ColdRiver olarak bilinen Rusya destekli gelişmiş kalıcı tehdit (APT), özel kötü amaçlı yazılımların buzlu sularına daldı ve “Spica” adı verilen özel bir arka kapıyı kullanıma sundu. Kötü amaçlı yazılım kullanımı, grubun taktikleri, teknikleri ve prosedürlerinde (TTP’ler) önemli bir evrimi temsil ediyor ve araştırmacılar, özellikle seçim sezonu yaklaşırken potansiyel hedeflerin dikkate alması gerektiğini söylüyor.
ColdRiver (diğer adıyla Blue Charlie, Callisto, Star Blizzard veya UNC4057) siber casusluk yapmak için genellikle STK’ları, eski istihbarat ve askeri görevlileri ve NATO hükümetlerini hedef alıyor – ve gerçekten de en son Aralık ayında Microsoft’un veri kaldırdığını yakaladığında manşetlere çıkmıştı. İngiliz hükümetinin üst düzey yöneticileri.
Ancak araştırmacıların bildiği kadarıyla, işleyiş şekli her zaman hassas bilgileri barındıran hesaplara sızmayı içeriyordu. uzun süreli kimlik avı yoluyla: yani, güvenilir bir kaynağın veya uzmanın kimliğine bürünmek, yakınlık kurmak ve sonunda bir kimlik avı bağlantısı veya bağlantı içeren bir belge göndermek.
Google’ın Tehdit Analiz Grubu’nun (TAG) araştırmasına göre ColdRiver’ın aslında çok çeşitli yeteneklere sahip olduğu ortaya çıktı.
Google TAG araştırmacıları, “Son zamanlarda TAG, ColdRiver’ın PDF’leri yem belgeleri olarak kullanan kampanyalar yoluyla kötü amaçlı yazılım dağıttığını gözlemledi” dedi. ColdRiver hakkındaki rapor bugün yayınlandı. “2015 ve 2016’da TAG, ColdRiver’ın Temmuz 2015’teki Hacking Team olayı sırasında sızdırılan Scout implantını kullandığını gözlemledi. [But] Spica, ColdRiver tarafından geliştirildiğini ve kullanıldığını düşündüğümüz ilk özel kötü amaçlı yazılımı temsil ediyor.”
Araştırmacılar Dark Reading’e, kampanyaların Ukrayna’yı, NATO ülkelerini, akademik kurumları ve STK’ları hedef aldığını belirtmenin ötesinde, Spica ile başarılı bir şekilde ele geçirilen kurbanların belirli profilleri veya sayıları hakkında görünürlükleri olmadığını söyledi. Ancak ColdRiver’ın bilinen TTP’leriyle uyumlu olarak “Spica’nın yalnızca çok sınırlı, hedefli saldırılarda kullanıldığına inanıyoruz”.
Spica: Baharatlı Küçük Bir Arka Kapı Kötü Amaçlı Yazılımı
Google TAG araştırmacıları, Spica saldırılarının pratikte nasıl göründüğüne bakıldığında, hedefle bir ilişki kurduktan sonra Rus kötü adamın, güvenilir kimliğe bürünme taktiğini kullanarak kötü amaçlı yazılımı yaydığını söyledi.
“ColdRiver sunar [PDF] Belgeleri, kimliğe bürünme hesabının yayınlamayı düşündüğü yeni bir köşe yazısı veya başka türde bir makale olarak hedeften geri bildirim ister. Rapora göre, kullanıcı zararsız PDF’yi açtığında metin şifrelenmiş görünüyor.
Hedefler kaçınılmaz olarak şifrelenmiş belgeyi okuyamadıklarını söylediğinde, ColdRiver bir bağlantı göndererek akıllıca bir “şifre çözme” yardımcı programına yönlendirdiğini iddia eder; bu da aslında Spica kötü amaçlı yazılımıdır.
Çalıştırıldıktan sonra Spica, sözde “şifresi çözülmüş” bir PDF’yi tuzak olarak açarken, sessizce kalıcılık sağlıyor ve komuta ve kontrol sunucusuna (C2) bağlanıyor.
Google TAG araştırmacıları ikili dosyayı parçaladı ve şunu keşfetti: Rust’ta yazılmışve C2 için websocket’ler üzerinden JSON’u kullanır. Yetenekler açısından bakıldığında, aşağıdaki komutları içeren bir tür İsviçre Çakısı gibidir:
Rastgele kabuk komutlarının yürütülmesi;
Chrome, Firefox, Opera ve Edge’den çerez çalmak;
Dosyaları yükleme ve indirme;
İçeriğini listeleyerek dosya sistemini incelemek;
Ve belgeleri numaralandırıp bir arşive sızdırmak.
