Toplu casus yazılım kampanyası tehlike saçıyor
Endüstriyel kuruluşlar hem finansal kar hem de istihbarat toplama açısından siber hatalılar için en cazip gayelerin başında geliyor. 2021 yılı …
Endüstriyel kuruluşlar hem finansal kar hem de istihbarat toplama açısından siber hatalılar için en cazip gayelerin başında geliyor. 2021 yılı Lazarus ve APT41 gibi tanınmış APT kümelerinin endüstriyel kuruluşlara saldırdığına sahne oldu. Kaspersky uzmanları öbür bir taarruz dizisini araştırırken, kümenin savunma sanayisine karşı ThreatNeedle kampanyasında kullandığı özel berbat emelli yazılım olan ve Lazarus’un “Manuscrypt” ile kimi benzerliklere sahip yeni bir berbat hedefli yazılım modülünü ortaya çıkardı. Bu nedenle yazılım PseudoManuscrypt olarak isimlendirildi.
20 Ocak – 10 Kasım 2021 tarihleri ortasında 195 ülkede 35 binden fazla bilgisayarda PseudoManuscrypt’i engellendi. Amaçların birden fazla, askeri-endüstriyel işletmeler ve araştırma laboratuvarları dahil olmak üzere sanayi ve devlet kuruluşlarıydı. Taarruza uğrayan bilgisayarların %7,2’si endüstriyel denetim sistemlerinin (ICS) bir kesimiydi. Mühendislik ve bina otomasyonu en çok etkilenen kısımları temsil ediyordu.
PseudoManuscrypt, başlangıçta kimileri ICS’ye özel geçersiz korsan yazılım yükleyici arşivleri aracılığıyla hedeflenen sisteme indiriliyor. Bu düzmece yükleyicilerin Hizmet Olarak Makus Maksatlı Yazılım (MaaS) platformu aracılığıyla sunulması olası. Enteresan bir biçimde birtakım durumlarda PseudoManuscrypt, makus bir üne sahip olan Glupteba botnet aracılığıyla kuruluyor. Birinci bulaşmadan sonra ana berbat emelli modülü indiren karmaşık bir enfeksiyon zinciri başlatılıyor. Kaspersky uzmanları bu modülün iki çeşidini belirledi. Her ikisi de tuş vuruşlarını günlüğe kaydetme, panodan data kopyalama, VPN (ve potansiyel olarak RDP) kimlik doğrulama bilgilerini ve ilişki datalarını çalma, ekran imajlarını kopyalama dahil olmak üzere gelişmiş casusluk yeteneklerine sahip.
Hücumlar belli sanayilere dair bir tercih göstermiyor. Lakin hücuma uğrayan çok sayıda mühendislik bilgisayarı, 3D ve fizikî modelleme ve dijital ikizler için kullanılan sistemler de dahil olmak üzere, endüstriyel casusluğun tek bir amaç olabileceğini gösteriyor.
Garip bir halde kurbanlardan kimileri, ICS CERT’nin daha evvel bildirdiği Lazarus kampanyasının kurbanlarıyla bağlantılı görünüyor. Bilgiler, daha evvel sırf APT41’in makûs gayeli yazılımıyla kullanılan bir kitaplık yardımıyla az bir protokol üzerinden saldırganların sunucusuna gönderiliyor. Bununla birlikte çok sayıda kurbanı ve odak eksikliğini göz önüne alarak, Kaspersky kampanyayı Lazarus yahut bilinen rastgele bir APT tehdit aktörüyle ilişkilendirmiyor.
Kaspersky Güvenlik Uzmanı Vyacheslav Kopeytsev, şunları söylüyor: “Bu epeyce sıra dışı bir kampanya ve elimizdeki çeşitli bilgileri hala bir ortaya getiriyoruz. Lakin açık bir gerçek var: Bu, uzmanların dikkat etmesi gereken bir tehdit ve birçok yüksek profilli kuruluş da dahil olmak üzere binlerce ICS bilgisayarına girmeyi başardı. Güvenlik topluluğunu yeni bulgulardan haberdar ederek araştırmalarımızı sürdüreceğiz.”