Perşembe günü Avustralya, Kanada, Yeni Zelanda, İngiltere ve ABD’den siber güvenlik ve istihbarat teşkilatları, Ukrayna ordusu tarafından kullanılan Android cihazlarını hedef alan bir mobil kötü amaçlı yazılım türünün ayrıntılarını açıkladı.
Kötü amaçlı yazılım adı verilen Rezil Keski ve Sandworm adlı Rus devlet destekli bir aktöre atfedilen yetenekler “güvenliği ihlal edilmiş cihazlara yetkisiz erişimi sağlamak, dosyaları taramak, trafiği izlemek ve hassas bilgileri periyodik olarak çalmak.”
Kötü amaçlı yazılımın bazı yönleri Ağustos ayının başlarında Ukrayna Güvenlik Servisi (SBU) tarafından ortaya çıkarıldı ve bu durum, rakiplerin sızmaya yönelik başarısız girişimlerinin altını çizdi. Ukrayna askeri ağları ve değerli istihbarat toplayın.
FROZENBARENTS, Iron Viking, Seashell Blizzard ve Voodoo Bear isimleriyle de bilinen Sandworm, Rusya Ana İstihbarat Müdürlüğü’nün (GRU) Özel Teknolojiler Ana Merkezi’ni (GTsST) ifade eder.
En az 2014’ten bu yana aktif olan bilgisayar korsanlığı ekibi, Industroyer, BlackEnergy ve NotPetya gibi kötü amaçlı yazılımları kullanan yıkıcı ve yıkıcı siber kampanyalarıyla tanınıyor.
Temmuz 2023’te Google’ın sahibi olduğu Mandiant söz konusu GRU’nun kötü amaçlı siber operasyonlarının, tehdit aktörlerinin “hızlı ve son derece çekişmeli bir işletim ortamına” hızlı bir şekilde uyum sağlamasını ve aynı zamanda hızı, ölçeği ve yoğunluğu en üst düzeye çıkarmasını sağlayan taktiksel ve stratejik faydalar sunan bir taktik kitabına bağlı kalması fark edilmeden.
Infamous Chisel, uzaktan erişimi mümkün kılmak ve Android telefonlardan bilgi sızdırmak amacıyla tasarlanmış birden fazla bileşenden oluşan bir koleksiyon olarak tanımlanıyor.
Kötü amaçlı yazılım, önceden tanımlanmış bir dizi dosya uzantısıyla eşleşen bilgi ve dosyalar için cihazları taramanın yanı sıra, yerel ağı periyodik olarak tarama ve SSH erişimi sunma işlevi de içerir.
Five Eyes (FVEY) istihbarat ittifakı, “Infamous Chisel ayrıca, SSH bağlantısı sağlayan değiştirilmiş bir Dropbear ikili dosyasına ileten gizli bir hizmetle TOR’u yapılandırıp çalıştırarak uzaktan erişim sağlıyor.” dedi.
Modüllerin her birinin kısa bir açıklaması aşağıdaki gibidir:
- net – Uygulamaya özel dizinler ve web tarayıcıları da dahil olmak üzere, güvenliği ihlal edilmiş cihazdaki bilgileri belirli aralıklarla toplayın ve sızdırın
- td – TOR hizmetleri sağlayın
- damla – Tor hizmetlerini yapılandırın ve ağ bağlantısını kontrol edin (netd tarafından yürütülür)
- tcpdump – Meşru tcpdump yardımcı programı hiçbir değişiklik yapılmadan
- katil – Netd işlemini sonlandırın
- db – Dosyaları kopyalamak ve Dropbear’ın değiştirilmiş bir sürümünü kullanarak TOR gizli hizmeti aracılığıyla cihaza güvenli kabuk erişimi sağlamak için çeşitli araçlar içerir
- NDBR – Arm (ndbr_armv7l) ve Intel (ndbr_i686) CPU mimarilerinde çalışabilmek için iki farklı biçimde gelen, db’ye benzer bir çoklu çağrı ikili programı
Cihazdaki kalıcılık, Android’deki ağ yapılandırmasından sorumlu meşru netd arka plan programının, kök kullanıcı olarak komutları yürütmesine olanak tanıyan hileli bir sürümle değiştirilmesiyle elde edilir.
Ajanslar, “Rezil Keski bileşenleri düşük ila orta düzeyde karmaşıklığa sahip ve savunmadan kaçınma veya kötü niyetli faaliyetlerin gizlenmesine pek dikkat edilmeden geliştirilmiş gibi görünüyor” dedi.
“Askeri uygulamalarla ilgili belirli dosyaların ve dizin yollarının aranması ve bu verilerin sızdırılması, bu ağlara erişim kazanma niyetini güçlendiriyor. Bileşenler, faaliyeti gizlemek için temel gizleme veya gizlilik tekniklerinden yoksun olsa da, aktör bunun gerekli olmadığını düşünmüş olabilir. , çünkü birçok Android cihazın ana bilgisayar tabanlı bir algılama sistemi yoktur.”
Algıla, Yanıtla, Koru: Eksiksiz SaaS Güvenliği için ITDR ve SSPM
Kimlik Tehdit Algılama ve Yanıtının (ITDR) SSPM’nin yardımıyla tehditleri nasıl tanımladığını ve azalttığını keşfedin. Kurumsal SaaS uygulamalarınızın güvenliğini nasıl sağlayacağınızı ve ihlal sonrasında bile verilerinizi nasıl koruyacağınızı öğrenin.
Bu gelişme, Ukrayna Ulusal Siber Güvenlik Koordinasyon Merkezi’nin (NCSCC), Gamaredon (diğer adıyla Aqua Blizzard, Shuckworm veya UAC-0010) olarak bilinen Kremlin destekli başka bir hackleme ekibinin gizli bilgileri ele geçirmeye yönelik kimlik avı çabalarına ışık tutmasıyla gerçekleşti.
Devlet kurumu, 2013’ten bu yana defalarca Ukrayna’yı hedef alan tehdit aktörünün, Rus birliklerine yönelik karşı saldırı operasyonlarıyla ilgili hassas verileri toplamak amacıyla askeri ve devlet kurumlarına yönelik saldırılarını artırdığını söyledi.
NCSCC, “Gamaredon, mağdurlara virüs bulaştırmak için ele geçirilen kuruluşların çalınan meşru belgelerini kullanıyor” söz konusu. “Gamaredon, mağdurlara virüs bulaştırmak için ele geçirilen kuruluşların çalınan meşru belgelerini kullanıyor.”
Grubun Telegram ve Telegraph’ı kötüye kullanma konusunda bir geçmişi var. ölü damla çözümleyiciler Stratejik hedeflerine ulaşmak için “çok yönlü” bir kötü amaçlı yazılım araçları deposundan yararlanırken, komuta ve kontrol (C2) altyapısıyla ilgili bilgileri almak.
Bu, GammaDrop, GammaLoad, GammaSteel, LakeFlash ve Pterodo’yu kapsıyor; bunların sonuncusu casusluk ve veri sızdırma için geliştirilmiş çok amaçlı bir araç.
NCSCC, “Çeşitli modülleri yerleştirmedeki çok yönlülüğü, onu hedeflenen sistemlere hassas bir şekilde sızma ve tehlikeye atma yeteneğine sahip güçlü bir tehdit haline getiriyor.” dedi.
“Gamaredon, Ukrayna’yı hedef alan teknik açıdan en gelişmiş tehdit grubu olmasa da, taktikleri hesaplanmış bir evrim sergiliyor. Saldırıların artan sıklığı, operasyonel kapasitelerinin ve kaynaklarının arttığını gösteriyor.”