Google, Spica’yı Eylül ayında vahşi doğada keşfetti ancak araştırmacılar, arka kapının muhtemelen Kasım 2022’ye kadar dolaştığını söyledi.
Analize göre “Spica arka kapısının, her biri hedeflere gönderilen yem belgesiyle eşleşecek farklı bir gömülü tuzak belgesine sahip birden fazla versiyonunun olabileceğine inanıyoruz.”
Siber casusluk? ColdRiver İçinden Geçiyor
Spica evrimi, araştırmacıları şaşırtmak için taktiklerini sürekli değiştiren Kremlin’e bağlı grubun en son yeniden buluşu. Örneğin ağustos ayında tüm saldırı ve kimlik avı altyapısını değiştirdi 94 yeni alan adından oluşan bir ağ için.
Google TAG araştırmacıları Dark Reading’e şöyle açıklıyor: “Kampanyalarına özel kötü amaçlı yazılım entegre ederek TTP’lerini çeşitlendirmek, operasyonlarını yürütmek için daha geniş bir yetenek yelpazesine olanak sağlayabilir.” “Spica gibi özel yeteneklerin geliştirilmesine zaman ve kaynak yatırımı yaptılar ve hedeflerine ulaşma konusunda ısrarcı olmaya devam ediyorlar.”
Bu hedefler elbette Rusya devletinin çıkarlarıyla (örneğin, seçim hacklemeyle) uyumludur. Aralık ayında Microsoft tarafından işaretlenen saldırılarda amaç, örneğin hassas belgeleri çalarak ve sızdırarak Birleşik Krallık’ın demokratik süreçlerini etkilemekti.
ReliaQuest’in kıdemli siber tehdit istihbarat analisti Chris Morgan, “Birçok Batılı ülke birkaç yıldır Rusya’yı rakiplerine karşı casusluk yapmakla, dezenformasyon yaymakla ve demokratik süreçleri baltalamaya çalışmakla suçladı” diyor. “Bu tür gizli faaliyetler aynı zamanda Rusya’nın hassas bilgiler elde etmesine, stratejik çıkarı olan örgütler sistemlerinde kalıcılığını sürdürmesine ve Rus dış politikasına yön verecek istihbarat elde etmesine de olanak tanıyor. Bu faaliyetin seçimleri doğrudan belirlemesi pek mümkün olmasa da, kasıtlı siyasetin iğnesini ustaca hareket ettirebilir” Rusya’nın lehine.”
ABD bir şeye hazırlanırken kasım ayında başkanlık seçimiGoogle Cloud Mandiant Intelligence baş analisti John Hultquist, Star Blizzard’ın da bu karışıma dahil olmasını beklediğini söylüyor.
“Bu, özellikle seçim sezonu yaklaşırken yakından takip edilmesi gereken bir aktör” diye uyarıyor. “Çaldıkları belgeleri sızdırmaktan ve siyasete karışmaktan korkmuyorlar.”
ColdRiver’ın Rusya’nın siyasi siber faaliyeti ile sıkı bir bağlantı noktasında yer aldığını ekliyor: Kendisi de çok sayıda yüksek profilli siber olaydan sorumlu olan FSB’nin 18. Merkezi ile bağlantılı.
“Merkez 18 daha önce halka açık bir şekilde bağlantılıydı Yahoo!’ya izinsiz girişler Bu olay, bir siber suçlunun yanı sıra hesapları hedeflemek için tutulan genç bir Kanada vatandaşının izinsiz girişlerini içeriyordu” diye açıklıyor. “Merkez aynı zamanda Gamaredon siber casusluk faaliyetiKırım’ın işgali sırasında Rusya’ya sığınan eski Ukraynalı SBU subayları tarafından yürütüldüğü bildiriliyor. Başka bir FSB Merkezi olan Merkez 16, bu kötü şöhretli kuruluşla bağlantılıdır. Turla siber casusluk faaliyetiolarak bilinen küresel kritik altyapıya bir dizi izinsiz girişin yanı sıra Enerjik Ayı“
Jeopolitik satranç maçında farkında olmadan bir piyon olmayı önlemek için araştırmacılar, olası hedeflerin alan adı kimliğine bürünmeye karşı önlemler alması gerektiğini belirtiyor; DMARC, SPF ve DKIM gibi sağlam e-posta güvenlik protokollerini yükleyin; Chrome için Gelişmiş Güvenli Taramayı etkinleştirin; tüm cihazların güncellendiğinden emin olun; ve yaklaşan bir meslektaş veya alan uzmanı olduğunu iddia eden, önceden bilinmeyen herhangi bir varlığı dikkatle inceleyin.
