Kremlin’le bağlantılı olduğu iddia edilen bilinen bir Rus tehdit aktörü olan Turla’nın, Ukrayna’daki uç noktalara erişim elde etmek ve hedeflerini gözetlemek için on yıllık ve feshedilmiş bir kötü amaçlı yazılımı geri dönüştürdüğü gözlemlendi.
Siber güvenlik uzmanları Mandiant tarafından hazırlanan bir rapor, 2022’nin ortalarında Turla’nın, yaklaşık on yıl önce geniş çapta dağıtılan yaygın bir bankacılık truva atı olan Andromeda’nın süresi dolmuş alan adlarını 2013’te yeniden kaydettiğini ortaya çıkardı.
Bunu yaparak grup, kötü amaçlı yazılımın komuta ve kontrol (C2) sunucularını devralacak ve bir kez virüs bulaşmış uç noktalara ve bunların hassas bilgilerine erişim elde edecekti.
Görünürde saklanmak
Araştırmacılar, bu yeni yaklaşımın avantajlarından birinin, siber güvenlik araştırmacılarından gizli kalma yeteneği olduğunu iddia ediyor.
“Kötü amaçlı yazılım zaten USB aracılığıyla çoğaldığından, Turla kendini ifşa etmeden bundan yararlanabilir. Mandiant’ın önde gelen istihbarat analisti John Hultquist, agent.btz gibi kendi USB araçlarını kullanmak yerine başka birininkine oturabilirler” diyor. “Başkalarının operasyonlarını sırtlarına alıyorlar. Bu, iş yapmanın gerçekten akıllıca bir yolu.”
Ancak Mandiant ile ilgili alarmları artıran şey, Andromeda’nın iki ek kötü amaçlı yazılım parçası dağıtmış olmasıdır – Kopiluwak adlı bir keşif aracı ve Quietcanary adlı bir arka kapı. Geçmişte Turla’nın da kullandığı bir alet olduğu için onu veren eskiydi.
Toplamda, süresi dolmuş üç alan adının geçen yıl yeniden kaydedildiği gözlemlendi ve “yüzlerce” Andromeda bulaşmasıyla bağlantılı olarak tümü Turla’nın hassas verilere erişmesine olanak sağladı. “Bunu yaparak, temelde çok daha iyi bir şekilde radarın altında kalabilirsiniz. Bir grup insana spam göndermiyorsunuz, başka birinin bir grup insana spam göndermesine izin veriyorsunuz” diyor Hultquist. “Sonra hangi hedeflerin zaman ayırmaya ve teşhir etmeye değer olduğunu seçmeye başladınız.”
Araştırmacılar, Turla’nın bu yeni yaklaşımı Ukrayna’daki uç noktaları hedeflemek için kullandığını belirterek, şu ana kadar saldırıya uğrayan tek ülkenin bu olduğunu da sözlerine ekledi.
Üzerinden: kablolu (yeni sekmede açılır)