Daha önce bilinmeyen bir tehdit aktörü, Orta Doğu’daki telekomünikasyon şirketlerini, son yıllarda birden fazla ülkedeki telekom kuruluşlarını vuran birçok siber casusluk kampanyasına benzer görünen bir siber casusluk kampanyasında hedefliyor.
Yeni kampanyayı tespit eden SentinelOne araştırmacıları, onu WIP26 olarak izlediklerini söylediler; bu, şirketin belirli bir siber saldırı grubuna atfedemediği faaliyetler için kullandığı bir atama.
Bu hafta bir raporda, sahip olduklarını kaydettiler. genel bulut altyapısını kullanarak gözlemlenen WIP26 kötü amaçlı yazılım dağıtmak ve sızdırılmış verileri depolamak ve ayrıca komuta ve kontrol (C2) amaçları için. Güvenlik satıcısı, tehdit aktörünün bu taktiği -bugünlerde pek çok kişinin yaptığı gibi- tespitten kaçmak ve güvenliği ihlal edilmiş ağlarda etkinliğinin tespit edilmesini zorlaştırmak için kullandığını değerlendirdi.
“WIP26 etkinliği, TTP’lerini sürekli olarak yenileyen tehdit aktörlerinin ilgili bir örneğidir. [tactics, techniques and procedures] Gizli kalmak ve savunmaları atlatmak için” dedi şirket.
Hedefli Orta Doğu Telekom Saldırıları
SentinelOne’ın gözlemlediği saldırılar, genellikle Orta Doğu’daki hedef telekom şirketlerindeki belirli kişilere yönelik WhatsApp mesajlarıyla başladı. Mesajlar, bölgeyle ilgili yoksullukla ilgili konularda belgeler içerdiği iddia edilen Dropbox’taki bir arşiv dosyasına bağlantı içeriyordu. Ancak gerçekte, aynı zamanda bir kötü amaçlı yazılım yükleyicisi de içeriyordu.
Bağlantıya tıklamaları için kandırılan kullanıcılar, cihazlarına iki arka kapı yüklediler. SentinelOne, C2 olarak bir Microsoft 365 Mail istemcisi kullanan CMD365 olarak izlenen bir tanesini ve aynı amaç için bir Google Firebase örneği kullanan CMDEmber adlı ikinci arka kapıyı buldu.
Güvenlik satıcısı, WIP26’yı keşif yapmak, ayrıcalıkları yükseltmek, ek kötü amaçlı yazılım dağıtmak için arka kapıları kullanmak olarak tanımladı. — ve kullanıcının özel tarayıcı verilerini, kurbanın ağındaki yüksek değerli sistemler hakkındaki bilgileri ve diğer verileri çalmak. SentinelOne, her iki arka kapının kurban sistemlerinden ve ağdan topladığı birçok verinin, saldırganın gelecekteki bir saldırı için hazırlık yaptığını gösterdiğini değerlendirdi.
SentinelOne, “Gözlemlediğimiz ilk izinsiz giriş vektörü hassas hedefleme içeriyordu” dedi. “Ayrıca, Orta Doğu’daki telekomünikasyon sağlayıcılarının hedef alınması, bu faaliyetin arkasındaki güdünün casuslukla ilgili olduğunu gösteriyor.”
Telekom Şirketleri Gözde Casusluk Hedefleri Olmaya Devam Ediyor
WIP26, son birkaç yıldır telekom şirketlerini hedef alan birçok tehdit aktöründen biridir. Daha yeni örneklerden bazıları — Optus, Telestra ve Dialog gibi Avustralya telekom şirketlerine yönelik bir dizi saldırı gibi — finansal olarak motive edildiler. Güvenlik uzmanları, bu saldırıların, müşteri verilerini çalmak veya sözde SIM takas şemaları yoluyla mobil cihazları ele geçirmek isteyen siber suçlular arasında telekom şirketlerine yönelik artan ilginin bir işareti olduğuna işaret etti.
Yine de daha sıklıkla, siber casusluk ve gözetleme, telekomünikasyon sağlayıcılarına yönelik saldırıların birincil motivasyonları olmuştur. Güvenlik sağlayıcıları, Çin, Türkiye ve İran gibi ülkelerden gelişmiş kalıcı tehdit gruplarının, kendi hükümetleriyle ilgilenen bireyleri ve grupları gözetlemek için bir iletişim sağlayıcının ağına girdiği birkaç kampanya bildirdi.
Bir örnek Operasyon Yumuşak Hücre, Çin merkezli bir grubun, belirli kişileri takip edebilmek için arama veri kayıtlarını çalmak üzere dünyanın dört bir yanındaki büyük telekomünikasyon şirketlerinin ağlarına girdiği yer. Başka bir kampanyada, Light Basin olarak izlenen bir tehdit aktörü, 13 büyük operatörün ağlarından Mobil Abone Kimliği (IMSI) ve meta verilerini çaldı. Tehdit aktörü, kampanyanın bir parçası olarak taşıyıcı ağlara, hedeflenen kişilerin aramalarını, kısa mesajlarını ve arama kayıtlarını engellemesine izin veren kötü amaçlı yazılım yükledi.