Cooper Quintin’in sahip olduğu adlı bir siber paralı asker grubunun faaliyetlerini izliyordu. Koyu Karakulak yıllarca. 28 Temmuz 2022’de bir iz bulduğunu söyledi. devam eden yeni hack kampanyası Dominik Cumhuriyeti ve Venezuela’daki grup tarafından. Bilgisayar korsanlarının komuta ve kontrol sunucuları olarak kullandıkları etki alanlarını incelerken şaşırtıcı bir keşifte bulundu.
“Dört aydan fazla bir süredir, kötü amaçlı yazılımlarında listelenen anahtar etki alanlarından birini kaydetmeyi unuttuklarını fark etmemişlerdi.” QuintinElectronic Frontier Foundation dijital haklar grubunda kıdemli bir güvenlik araştırmacısı olan TechCrunch’a verdiği demeçte.
Quintin, etki alanını kaydettirip denetimini ele geçirebilirse bunu hemen fark etti — adı verilen bir mekanizma batma siber güvenlik dilinde – bilgisayar korsanlarının eylemleri ve daha da önemlisi hedefleri hakkında gerçek zamanlı bir görüş elde edebiliyordu.
Keşfi günün geç saatlerinde yaptığını, ancak alan adını kaydettirmek ve batırmak için izin almak için EFF’nin avukatlarını hemen “porsuklamaya” başladığını söyledi. Ertesi gün, Quintin yeşil ışık yaktı ve Dark Caracal’ın bilgisayar korsanlığı operasyonuna etkili bir şekilde sızdı.
Bu yazı itibariyle, bilgisayar korsanlarının faaliyetlerini hâlâ gizlice izliyor. Ve Quintin’in söyleyebildiği kadarıyla bilgisayar korsanları bunun henüz farkına varmadı.
“Belki birkaç gün, en fazla bir veya iki hafta gibi bilgi alabileceğimi düşündüm. Birkaç ay bilgi alacağımı hiç düşünmemiştim” dedi.
Düden sayesinde Quintin bilgisayar korsanlarının Mart ayından bu yana 700’den fazla bilgisayarı hedeflediğini tespit etti geçen yıl, çoğunlukla Dominik Cumhuriyeti ve Venezuela’da.
Quintin’in devraldığı alan ana komuta ve kontrol sunucusu değildi – üç sunucudan biriydi – ancak yine de önemli bir amacı vardı: kötü amaçlı yazılım için ek işlevler indirmek. Bandook. Ancak bu, Quintin’in hedefler ve kimlikleri hakkında IP adresleri dışında ayrıntılı bilgi almadığı anlamına geliyordu.
Ayrıca, Dark Caracal’ın etki alanının kontrolünü ele geçirmeye karar verdiklerinde Quintin ve meslektaşları çok fazla kişisel bilgi toplamak istemediklerine karar verdiler.
“Enfekte olmuş kişilerin mahremiyetini daha fazla ihlal etmediğimizden emin olmak istedik” dedi.
Bu hedefi göz önünde bulundurarak, tuhaf bir karar aldılar: düden web sitesinde bir gizlilik politikasıhackleme kampanyasının kurbanlarını korumaya yönelik diğer uygulamaların yanı sıra, EFF’nin “SİNKHOLE tarafından toplanan herhangi bir veriyi yayınlamadan veya paylaşmadan önce veya belirli bir zaman dilimi içinde anonimleştirmek için elimizden gelenin en iyisini yapacağını” söylüyor.
EFF, 2015’ten beri Dark Caracal’ı takip ediyor. 2020’de Quintin ve EFF’nin siber güvenlik direktörü Eva Galperin bir bilgisayar korsanlığı kampanyası hakkında bir rapor yayınladı Lübnan hedeflerine odaklandı. EFF araştırmacıları, o sırada bilgisayar korsanlığı kampanyasının Lübnan hükümetinin emriyle yapıldığı sonucuna vardılar ve bunu bir Kazakistan’da 2016 kampanyası.
