Dünyadaki daha üretken ancak daha az bilinen ulus-devlet hack gruplarından biridir ve Çin veya Rusya’nın dışında değildir. Sözde SideWinder (aka Rattlesnake veya T-APT4) grubu, son iki yılda 1.000’den fazla hedefli saldırı başlatarak gözyaşı döktü.
Kaspersky’de kıdemli güvenlik araştırmacısı olan Noushin Shabab, SideWinder’ı 2017’den beri takip ediyor ve bu ay Singapur’daki Black Hat Europe’da bu siber casusluk ekibiyle ilgili en son bulgularını paylaşacak.
Shabab, “Yeni kötü amaçlı yazılımlar ve yeni kayıtlı alan adlarıyla belirli kurbanları tekrar tekrar hedefleme konusunda saldırılarında çok ısrarcı oldular” diyor. “Dolayısıyla hedef, önceki bir girişimin kötü niyetli olduğundan şüphelense bile – mızrak avı e-postaları ve benzeri gibi – tehdit aktörü yeni bir enfeksiyon vektörü kullanmaya ve şansını denemek için yeni bir alan kullanmaya çalıştı. “
SideWinder ayrıca, konu izlerini gizleme ve algılamayı saptırma konusunda ve ayrıca araştırmacıları engelleme konusunda oyununu yükseltti. Tehdit grubu artık birden çok kötü amaçlı yazılım katmanı, ek şaşırtma ve varlığına dair hiçbir kanıt bırakmayan bellekte yerleşik kötü amaçlı yazılım kullanan daha karmaşık bir saldırı zinciri yürütüyor. Noushin, diğer iyi yağlanmış ve gelişmiş tehdit grupları da faaliyetlerini kamufle etmek için yeni yöntemler eklemeye devam etse de, SideWinder inatçı ısrarı ve yüksek etkinlik hacmiyle onun için ayrı duruyor.
“Onları diğer APT’ler arasında gerçekten öne çıkaran şeyin ne olduğunu düşünüyorum. [advanced persistent threat] aktörler, birçok farklı kötü amaçlı yazılım ailesi, çok sayıda yeni hedefli kimlik avı belgesi ve çok büyük bir altyapı ile sahip oldukları büyük araç setidir” diyor. Şu ana kadar başka bir gruptan gelen “tek bir APT’den 1.000 saldırı görmedim”, o ekler.
Shabab, SideWinder’ın faaliyetlerini Nisan 2020’den beri takip ediyor, ancak Kaspersky SideWinder’ı ilk kez Ocak 2018’de bildirdi ve bunun en az 2012’den beri var olduğuna inanıyor. Güvenlik firması geleneksel olarak tehdit aktörlerini belirli ulus devletlere atfetmekten kaçınıyor, ancak Shabab firmasının ilk araştırmasına göre SideWinder, grubun, web sitesinde kötü amaçlı yazılım analizi ve sızma testi hizmetlerinin reklamını yapan Hindistan merkezli bir şirkete bağlı olduğunu gösterdi.
“O şirket ve o tehdit aktörü arasında bir bağlam bulduk” diyor. Ancak, “yıllar boyunca, [SideWinder] ilişkilendirme daha zorlu hale geldi.”
SideWinder çoğunlukla Orta ve Güney Asya’daki askeri ve kolluk kuvvetlerini hedef alıyor, ancak Asya’daki dış ilişkiler, savunma, havacılık, BT ve hukuk firmalarını da etkiliyor. Kaspersky’nin araştırmasına göre son zamanlarda Pakistan ve Sri Lanka ana odak noktası ve yakın zamanda Afganistan, Çin ve Nepal’deki hükümet ve ilgili kuruluşları hedef aldı. Trend Micro’dan araştırma ve anomaliden.
Kaspersky ayrıca, zaman zaman SideWinder’ın taktiklerini ve tekniklerini kopyalayan ve genellikle SideWinder’ın benimsediği en yeni enfeksiyon vektörüne yönelen Sidecopy adlı başka bir siber casusluk tehdit grubunu takip ediyor. Diğer bazı güvenlik araştırma ekiplerinin aksine Kaspersky, Sidecopy’yi SideWinder’dan ayrı olarak değerlendirir. Sidecopy’nin ağırlıklı olarak Hindistan ve Afganistan’daki kuruluşları hedef aldığı görülmektedir.
Sıfır Gün Gerekmez
SideWinder’ın ana ilk saldırı vektörü, dikkatli bir şekilde seçilmiş hedeflerine kötü amaçlı yazılımlarla donatılmış belge ekleri ile ikna edici görünen hedef odaklı kimlik avı e-postaları göndermekten oluşur. Shabab’a göre, hack grubu herhangi bir sıfırıncı gün açıkları dağıtmıyor, bunun yerine çoğunlukla eski Microsoft Office kusurları da dahil olmak üzere bilinen Windows veya Android güvenlik açıklarını silahlandırıyor.
Bununla birlikte, Ocak 2020’de Trend Micro’daki araştırmacılar, SideWinder’ın ilk yayınlandığında yüz milyonlarca Android telefonu etkileyen sıfırıncı gün yerel ayrıcalık yükseltme güvenlik açığından yararlandığını keşfettiklerini açıkladılar (CVE-2019-2215).
SideWinder, ilk denemeleri kurbanlarına bulaştırmazsa, genellikle vites değiştirir. Shabab, örneğin kötü amaçlı yazılımı maskelemek için APT’nin Windows dosya kısayolu özelliğini kötüye kullandığını gördü.
“İlginç olan şey, onların kurbanlara yaklaşımlarında oldukça dikkatli ve yenilikçi olduklarını gördük” diyor.
En az iki durumda SideWinder’ın hedef odaklı kimlik avı e-postalarıyla boş belge ekleri gönderdiğini söylüyor. Belgenin içeriği yoktu, ancak içinde kötü niyetli bir yük vardı. “Kısa bir süre sonra bir mektup gönderirler. [in an email] daha önce gönderdikleri boş belge için özür diliyor. Ancak bu ikinci e-postanın belgenin içinde farklı bir kötü amaçlı yükü vardı” diyor ve ekliyor: “Kurbanın sistemine bir ayak basmak için her şeyi deniyorlarmış.”
SideWinder ayrıca komut ve kontrol sunucularının yanı sıra indirme sunucuları için alan adlarını düzenli olarak değiştirir. Shabab, bunun çoğunlukla, bir alan tespit edilirse hedeflerine ulaşmanın bir yolunun olmasını sağlamak için olduğunu açıklıyor. Saldırılarda etkinliği farklı alanlara yaymanın da şüphe uyandırması daha az olasıdır.
Kaspersky’nin araştırması, SideWinder’ın şimdilik esas olarak Windows’u hedeflediğini gösteriyor, ancak geçen yıl firma grubun altyapı alanlarını ve sunucularını araştırdığında bazı kötü amaçlı mobil uygulamalar buldu.
Shabab, “Ancak Windows için sahip oldukları geniş saldırı altyapılarına ve büyük kötü amaçlı yazılım aile setlerine bakıldığında, ana odak noktalarının mobil olduğu görünmüyor” diyor.
Siyah Şapka Konuşması
Shabab, önümüzdeki hafta Black Hat Asia’daki oturumunda teknik detayları paylaşacak.SideWinder Saldırmak İçin AçılıyorBunlar, bilgisayar korsanlığı ekibinin kötü amaçlı yazılımını gizlemek ve onu çok aşamalı enfeksiyon zincirlerine katlamak için şaşırtma yöntemlerini nasıl geliştirdiğini içerecek. SideWinder’ın saldırı yöntemlerini araştırmak için birkaç şifreleme katmanının ve binlerce gizleme komut dosyasının şifresini çözmesi gerektiğini söylüyor. Ve ” her biri için şifre çözme anahtarı farklıydı” diyor.
Shabab, SideWinder uzlaşma göstergelerinin nasıl kullanılacağına dair tavsiyelerin yanı sıra bu APT grubuna karşı savunma konusunda özel güvenlik savunması tavsiyeleri sunmayı planlıyor. İlk bulaşmaları çoğunlukla bilinen güvenlik açıkları ve Windows’taki meşru özellikler (Microsoft Office gibi) aracılığıyla sağladığından, yama ve olağan en iyi güvenlik uygulamaları çok önemlidir. Bu, SideWinder sunucularından ek kötü amaçlı kötü amaçlı yazılım modüllerinin durdurulmasına yardımcı olabilecek uygulamaları beyaz liste veya güvenlik duvarı kurallarıyla sağlamlaştırmak anlamına geliyor, diyor.
Başlangıçta “Saldırıyı durdurmak çok zor değil” diyor. Ancak SideWinder bu ilk engeli aşarsa ve saldırının ilk aşamasında makineye bulaşırsa, saldırıyı ortadan kaldırmak katlanarak zorlaşır. Ekliyor: “Daha uzun süre fark edilmemek ve kalıcı olmak için birçok teknikleri var.”