Yeni Tehdit Aktörü: Bitter ve Hedefleri
Son yıllarda siber güvenlik alanında dikkat çeken en önemli gelişmelerden biri, Bitter olarak bilinen siber tehdit aktörünün faaliyetleridir. Devlet destekli bir hacker grubu olarak tespit edilen Bitter, Hindistan hükümetinin çıkarları doğrultusunda bilgi toplama görevine sahiptir. Proofpoint ve Threatray tarafından gerçekleştirilen kapsamlı bir analizde, bu aktörün faaliyetleri detaylı bir şekilde incelenmiştir.
Bitter’ın Tarihçesi ve Hedefleri
Bitter, APT-C-08, APT-Q-37, Hazy Tiger ve çeşitli diğer isimlerle de bilinir. Grubun ana hedefleri arasında Güney Asya ülkeleri bulunmaktadır. Ancak, son zamanlarda Türkiye gibi yeni coğrafi alanlara yönelmiş, bu da genişleme çabasını göstermektedir. Araştırmalara göre, Bitter’ın saldırıları genellikle hükümetler, diplomatik kuruluşlar ve savunma organizasyonlarına yöneliktir. Bu tür hedeflerin seçilmesi, yabancı politika ve güncel olaylar hakkında bilgi toplama amacı taşımaktadır.
Bitter’ın Saldırı Yöntemleri
Bitter’ın saldırı yöntemleri çoğunlukla spear-phishing e-postaları etrafında şekillenmektedir. Bu e-postalar, 163[.]com, 126[.]com ve ProtonMail gibi platformlardan gönderilmektedir. Ayrıca, Pakistan, Bangladeş ve Madagascar hükümetlerine ait kompromit edilmiş hesaplar kullanarak, e-posta alıcılarını kötü amaçlı yazılım içeren dosyaları indirmeye teşvik etmektedir.
Grup, kampanyalarında bazen Çin, Madagaskar, Mauritius ve Güney Kore gibi ülkelerin hükümet ve diplomatik kuruluşları gibi davranarak, kurbanların dikkatini çekmektedir. Bu tür taktikler, kötü amaçlı yazılım içeren ekleri açmaları için hedef kitlenin ikna edilmesine yardımcı olmaktadır.
İnfiltrasyon Zincirleri ve Bileşenler
Bitter’ın infiltrasyon zincirleri oldukça kapsamlıdır. Kullanılan içerik ve "decoy" belgeler incelendiğinde, grubun diğer ülkelerin hükümetlerini taklit etmekte bir sakınca görmediği anlaşılmaktadır. Özellikle Türk ve Çin kuruluşlarını hedef aldığı belirtilmiştir. Bu durum, grubun Madagascar ve Mauritius’un yasal işleyişlerine dair bilgi sahibi olduğunu ve bunu spear-phishing operasyonlarında kullandığını düşündürmektedir.
Ayrıca, Bitter’ın, hedeflenen devlet organizasyonlarında daha fazla bilgi toplamak amacıyla "hands-on-keyboard" aktiviteleri gerçekleştirdiği gözlemlenmiştir. Bu saldırılar sırasında, KugelBlitz ve BDarkRAT gibi ek yüklerin bırakıldığı tespit edilmiştir.
Bitter’ın Kötü Amaçlı Yazılım Ailesi
Bitter’ın kullandığı bazı diğer bilinen araçlar ise şunlardır:
- ArtraDownloader: Sistem bilgilerini toplayan ve uzaktan dosya indirme veya çalıştırma yeteneğine sahip bir indirici.
- Keylogger: Farklı kampanyalarda kullanılan, tuş vuruşlarını kaydeden bir modül.
- WSCSPL Backdoor: Komutları destekleyen ve makine bilgisi alabilen bir arka kapı.
- MuuyDownloader (ZxxZ): Uzak sunucudan alınan yükleri çalıştırma yeteneğine sahip bir Trojan.
- Almond RAT: Temel veri toplama işlevselliği sunan bir .NET trojanı.
- ORPCBackdoor: Komut ve kontrol sunucusu ile iletişim kuran bir arka kapı.
Bu araçların kullanımı, Bitter’ın siber saldırılarını daha etkili hale getirmekte ve hedef kitlesine daha derinlemesine nüfuz etmesini sağlamaktadır.
Bitter’ın Faaliyetleri ve Zamanlaması
Bitter’ın aktiviteleri, genellikle Hindistan Standart Zamanı (IST) ile uyumlu bir çalışma saatine sahiptir. Bu durum, WHOIS alan adı kayıtları ve TLS sertifika talepleri zamanlamasıyla da örtüşmektedir. Grubun espiyonaj odaklı bir tehdit aktörü olduğu ve Hindistan’ın istihbarat kuruluşları adına faaliyet gösterme ihtimali oldukça yüksektir.
Sonuç olarak, küresel siber tehdit ortamında Bitter gibi grupların varlığı, ülkelerin siber güvenlik stratejilerinde daha fazla önlem almasına neden olmaktadır. Hem hükümetler hem de kuruluşlar açısından ciddi bir risk oluşturan bu tür saldırıların önlenmesi, siber uzmanlar için büyük bir zorluk teşkil etmektedir.