Grubun yıllar boyunca farklı ülkelerdeki farklı kurbanları hedef alması, EFF araştırmacılarının Dark Caracal’ın geleneksel bir hükümet bilgisayar korsanlığı grubu olmadığı, bunun yerine hükümetlerin ve belki de diğer kuruluşların ilgilendikleri kişileri hacklemek için kiraladıkları bir grup olduğu sonucuna varmasına neden oldu. .
“Onların bir siber paralı asker grubu olduklarını düşünüyoruz, Lübnan ve Kazakistan da dahil olmak üzere birçok ulus devlet için iş yapmış gibi görünüyorlar. Ve şimdi Latin Amerika’da bazı işler yapıyorlar gibi görünüyor,” dedi Quintin. (Quintin ve meslektaşları, Dark Caracal’ın burada kimin için çalıştığını belirleyemedi.)
EFF araştırmacıları, Dark Caracal’ın arkasındaki aynı grup olduğuna inanıyor. siber güvenlik firması ESET tarafından 2021’de bildirilen bir kampanya, ağırlıklı olarak Venezuela’daki bilgisayarları hedef aldı. ESET’te bu rapor üzerinde çalışan bir araştırmacı olan Matias Porolli, Quintin ondan yardım istediğinde TechCrunch’a mevcut kampanyayı incelediğini söyledi. Porolli, bu son kampanyanın ESET’in 2021’de takip ettiği aynı grup tarafından yürütüldüğü sonucuna vardığını söyledi.
Ancak Porolli, 2021 kampanyasının gerçekten Dark Caracal tarafından yürütüldüğü sonucuna varmak için yeterli veriye sahip olmadıklarını söyledi. Dark Caracal’a işaret eden ekmek kırıntılarından biri, Bandook adlı bir casus yazılım veya genellikle RAT olarak adlandırılan uzaktan erişim truva atı kullanımıdır.
Porolli, “Bu aynı kötü amaçlı yazılım, Bandook, ancak farklı gruplar tarafından kullanılabilir” dedi.
Ancak Cooper, Bandook’un açık kaynak olmadığı ve açık bir şekilde mevcut görünmediği göz önüne alındığında, aynı kötü amaçlı yazılımın kullanımının yeterince güçlü bir bağlantı olduğuna inandığını söyledi. Ayrıca, bilgisayar korsanları Bandook’u yıllar içinde yavaş yavaş geliştiriyor, casus yazılıma farklı işlevler ekliyor, bu da onların kendi araçlarını geliştiren aynı grup olduklarını düşündürüyor.
Ve araçları ve teknikleri yavaş yavaş daha iyi hale geliyor.
“Burada tam olarak dünyanın en iyileriyle uğraşmıyoruz. Ama ne olursa olsun, yine de işi bitirirler. Açıkça büyük kampanyalar yürütebiliyorlar ve çok sayıda bilgisayara bulaşabiliyorlar,” dedi Quintin. “Bence bu alt düzey doktorlara dikkat etmek önemli, çünkü çok fazla iş yapıyorlar. Ve bence NSO Group gibi daha tanınmış adamlar kadar çok çalışıyorlar ve bence farklı bir şekilde onlar kadar tehlikeliler.
Top artık Dark Caracal’ın sahasında. Quintin’in eylemleri halka açık olduğuna göre kendilerine sızıldığını anlayacaklar mı?
Quintin, “Onların yerinde olsaydım, EFF blogunu adımı arayarak okurdum,” dedi gülerek.
Dark Caracal hakkında daha fazla bilginiz var mı? Veya diğer paralı asker hackleme grupları hakkında bilginiz var mı? Sizden haber almak isteriz. Lorenzo Franceschi-Bicchierai ile +1 917 257 1382 numaralı telefondan Signal üzerinden veya Wickr, Telegram ve Wire @lorenzofb aracılığıyla veya [email protected] adresine e-posta göndererek güvenli bir şekilde iletişime geçebilirsiniz. TechCrunch ile SecureDrop aracılığıyla da iletişime geçebilirsiniz.