Yenicağın siber paralı askerleri: "Icefog"

23-09-2019, 19:49:13

#1
Sigma

Açık Profil bilgileri

Özel Mesaj Gönder

Sigma tarafından gönderilen tüm mesajları bul

Sigma'ı arkadaş olarak ekle
Yenicağın siber paralı askerleri: "Icefog"

Guvenlik firması Kaspersky, tedarik zincirlerini tehdit eden yeni bir siber casusluğu ortaya cıkardı

Kaspersky Lab guvenlik ekibi, Guney Kore ve Japonya'daki hedeflere yoğunlaşan ve buradaki Batılı şirketlerin tedarik zincirlerini vuran "Icefog" adlı kucuk ancak dinamik bir APT (Advanced Persistent Threat-Gelişmiş Siber Silahlar) grubuyla ilgili yeni bir araştırma belgesi yayımladı.

2011'de operasyona başlayan ve son birkac yılda boyutları ve kapsamı genişleyen Icefog ile ilgili acıklama yapan Global Araştırma ve Analiz Ekibi Direktoru Costin Raiu, "Son birkac yılda benzer sektorlerden hemen hemen aynı turde kurbanları vuran bir dizi APT'nin varlığını keşfettik. Saldırganlar coğunlukla kurumsal ve devlet ağlarında belirli noktalara tutunuyor ve terabyte'larla ifade dilebilecek miktarda onemli bilgiyi kacırıyor" dedi. Icefog saldırılarının 'vur-kac' niteliği yeni bir trendin oluştuğunu gosterdiğini de ekleyen Raiu sozlerini şu şekilde surdurdu: "Bunlar, hedefe yonelik bir şekilde bilginin peşine duşen kucuk vur-kac ceteleri. Saldırı genellikle birkac gun veya bir hafta suruyor. Aradıklarına ulaştıktan sonra saldırganlar gerekli temizlikleri yapıp gidiyor. Gelecekte bu kucuk, hedefe odaklanmış 'kiralık APT' gruplarının sayısının artacağını, vur-kac tarzı operasyonlarda uzmanlaşacaklarını, bu ekiplerin modern dunyanın bir tur 'siber paralı askerleri' olarak değerlendirilebileceğini duşunuyoruz."

Icefog ile ilgili başlıca bulgular:

Ø Belirlenen hedeflerin niteliğine gore saldırganların ilgilendikleri sektorler şu şekilde sıralanıyor: Donanma, gemi inşa ve denizcilik operasyonları, bilgisayar ve yazılım geliştirme, araştırma şirketleri, telekom operatorleri, uydu operatorleri, medya ve televizyon.

Ø Araştırmanın gosterdiğine gore saldırganlar Lig Nex1 ve Selectron Industrial Company gibi savunma sanayi yuklenicilerini, DSME Tech gibi gemi inşa şirketlerini, Hanjin Heavy Industries'i, Korea Telecom gibi telekom operatorlerini, Fuji TV gibi medya şirketlerini ve Japan-China Economic Association'ı hedefe aldılar.

Ø Saldırganlar onemli belgelerin yanı sıra şirket planlarını, kurbanın ağının icinde ve dışında ceşitli kaynaklara ulaşmak amacıyla e-posta hesap bilgilerini ve parolaları calıyor.

Ø Operasyon sırasında saldırganlar "Icefog" arka kapı ayarını kullanıyor ("Fucobha" olarak da biliniyor. Kaspersky Lab, Icefog'un Microsoft Windows ve Mac OS X icin ceşitli versiyonları bulunduğunu belirlemiştir.

Ø Bircok APT kampanyasında kurbanlar aylarca, hatta yıllarca etki altında kalmakta, saldırganlar veri calmaya devam etmekte ve Icefog operatorleri kurbanlar uzerinde teker teker calışarak yalnızca hedefe yonelik belirli verileri bulmakta ve kopyalamaktadır. İstenen bilgilere ulaştıktan sonra ayrılmaktadırlar.

Ø Icefog operatorleri coğunlukla kurbanlardan ne istediklerini cok iyi biliyor. Kolayca belirlenebilen ve C&C'ye aktarılabilen belirli dosya adlarını aradıkları tespit edildi.

KAYNAK-1

Arka planda Asya ulkeleri var

Kaspersky Lab araştırmacıları, saldırganlar tarafından kullanılan 70'ten fazla ana alandan 13'une ulaştı. Bu, dunya capında kurban sayısına dair bazı istatistikler sağlıyor. Icefog komutu ve kontrol sunucuları kurbanlarının yanı sıra uzerlerinde gercekleştirilen işlemlerin şifreli kayıtlarını tutuyor. Bu kayıtlar bazı durumlarda saldırıların hedeflerinin, hatta bazen kurbanların belirlenmesine yardımcı oluyor. Japonya ve Guney Kore'nin yanı sıra Tayvan, Hong Kong, Cin, ABD, Avustralya, Kanada, İngiltere, İtalya, Almanya, Avusturya, Singapur, Belarus ve Malezya'da dahil bazı başka ulkelerde de bağlantılar belirlenmiş durumda. Kaspersky Lab toplamda 4.000'den fazla etkilenmiş IP ve birkac yuz kurbanı belirledi.

Altyapıyı izlemek ve kontrol etmek icin kullanılan IP'lere bakarak Kaspersky Lab uzmanları, bu operasyonun arkasında yer alan oyuncuların en az şu uc ulkede bulunduğunu varsayıyor: Cin, Guney Kore ve Japonya.

Kaspersky Lab urunleri Icefog zararlı yazılımının tum varyantlarını belirlemekte ve engellemektedir. Arka kapılar, diğer zararlı araclar ve istatistiklerle birlikte risk gostergelerine dair ayrıntılı acıklamalar iceren raporun tamamını okumak icin bkz. Securelist. Eksiksiz bir Icefog SSS bolumu de bulunmaktadır.

KAYNAK-2
__________________