GRAPELOADER Nedir? Bu zararlı yazılımın hedefleri kimlerdir? Nasıl çalışır? Hangi ülkelerde etkili olmuştur?
GRAPELOADER Nedir?
GRAPELOADER, APT29 isimli Rusya devlet destekli bir siber tehdit aktörü tarafından geliştirilmiş yeni bir zararlı yazılımdır. Özellikle diplomatik kuruluşları hedef alan gelişmiş bir phishing kampanyasında kullanılmak üzere tasarlanmıştır. GRAPELOADER, ilk aşamada kullanılan bir araç olarak görev yaparken, daha önceki bir versiyonu olan WINELOADER ile benzer yazım yapıları ve şifre çözme teknikleri paylaşmaktadır. Ancak GRAPELOADER, WINELOADER’ın anti-analiz tekniklerini daha da geliştirerek daha sofistike gizlilik yöntemleri sunmaktadır.
Bu zararlı yazılımın hedefleri kimlerdir?
GRAPELOADER, özellikle Avrupa’daki diplomatları hedef alarak tasarlanmıştır. Bu kampanya, Avrupa Dışişleri Bakanlıkları ve diğer ülkelerin Avrupa’daki büyükelçilikleri gibi çeşitli diplomatik kuruluşları kapsamaktadır. Çeşitli Avrupa ülkelerinin yanı sıra Orta Doğu’daki diplomatların da hedef alındığına dair belirtiler bulunmaktadır. Dolayısıyla, GRAPELOADER, uluslararası diplomatik ilişkileri tehdit ederken, özellikle güvenlik açıklarını kullanan bir araç olarak öne çıkmaktadır.
Nasıl çalışır?
GRAPELOADER, e-posta davetleri aracılığıyla yayılmaktadır. Söz konusu davetler, bir Avrupa Dışişleri Bakanlığı’na ait bir adresten gönderiliyormuş gibi görünmektedir. Bu davetler, alıcıları şarap tadımı etkinliklerine davet ederek bir bağlantıya tıklamaya teşvik etmektedir. Tıklanması durumunda, bir ZIP dosyası ("wine.zip") ile birlikte GRAPELOADER dağıtılmaktadır. Bu ZIP dosyası, kötü niyetli bir DLL dosyası ve bir PowerPoint çalıştırılabilir dosyası içermektedir. PowerPoint dosyası, DLL yan yükleme kullanılarak kötü niyetli yükün başlatılmasını sağlar.
ZIP arşivi içerisinde:
- Bir DLL dosyası (AppvIsvSubsystems64.dll)
- Gerçek bir PowerPoint dosyası (wine.exe) ve
- Yine kötü amaçlı bir DLL dosyası (ppcore.dll) bulunmaktadır.
İlk çalışma, bu DLL’nin yan yüklenmesiyle birlikte gerçekleşmekte ve GRAPELOADER devreye girmektedir. GRAPELOADER, sistemin kaynaklarına kalıcı erişim sağlamak için Windows Kayıt Defteri’ni değiştirerek "wine.exe" çalıştırılabilir dosyasını her sistem yeniden başlatıldığında çalıştırılacak şekilde ayarlamaktadır.
Hangi ülkelerde etkili olmuştur?
GRAPELOADER’ın hedef aldığı ülkeler arasında birçok Avrupa devleti bulunmaktadır. Özellikle Avrupa Dışişleri Bakanlıkları ile ilgili diplomatlar üzerinde yoğunlaşmış olduğu gözlemlenmiştir. Söz konusu saldırılar, özellikle Almanya, Fransa, İtalya gibi ülkeler üzerindeki diplomatları etkilemiştir. Bununla birlikte, Orta Doğu’daki diplomatların da bu kampanyadan etkilenmiş olabileceği düşünülmektedir. Böylece, GRAPELOADER’ın etkisi, uluslararası diplomatik iletişimi tehdit eden bir risk haline gelmiştir.
GRAPELOADER’ın çalışma mekanizması, oldukça sofistike yöntemler içermekte ve genellikle phishing saldırıları ile başlamaktadır. Phishing kampanyaları, hedeflere yapay ve sahte e-posta gönderimleri yoluyla gerçekleştirilirken, bu süreçte hedefin dikkatini dağıtacak unsurlar kullanılmaktadır. Örneğin, şarap tadımı etkinlikleri gibi ilgi çekici teklifler kullanılarak hedeflerin bu e-postalara güvenmesi sağlanmaktadır.
Ayrıca e-posta yoluyla gönderilen zararlı yazılım, yalnızca belirli dosyaları hedef alarak etkili olmaktadır; bu durum, belirli bir ülkedeki diplomatları hedef alarak siber istihbarat amaçlarına hizmet etmektedir. Ülkeler arası diplomatik gizlilik ve güvenlik açısından ciddi tehditler oluşturan bu saldırılar, hackerların devlet destekli siber savaş yöntemlerinin bir parçasıdır.
Sonuç olarak, GRAPELOADER, siber güvenlik açısından dikkate alınması gereken bir tehdit unsurudur. APT29’un bu aracını kullanması, devlet destekli siber saldırıların ne denli sofistike hale geldiğini ve uluslararası ilişkiler üzerindeki etkilerini göstermektedir. Bu tür zararlı yazılımlar, hem bireysel kullanıcıları hem de devlet kuruluşlarını etkileyebilecek kapasitede olduğundan, siber güvenlik önlemleri almak artık bir zorunluluk haline gelmiştir.
