapılacaklar için komut ve denetim sunucusuna bağlanıyor. Alınan komuta bağlı olarak bu ziyanlı yazılım, PowerShower yahut Cloud Atlas’ın öteki bilinen ikinci basamak art kapısını indirip çalıştırıyor.
“Kötü hedefli operasyonların bölümle paylaşımı çok faydalı”
Yeni taarruz zinciri, bir evvelkine nazaran genel olarak daha karmaşık bir yapıda. İki zincir ortasındaki temel fark ise HTML uygulaması ve VBShower modülünün çok biçimli olmasından ileri geliyor. Bu da her atakta modüllerdeki kodların yeni ve eşsiz olduğu manasına geliyor. Kaspersky uzmanları, bu yeni sürümün, ziyanlı yazılımı bilinen sızma belirtilerine güvenen güvenlik tahlilleri için görünmez hale getirmek için kullanıldığını belirtiyor.
Açıklamada görüşlerine yer verilen Kaspersky Küresel Araştırma ve Tahlil Grubu Güvenlik Araştırmacısı Felix Aime, araştırmalarda tespit edilen makûs gayeli operasyonların sızma belirtilerinin güvenlik kesimi ortasında paylaşılmasının çok yararlı olduğunu vurguladı.
Bu sayede memleketler arası siber casusluk hücumlarına süratle müdahale edilip oluşacak hasarın önlenebildiğini belirten Aime, şunları kaydetti:
“2016’da iddia ettiğimiz üzere, sızma belirtileri ağınızı bilhassa maksat alan akınlar karşısında etkisiz bir araç haline geldi. Bunun birinci örneği ProjectSauron ile görüldü. Her bir kurbanda farklı sızma belirtisi oluşturan bu ziyanlı yazılım, casusluk operasyonlarında özel ve eşsiz araçlar yerine açık kaynaklı araçlar kullanmayı sürdürdü. Bu eğilim, çok biçimli ziyanlı yazılımlarla devam ediyor. Bu formül, tehdit kümelerinin yakalanmasını zorlaştırmıyor lakin güvenlik hünerleri ve savunma araçlarının, makus maksatlı kümelerin hünerleri ve araçlarının düzeyini yakalaması gerektiriyor.”
