Rus hükümetiyle bağlantılı oldukları düşünülen bir hacker grubunun, Ukrayna’daki iPhone kullanıcılarını hedef aldığı ve kişisel verilerini çalmaya yönelik yeni bir dizi hacking aracı geliştirdiği bildirildi. Siber güvenlik araştırmacıları, bu araçların aynı zamanda kripto para çalmayı da amaçlayabileceğini ifade etti.
Google ve güvenlik firmaları iVerify ile Lookout, yalnızca UNC6353 olarak tanımlanan bir grup tarafından gerçekleştirilen yeni siber saldırıları analiz etti. Araştırmacılar, bu kampanyanın daha önce bu ay ortaya çıkanlarla bağlantılı olduğunu belirtti. En son kampanya, şirketlerin Darksword olarak adlandırdığı bir hacking araç setini kullandı.
Darksword’un keşfi, daha önce benzer bir hacking aracının bulunduğu göz önünde bulundurulduğunda, iPhone’lar için gelişmiş ve gizli casus yazılımlarının artık düşündüğümüz kadar nadir olmayabileceğini gösteriyor. Ancak, Darksword yalnızca Ukrayna’daki kullanıcıları hedef almasıyla dikkat çekiyor ve bu durum büyük ölçekli bir saldırı yerine belirli bir sınırlama olduğunu düşündürüyor.
Mart ayının başlarında, Google, Coruna adında başka bir gelişmiş iPhone hack aracı hakkında detaylar paylaştı. Bu aracın, önce batılı bir hükümet müşterisi için kullanıldığı, ardından Rus casuslar tarafından Ukraynalıları hedef almak için kullanıldığı ve en sonunda da kripto para çalmaya çalışan Çinli siber suçlular tarafından kullanıldığı açıklandı. TechCrunch’ın ardından ortaya koyduğu verilere göre, bu hacking aracı, ABD savunma müteahhidi L3Harris tarafından geliştirilmişti.
Coruna, özellikle Five Eyes istihbarat ittifakına mensup batılı hükümetler tarafından kullanılmak üzere tasarlanmıştı. Ancak şimdi araştırmacılar, farklı zayıflıkları istismar eden daha yeni hacking araçlarını kullanan bir kampanya tespit etti.
Darksword aracı, kullanıcıların şifreleri, fotoğrafları, WhatsApp, Telegram ve metin mesajları gibi kişisel bilgileri çalacak şekilde tasarlanmıştı. İlginç olan, Darksword’un sürekli gözetleme amaçlı değil, mağdurları hedef alarak bilgileri çalıp hızlıca kaybolacak şekilde hazırlandığıdır.
İletişime Geçin
Darksword, Coruna veya diğer hükümet hacking ve casus yazılım araçları hakkında daha fazla bilginiz var mı? Çalışan bir cihazdan uzak, Signal üzerinden Lorenzo Franceschi-Bicchierai ile güvenli bir şekilde +1 917 257 1382 numarasından, veya Telegram, Keybase ve Wire @lorenzofb üzerinden ya da e-posta ile iletişime geçebilirsiniz.
Lookout araştırmacıları, Darksword’un “cihaz üzerindeki kalış süresinin, keşfettiği ve çıkardığı veri miktarına bağlı olarak dakikalar içinde olacağını” yazdı.
iVerify’in kurucu ortağı Rocky Cole’a göre, hackerların mağdurların yaşam tarzları hakkında bilgi edinmekle ilgilendiği en muhtemel açıklama. Bu durum, sürekli gözetim gerektirmeyen hızlı bir operasyon anlamına geliyor.
Darksword ayrıca popüler cüzdan uygulamalarından kripto para çalmayı hedefliyordu, bu da şüpheli bir hükümet hacking grubunun alışılmışın dışında bir davranışıdır.
Lookout, “Bu durum, bu tehdit aktörünün mali motivasyonlu olabileceğini ya da bu (muhtemelen) Rus devletine bağlı faaliyetin, mobil cihazları hedef alan mali hırsızlıklarla genişlediğini gösterebilir” şeklinde bir yorumda bulundu.
Ancak Cole, TechCrunch’a verdiği bilgide, Rus hacking grubunun aslında kripto çalmaya ilgi duymadığını, sadece kötü yazılımın bu amaçla kullanılabileceğini ifade etti.
Kötü yazılım, modüler olacak şekilde profesyonel bir biçimde geliştirilmiş ve yeni işlevlerin eklenmesini kolaylaştıracak şekilde tasarlanmış. Lookout’a göre bu durum, o yazılımın profesyonel bir şekilde hazırlandığını gösteriyor. Cole, Darksword’u Rus hükümetine satan kişinin aynı zamanda Coruna’yı da satmış olabileceğini belirtti.
Darksword’un arkasında kimlerin olduğu sorusuna yanıt veren Cole, “tüm işaretler Rus hükümetini gösteriyor” derken, Lookout, Darksword’u Ukraynalılara karşı kullanan grubun, yine şüpheli bir Rus hükümeti grubu olduğunu söyledi.
Lookout’ın baş güvenlik araştırmacısı Justin Albrecht, “UNC6353, mali kazanç ve istihbarat toplamaya yönelik saldırılar gerçekleştiren iyi finanse edilmiş ve bağlantılı bir tehdit aktörü” ifadelerini kullandı. “UNC6363’ün, mali hırsızlık ile istihbarat toplama gibi çift hedefleri bulunan potansiyel bir Rus suç örgütü olabileceği konusunda bir argüman yapılabileceğini düşünüyoruz” dedi.
Zarar görenlere gelince, Cole, kötü yazılımın belirli Ukrayna web sitelerini ziyaret eden herkesin enfekte olmasını sağlamak için tasarlandığını, yani özellikle hedef alınan bir kampanya olmadığını belirtti.
