Rusça konuşan bireylerden oluşan yüksek profilli tehdit kümesi Çeşitle, devlet kurumları ve diplomatik kuruluşları gaye alan siber casusluk faaliyetleriyle biliniyor. Yenilikçi teknikleriyle tanınan kümenin KopiLuwak isimli ünlü ziyanlı yazılımı birinci olarak 2016 sonlarında gözlemlenmişti. 2019’da Kaspersky araştırmacıları bu tehdit kümesinin yeni araçlar ve teknikler kullanarak tespit edilme ihtimalini daha da azalttığını belirledi.
Turla tarafından kullanılan Topinambour (adını yer elması sebzesinden alıyor), JavaScript KopiLuwak ziyanlı yazılımını dağıtmaya yarayan bir .NET belgesi. Bu belge, internet sensörünü aşmada kullanılan VPN üzere yasal programların suram paketlerine bulaşarak kurbanlara ulaşıyor.
Siber casusluk hedefiyle tasarlanan KopiLuwak, Turla’nın yeni bulaştırma metotları sayesinde tespit edilmekten kurtulabiliyor.Örneğin, ziyanlı yazılımın komut ve denetim altyapısında sıradan LAN adreslerini taklit eden IP’ler bulunuyor. Bunun yanı sıra ziyanlı yazılım neredeyse büsbütün “dosyasız” bir yapıda. Bulaşma sürecinin son kademesinde uzaktan idare için kullanılan şifreli bir Truva atı, bilgisayarın kayıt defterine ziyanlı yazılım hazır olduğunda erişebilmesi için ekleniyor.
KopiLuwak’ın iki sürümü .NET RocketMan Trojan ve PowerShell MiamiBeach Trojan da siber casusluk için tasarlandı.Araştırmacılar bu sürümlerin, KopiLuwak’ı tespit edebilen güvenlik yazılımlarına sahip gayelere yönelik hazırlandığına inanıyorlar. Bu üç sürüm de kurulduktan sonra şunları yapabiliyor:
Ne cins bir bilgisayara erişebildiğini anlamak için amacı detaylı biçimde inceleme
Sistem ve ağ adaptörleri hakkında bilgi toplama
Dosya çalma
Başka ziyanlı yazılımlar indirip çalıştırma
MiamiBeach sürümü ayrıyeten ekran imajı de alabiliyor
Kaspersky Baş Güvenlik Araştırmacısı Kurt Baumgartner, “Turla 2019’da yenilenmiş bir araç setiyle karşımıza çıktı. Yeni özellikler muhtemelen güvenlik tahlilleri ve araştırmacılardan kaçınmak için eklendi. Bu özellikler ve usuller ortasında ziyanlı yazılımın dijital izini küçültmek ve uygun bilinen KopiLuwak ziyanlı yazılımının birbirine benzeri ama farklı iki sürümünü çıkarmak yer alıyor. İnternet sensörünü aşabilen VPN yazılımlarının heyetim paketlerinin kullanılması, saldırganların bu araçları birer siber casusluk aracı olarak kabul ettiğini gösteriyor. Bu gelişmeler, APT’lerin kullandığı en yeni araçlar ve tekniklere karşı müdafaa sağlayan güvenlik yazılımları ve tehdit istihbaratına duyulan gereksinimi hatırlatıyor. Örneğin, uç nokta muhafazası ve suram yazılımını indirdikten sonra evrak kodlarını denetim etme üzere metotlar Topinambour üzere tehditlere karşı muhafaza sağlıyor” dedi.
