Çoğu siber güvenlikten etkilenmeyen bir şekilde sunulan son derece güçlü bir kötü amaçlı yazılım (yeni sekmede açılır) önlemlerin, yüksek profilli Çinli bireyleri enfekte ettiği keşfedildi.
Kaspersky’den siber güvenlik araştırmacıları, LuoYu adlı Çinli Gelişmiş Kalıcı Tehdit (APT) aktörü tarafından dağıtılan ve kullanılan WinDealer adını verdikleri kötü amaçlı yazılım keşfetti. Araştırmacılar, WinDealer’ın “etkileyici miktarda” bilgi toplama yeteneğine sahip olduğunu söylüyor. Cihazda depolanan tüm dosyaları görüntüleyebilir ve indirebilir, ayrıca tüm belgelerde anahtar kelime araması yapabilir.
Kötü amaçlı yazılımı hedef uç noktaya ulaştırmak için (yeni sekmede açılır)saldırganlar, esasen toplu taşıma ağ trafiğini ele geçiren bir adam-on-the-side saldırısı gerçekleştirir.
sunucu ile yarış
Mağdur internette belirli bir kaynağa erişmeye çalıştığında (örneğin, LinkedIn hesabını açın), sayfayı açmak için sunucuya bir istek göndermesi gerekir. Bu istek, saldırganların araya girip okuyabildiği ve ardından sunucu meşru siteyle yanıt vermeden önce kötü amaçlı içerik teslim etmeye çalıştığı trafik türüdür.
Kaspersky, yöntemi meşru sunucuyla bir “yarış” olarak tanımlar; tek fark, saldırganın istediği kadar kötü niyetli içerik gönderme girişiminde bulunmasıdır. Bir hedef uç noktaya başarılı bir şekilde bulaşmak için, saldırganın kurbanla herhangi bir etkileşime ihtiyacı yoktur.
Araştırmacılar ayrıca, hedeflerin çoğunlukla Çin’deki yüksek profilli kuruluşlar ve bireyler olduğunu iddia ediyor. Çin’de kurulan yabancı diplomatik kuruluşlar, akademik camia üyeleri, savunma, lojistik ve telekomünikasyon şirketleri potansiyel hedefler olarak listeleniyor. Kaspersky araştırmacıları Çin’in yanı sıra Almanya, Avusturya, ABD, Çek Cumhuriyeti, Rusya ve Hindistan’daki hedeflerden de bahsetti.
Tüm hedefler, tercih ettikleri işletim sistemi olarak Windows’u kullanıyor.
Kötü amaçlı yazılım, tespit edilmesinin zor olmasının yanı sıra (yeni sekmede açılır) engellemek de zordur. Genellikle, bu tür kötü amaçlı yazılım, talimatlar için bir komut ve kontrol (C2) sunucusuyla bağlantı kurar ve yalnızca sunucunun IP adresini engellemek, tehdidi etkisiz hale getirmek için yeterli olacaktır. Öte yandan WinDealer, IP adresleri (48.000, diyor Kaspersky) üreten ve engellemeyi imkansız hale getiren karmaşık bir algoritmaya güveniyor.
Böyle bir saldırıya karşı savunmanın tek yolu, trafiği başka bir ağ üzerinden, örneğin bir VPN ile yönlendirmektir. Ancak, Çin’de bir VPN’e sahip olmak, söylemekten daha kolaydır.