Rus Hackerlar, Akınlarda Gmail’i Kullanıyormuş

0
7

Siber güvenlik araştırmacıları, çeşitli devletlerin kurumlarına yaptıkları hücumlarla tanınan Rus hacker kümesi Turla’nın bilinen yazılım araçlarından ComRAT’ın gelişmiş bir sürümünü ortaya çıkardıklarını açıkladılar. 

Siber güvenlik şirketi ESET’ten yapılan açıklamada, Turla’nın ComRAT’a komut göndermek ve elde edilen datalara ulaşmak için Gmail’i kullandığı açıklandı. ESET, Turla’nın siber hücum için alışılmışın dışında teknikleri kullandığını, Gmail’in kullanılmasının da bu alışılmamış usullerden olduğu belirtti. 

Rus hacker kümesi Çeşitle, 2004 yılından beri farklı memleketlerin askeri ve sivil kurumlarına yaptıkları taarruzlarla ün kazanmıştı. Hacker öbeğinin kullandığı araçlarından en tesirlisi olan ComRAT’ın geliştirilme tarihi 2007 yılına kadar dayanıyor. 

ABD Merkez Komutanlığı’nın Afganistan ve Irak savaş kesimlerini denetlemek için kullandığı bilgisayarlar dahil olmak üzere birçok devlet kurumunun bilgisayarını gaye aldığı belirlenen ComRAT sayesinde Turla’nın değerli haberlere ulaştığı düşünülüyor. 

ComRAT’ın mevcut versiyonu ESET tarafından birinci olarak 2017 yılında tespit edildi. Turla’nın siber atak aracı o günden bu yana Şark Avrupa’daki iki memleketin dışişleri bakanlığının ve Kafkasya’da bulunan bir parlamentonun bilgisayarlarını hedef aldı.

ESET’in yaptığı yeni araştırmada ComRAT’ın son versiyonunun 2020 başında hala canlı olarak kullanıldığı belirlendi. ESET, Turla’nın ComRAT’a komut göndermek ve denetim etmek için Gmail’in kullanıcı arayüzünün yanında eski bir HTTP muhabere kanalını kullandığını açıkladı. 

Kasım 2019’da derlendiği belirlenen ComRAT’ın yeni versiyonu, Çeşitle operatörleri tarafından sair e-posta sağlayıcılarından gönderilen şifreli komutları içeren posta eklerini indirmek için Gmail’e bağlanıyor. 

Turla’nın hususî hücum aracı ComRAT’ın yeni versiyonunun detayları

ComRAT’ın yeni versiyonu evvelki ComRAT sürümlerine kıyasla nispeten karmaşık yeni bir kod yapısına sahip durumda. ESET, son versiyonun eski HTTP C&C protokolüne sahip olduğunu ve Turla’nın öteki bir beğenilmeyen hedefli yazılımıyla kimi ağ altyapılarını paylaştığını açıkladı. 

ComRAT V4 olarak isimlendirilen son versiyon sayesinde çalınan haberler, Turla’nın öteki araçlarıyla güvenliği ihlal edilmiş sistemlerine ulaştırıldı. Güvenliği ihlal edilmiş sair bir cihaza gönderilen malumatların dışarı aktarılması için ise 4shared ve OneDrive üzere bulut hizmetleri kullanıldığı belirlendi. 

Benzer Yazımız  Google Plus'ın bölgesine gelecek Google Currents önümüzdeki ay başlatılacak

ESET, Turla’nın yazılım araçlarını geliştirmek ve güvenlik yazılımlarından kaçınmak için kıymetli bir çalışma yürüttüğünü de açıkladı. ESET’e nazaran Cinsle yazılım örneklerinin algılanıp algılanmadığını anlamak için güvenlikle ilgili evraklarını nizamlı olarak genişletiyor. 

ComRAT, güvenlik yazılımlarını atlatmak için hususî olarak tasarlandı

ESET’te vazifeli olan bed hedefli yazılım araştırmacısı Matthieu Faou, ComRAT’ın son versiyonunun Turla’nın gelişim düzeyini ve girmeyi başardıkları bilgisayarda uzun vade kalmayı düşündüklerini gösterdiğini söyledi. 

Faou, ComRAT’ın son versiyonunun Gmail’in web sürümünün kullanıcı arayüzünü kullanması nedeniyle güvenlik yazılımlarının denetimlerinden kaçabildiğini söyledi. Faou, hücuma uğrayan bilgisayarlarda yaptıkları inceleme sonucunda ComRAT’ın Cinsle tarafından kullanıldığını belirlediklerini söyledi. 

ComRAT’ın son versiyonunun ESET tarafından belirlenmesinin yanında bu ayın başında Kaspersky de bir Tıpla yazılımı tespit etti. Kaspersky’den yapılan açıklamada COMpfun ismi verilen aracın Avrupa’daki diplomatik kurumlara yönelik ataklarda kullanıldığı açıklandı. 

Kaynak: Webtekno

CEVAP VER

Lütfen yorumunuzu giriniz!
Lütfen isminizi buraya giriniz