Cinli kiralık hacker grubu![BT]

23-09-2019, 22:00:06

#1
Sigma

Açık Profil bilgileri

Özel Mesaj Gönder

Sigma tarafından gönderilen tüm mesajları bul

Sigma'ı arkadaş olarak ekle
Symantec'in yaptığı bir araştırma Hidden Lynx adı verilen Cinli bir grup hacker'ın "kiralık" olarak hizmet verdiklerini ortaya koydu.

Son birkac yıldır yapılan calışmalar, internet uzerindeki ceşitli saldırıların ya da APT (Advanced Persistent Threat) adı verilen ileri seviyede inatcı viruslerin arkasındaki aktorleri detaylarıyla ortaya koyuyor.
Symantec Security Response (Symantec Guvenlik Yanıt Merkezi) olarak bizim gozumuz, internet saldırıları denilince işin ustası olarak sivrilen Cinli bir hacker grubunun uzerinde.
Komuta - kontrol sunucu iletişimlerinde bulunan bir bağlantıdan sonra onlara Hidden Lynx adı verildi. Bu grup, internet saldırıları konusunda oldukca agresif ve coktan APT1/Comment Crew gibi grupların onune gecmiş durumda. Bu grubun temel karakteristiğini aşağıdaki kelimelerle şoyle ozetleyebiliriz:
• Ust duzey teknik yetenek
• Ceviklik
• Cok organize
• Etkin kaynak kullanımı
• Sabır
Grup tum bu ozelliklerini uzun zaman suresince, aynı anda birden cok hedefe karşı yuruttuğu bircok acımasız kampanyada ortaya koydu.
“Watering hole” (Sulama deliği) adı verilen bir teknikle kullanıcıları tuzağa duşurmenin oncusu olan grup, sıfır-gun acıklarına coktan hızlı erişim kabiliyeti ile ulaşabilen ve kendilerini asıl hedefe ulaştırmak icin gereken tedarik zinciriyle uzlaşabilecek kadar akıllı, azimli ve sabırlı avcılardan oluşuyor. Bu tedarik zinciri saldırıları, amaclanan hedef bir tedarikcinin bilgisayarlarına virus bulaştırarak, daha sonra bu viruslu bilgisayarların diğerleriyle etkileşime gecmesini sağlayıp, boylece virusu yaymasını garantiye alarak yurutuluyor. Amatorce planlanan saldırılardan daha “sistemli” bir şekilde hesaplanan eylemlerden bahsediliyor.
Hidden Lynx adlı bu Cinli grup ayrıca, kendini bir avuc hedefle de sınırlandırmıyor, ceşitli ulkelerden yuzlerce farklı organizasyonu hedef alıyor, hatta bazen birden fazla hedefin uzerine aynı anda yuruyor. İşlerin buyukluğune, hedeflerin ve ulkelerin sayısına baktığımızda biz Symantec olarak bu grubun, daha cok muşterilerine bilgi sağlamak icin “kiralık hackerlar” şeklinde profesyonel olarak hizmet verdikleri duşunuluyor. Bu grup, muşterilerinin taleplerine gore bilgileri calıyor ve cok geniş bir hedef yelpazesinde ilerliyor.
Diğer taraftan, saldırıların buyukluğune bakıldığında grubun emrinde ciddi bir hacking/saldırı uzman kadrosu olduğunu duşunuyoruz. Tahminen bu grup icinde 50 ila 100 arası kişi arasında bir hacker grubu gorevli. Bu uzman kadro, farklı turde işleri yapmak icin farklı araclar kullanan ve en az iki farklı ekip halinde organize olan bir yapılanmaya sahip. Bu tarz saldırılar oldukca geniş bir zaman ve uzun uğraşlar gerektiriyor. Bazı saldırıları başlatabilmeleri ve başarı ile sonuclandırabilmeleri icin onceden araştırma ve istihbarat toplamaları gerekli olabiliyor.
Grubun başında, pek cok farklı hedefe saldırmak icin temel ama etkili yontemlerle ile birlikte ceşitli saldırı aracları da kullanan bir on takım yer alıyor. Bu takım gerektiğinde istihbarat toplama gorevini de ustleniyor. Kullandıkları Trojan’ın adından yola cıkarak biz bu takıma Moudoor adını verdik. Moudoor’u ekibin guvenlik firmalarına yakalanma endişesi olmadan, ozgurce kullanabildiği bir nevi Trojan’ın arka giriş kapısı gibi duşunebilirsiniz. Diğer ekipse, ozel operasyonlar birimi gibi daha elit bir calışan grubundan oluşuyor ve en değerli bilgilere ulaşmak icin calışıyor. Elit ekip Naid adında bir Trojan kullanıyor ve bu nedenle Naid Ekibi olarak adlandırılıyor. Moudoor’un aksine Naid Trojan, “başarısız olma” gibi bir secenek olmadığı zamanlarda, gizli bir silah gibi, algılamak, onlemek ve yakalamak icin oldukca dikkatli ve ozel bir operasyonla kullanılıyor.
Symantec grubun 2011’den beri yuruttuğu 6 onemli kampanyayı araştırdı. Bu kampanyalar arasından en dikkat ceken 2012 Haziran ayında VOHO saldırı kampanyası oldu. Bu saldırının ozellikle ilginc olan tarafı, “sulama deliği” tekniğini kullanılırken, Bit9’un cok guvenilen altyapısıyla ‘uzlaşmasıydı’.
VOHO kampanyası tamamen, Bit9 guvenlik koruma yazılımını kullanan Amerikan savunma birimlerinin sistemlerini hedefliyordu fakat Hidden Lynx korsanlarının onu bu guclu guvenlik koruma yazılımıyla kesilince, seceneklerini tekrar gozden gecirdiler ve sonunda careyi koruma sisteminin merkezine ulaşıp, sistemle bir nevi ‘uzlaşma’ yapmakta buldular. Aslında sistemin kalbine inerek ona bu şekilde zarar verdiler ve kendi amacları icin kullanabildiler.
Tum dikkatlerini Bit9’a verip, sistemde bir delik acmayı başardıklarında tam olarak yaptıkları buydu. Bir kez delik acıldı mı, siber-saldırganlar Bit9 koruma modelinin alt yapısında kolaylıkla yollarını bulabildiler ve zararlı kod yazılım dosyalarını yaratmak icin bu sistemi kullandılar. Sonrasında da yarattıkları dosyalar sayesinde asıl hedefleriyle uzlaştılar.

veteknoloji
__________________