Pakistanlı bir tehdit aktörü, en az altı yıldır Hindistan hükümetiyle bağlantılı kuruluşlar hakkında casusluk yapıyor.
Cisco Talos’un yeni bir raporu, “Kozmik Leopar” adını verdiği bir grup tarafından “Göksel Güç Operasyonu” şemsiye başlığı altında yıllar süren siber casusluk faaliyetlerini bir araya getirdi. Pakistan merkezli Kozmik Leopar, olarak bilinen tehdit aktörüyle örtüşüyor ancak henüz ondan farklı kalıyor. Şeffaf Kabile. Kozmik Leopar’ın saldırıları, Hindistan hükümeti ve savunma sektörlerinin yanı sıra ilgili teknoloji şirketleriyle bağlantılı kişi ve kuruluşlara yönelik casusluk ve gözetime odaklanıyor.
Cisco sosyal yardım araştırmacısı Asheer Malhotra, “İlgi konusu hedefleri etkilemek ve uzun vadeli erişim sağlamak için sürekli ve ısrarcı çabalar görüyoruz” diyor. “Tehdit aktörlerinin özellikle ne aradıklarını bilmediklerinden oldukça eminim. Buradaki amaç, ellerinden geldiğince fazla veri elde etmek, böylece bunları analiz edip daha sonra çözebilmektir. sahne.”
Göksel Güç Operasyonu
Kozmik Leopar faaliyetinin işaretleri, 2016 yılında Windows sürümünü oluşturduğu zamana kadar uzanıyor. YerçekimiRAT Truva Atı.
O zamandan beri Malhotra şöyle diyor: “Temel olarak yaptıkları her şeyde sürekli bir evrim gördük.”
Örneğin grup 2019’da HeavyLift kötü amaçlı yazılım yükleyicisini ve mobil cihazları hedeflemek için GravityRAT’ın Android sürümlerini geliştirdi. MacOS’ta da var. “TTP’lerde de sürekli bir evrim gördük [tactics, techniques, and procedures] Tehdit aktörü tarafından kullanılıyor. Kimlik avı mesajları gönderiyorlardı; artık mağdurlarla sosyal medya kanalları üzerinden sohbetler kuruyorlar. Aynı zamanda tespit edilmeyi aşmak için kullanabilecekleri yeni bir altyapı kuruyorlar” diye açıklıyor.
Toplamda, mevcut bir Göksel Güç saldırısı şuna benzer:
İlk olarak, kötü amaçlı bir belge veya daha sık olarak bir bağlantı içeren bir hedef odaklı kimlik avı e-postası veya sosyal medya mesajı gelir. Bağlantı, aslında GravityRAT veya HeavyLift’i maskeleyen meşru bir Android uygulamasını indirmek için bir web sitesi gibi görünecek.
GravityRAT oldukça standart ama güçlü bir mobil Truva atıdır. SMS mesajlarını, arama kayıtlarını ve dosyaların yanı sıra SIM kart, telefon numarası, IMEI, üretici, şebeke operatörü, konum ve daha fazlası hakkındaki diğer cihaz bilgilerini okuyabilir ve silebilir.
HeavyLift, meşru bir yükleyici olarak maskelenmiş bir yürütülebilir dosyadır. Genellikle cihaza hem zararsız bir tuzak uygulaması hem de kötü amaçlı bir uygulama yükler. Kötü amaçlı bileşen, çeşitli sistem verilerini toplayıp sızdırabilir, daha fazla veri indirebilir ve sanal makinede çalışıp çalışmadığını kontrol edebilir.
Ancak etkili olması için bunların hiçbirini yapması gerekmez.
Malhotra, “HeavyLift’in, kurbanın sistemine ek kötü amaçlı yazılım indirip çalıştırabilen bir bileşeni var, ancak aynı zamanda kurbana, tehdit aktörlerinin bulutuna veri yükleme yeteneği de veriyor.” diye açıklıyor. Bazı senaryolarda tehdit aktörü, hedefe sosyal medya üzerinden bulut depolama uygulaması hakkında bilgi veriyor. “Tehdit aktörü bu konuda açık sözlü davranıyor. Bunun bir bulut depolama uygulaması olduğunu, tüm verilerinizi burada depolayabileceğinizi söylüyorlar. Hedef, tüm verilerini yüklemeye başladığında buna erişim sahibi oluyor, dolayısıyla bunu yapamıyorlar.” İçeri girip onlardan çalmana gerek yok.”
Cisco’nun baş güvenlik araştırmacısı Vltor Ventura, bunun çok iyi çalıştığını söylüyor çünkü “Siteye giderseniz, kullanıcı arayüzünden geçerseniz, bu gerçekten çok iyi yapılmış. Kötü amaçlı yazılımı araştırırken bile neredeyse yasal gibi görünüyordu. Uygulama aramızda bir tartışma başlattı – tamam, bu gerçekten kötü niyetli mi değil mi?”
Enfeksiyonları Önlemek
Neyse ki, mobil cihazlara yönelik bu saldırılardan kaçınmak basittir: Yazılımı yalnızca yetkili uygulama mağazalarından indirin (Android için bu Google Play’dir). Ventura, “Saldırgan sıfır gün kullanmadığı sürece veya sistem güncellenmezse n gün kullanmadığı sürece, Android ekosistemine girebilmelerinin hemen hemen tek yolu budur” diye belirtiyor.
Windows bilgisayarları bu basit düzeltmeden yoksundur, ancak kendilerine göre bir avantajları vardır.
Ventura şöyle açıklıyor: “Android’i düşündüğünüzde, kuruluşların bu cihazlarda neler olup bittiğine dair çok fazla görünürlüğü yok. Kuruluşların kontrol etmesi daha zor bir ortam. Dizüstü bilgisayarlarla daha iyi görünürlük elde ediliyor.”
Bu ekstra görünürlük sayesinde kuruluşlar, bir çalışanın hatalı tıklamasının kuruluş çapında bir sorun haline gelmesini önlemek için katmanlı güvenlik uygulayabilir.
“İnsanlar bir bağlantı aldıklarında veya bir dosya aldıklarında, içinde ne olduğunu görmek istiyorlar” diyor. Gerçeği inkar etmek yerine, “bir sonraki aşamaya geçmeli ve bunu önlemeliyiz” [decision] çok daha kötü bir şeye dönüşmekten.”