Giriş
Rus hacker grubu Secret Blizzard, Kazuar arka kapısını uzun süredir kullandığı bir yapıya dönüştürerek modüler bir peer-to-peer (P2P) botnet geliştirmiştir. Bu durum, sürekli kalıcılık sağlama, gizlilik ve veri toplama becerileri ile birlikte siber güvenlik için ciddi bir tehdit oluşturmaktadır.
Saldırı Nasıl Çalışıyor?
Kazuar yazılımı, 2017’den bu yana belgelenmiş olup, kod kökeninin 2005 yılına kadar uzandığı tespit edilmiştir. Microsoft araştırmaları, Kazuar’ın üç ana modül kullanarak çalıştığını göstermektedir: Kernel, Bridge, ve Worker.
- Kernel Modülü: Görev yönetimi, diğer modülleri kontrol etme, lider seçme ve botnet içinde veri akışını yönlendirmeden sorumludur.
- Bridge Modülü: Seçilen liderle komut ve kontrol (C2) sunucusu arasındaki trafiği yönlendiren bir iletişim proxy’sidir.
- Worker Modülü: Gerçek casusluk faaliyetlerini gerçekleştiren modüldür. Kazuar aşağıdaki işlevleri yerine getirir:
- Tuş kaydetme (keylogging)
- Ekran görüntüsü alma
- Dosya sisteminden veri toplama
- Sistem ve ağ keşfi yapma
- Email/MAPI verisi toplama (Outlook indirmeleri dahil)
- Açık pencereleri izleme
- Son dosyaları çalma
Etkilenen Sistemler
Kazuar, genellikle hükümet ve diplomatik kuruluşlar, savunma ile ilgili varlıklar ve Avrupa, Asya ve Ukrayna’daki kritik sistemleri hedef alarak faaliyet gösterir. Bu tür bir yazılımın siber güvenlik açıklarını kullanarak önemli bilgilere ulaşması, özellikle siyasi açıdan hassas belgelerin çalınması açısından tehlikeli bir durum oluşturmaktadır.
Çözüm ve Korunma
Microsoft, Kazuar’ın modüler ve son derece yapılandırılabilir doğasının tehditin özellikle kaçınma yeteneğini artırdığına dikkat çekmektedir. Şirket, işletmelerin savunmalarını statik imzalar yerine davranışsal tespit üzerine inşa etmelerini önermektedir. Önerilen bazı koruma yöntemleri şunlardır:
- Sistemlerinizi güncel tutun; yazılımlarınızı düzenli olarak kontrol edin ve güncelleyin.
- Güvenlik duvarınızı yapılandırarak gereksiz portları kapatın.
- Ağ trafiğinizi dikkatli bir şekilde izleyin ve anormal aktiviteleri raporlayın.
- Antivirüs ve güvenlik yazılımlarınızı en son sürümlerine güncelleyin ve varsayılan ayarları gözden geçirin.
Sonuç
Kazuar, uzun vadeli kalıcılık amacı güden bir tehdit olarak varlığını sürdürmektedir. Kullanıcılar ve sistem yöneticileri, yukarıda belirtilen önlemleri almak suretiyle kendilerini bu tür saldırılara karşı korumalıdırlar; güncellemeleri takip etmek ve gerekli durumlarda port kapatmak kritik öneme sahiptir.
