LABSCON – Scottsdale, Ariz. – Orta Doğu’daki bir telekomünikasyon şirketine ve Orta Doğu ve Afrika’daki birden fazla İnternet servis sağlayıcısına ve üniversiteye bulaşan yeni bir tehdit aktörü, iki “son derece karmaşık” kötü amaçlı yazılım platformundan sorumludur. Bugün burada ortaya çıkan yeni araştırmaya göre, gizem içinde kalan grup.
İlk LabsCon güvenlik konferansında bulgularını paylaşan SentintelLabs araştırmacıları, kötü amaçlı kodda görünen “Ben metayım” ifadesine ve sunucu mesajlarının tipik olarak İspanyolca olmasına dayanarak grubu Metador olarak adlandırdı. Grubun Aralık 2020’den beri aktif olduğuna inanılıyor, ancak son birkaç yılda radarın altında başarılı bir şekilde uçtu. SentinelLabs’ın kıdemli direktörü Juan Andrés Guerrero-Saade, ekibin Metador hakkında diğer güvenlik firmaları ve hükümet ortaklarındaki araştırmacılarla bilgi paylaştığını, ancak kimsenin grup hakkında hiçbir şey bilmediğini söyledi.
Guerrero-Saade ve SentinelLabs araştırmacıları Amitai Ben Shushan Ehrlich ve Aleksandar Milenkoski bir yayınladı. Blog yazısı ve teknik detaylar iki kötü amaçlı yazılım platformu, metaMain ve Mafalda hakkında, enfekte olmuş daha fazla kurban bulma umuduyla. Guerrero-Saade, “Şimdi nerede olduklarını değil, nerede olduklarını biliyorduk” dedi.
MetaMain, fare ve klavye etkinliğini günlüğe kaydedebilen, ekran görüntüleri alabilen ve veri ve dosyaları sızdırabilen bir arka kapıdır. Saldırganlara sistem ve ağ bilgilerini ve diğer ek yetenekleri toplama yeteneği sağlayan oldukça modüler bir çerçeve olan Mafalda’yı kurmak için de kullanılabilir. Hem metaMain hem de Mafalda tamamen bellekte çalışır ve kendilerini sistemin sabit diskine kurmazlar.
siyasi çizgi roman
Kötü amaçlı yazılımın adının, Arjantin’de düzenli olarak siyasi konular hakkında yorum yapan popüler bir İspanyolca çizgi film olan Mafalda’dan ilham aldığına inanılıyor.
Metador, her kurban için benzersiz IP adresleri ayarlayarak bir komut ve kontrol açığa çıkarılsa bile altyapının geri kalanının çalışır durumda kalmasını sağlar. Bu da diğer kurbanları bulmayı son derece zorlaştırıyor. Araştırmacılar genellikle saldırı altyapısını ortaya çıkardığında, birden fazla kurbana ait bilgileri bulur ve bu da grubun faaliyetlerinin kapsamını belirlemeye yardımcı olur. Metador, hedef kampanyalarını ayrı tuttuğu için, araştırmacıların Metador’un operasyonları ve grubun ne tür kurbanları hedeflediği konusunda yalnızca sınırlı bir görüşü vardır.
Ancak grubun umrunda değil gibi görünen şey, diğer saldırı gruplarıyla karışmak. Araştırmacılar, Metador’un kurbanlarından biri olan Orta Doğu telekomünikasyon şirketinin en az 10 diğer ulus devlet saldırı grubu tarafından ele geçirildiğini buldu. Diğer grupların birçoğunun Çin ve İran ile bağlantılı olduğu ortaya çıktı.
Aynı sistemi hedefleyen birden fazla tehdit grubuna, çeşitli grupları ve kötü amaçlı yazılım platformlarını aynı anda çekip barındırdıkları için bazen “tehdit mıknatısı” olarak anılır. Birçok ulus-devlet aktörü, kendi saldırı faaliyetlerini gerçekleştirmeden önce, diğer grupların kullandığı kusurları yamamaya kadar gitse bile, diğer grupların enfeksiyon izlerini ortadan kaldırmak için zaman ayırır. SentinelLabs araştırmacıları, Metador’un diğer gruplar tarafından zaten güvenliği ihlal edilmiş (tekrar tekrar) bir sisteme kötü amaçlı yazılım bulaştırması, grubun diğer grupların ne yapacağını umursamadığını gösteriyor.
Aynı sistemde birden fazla grubun bulunması, mağdurun yanlış bir şey fark etme olasılığını artırdığından, telekomünikasyon şirketinin yüksek değerli bir hedef olması ve grubun tespit edilme riskini almaya istekli olması olasıdır.
Köpekbalığı saldırısı
Grup, kötü amaçlı yazılımın teknik karmaşıklığı, grubun tespit edilmekten kaçınmak için gelişmiş operasyonel güvenliği ve aktif geliştirme aşamasında olduğu gerçeğiyle kanıtlandığı gibi son derece iyi kaynaklara sahip gibi görünse de Guerrero-Saade bunun yeterli olmadığı konusunda uyardı. ulus-devlet müdahalesi olduğunu belirlemek için. Geurrero-Saade, grubun son derece profesyonel olduğuna dair işaretler olduğu için Metador’un bir ulus devlet adına çalışan bir müteahhitin ürünü olabileceğini söyledi. Ve üyelerin bu düzeyde bu tür saldırıları gerçekleştirme konusunda önceden deneyime sahip olabileceğini kaydetti.
Araştırmacılar, altında ne olduğu hakkında hiçbir fikirleri olmadığını belirterek, “Metador’un keşfini, suyun yüzeyini kıran bir köpekbalığı yüzgecine benzetiyoruz” diye yazdı. “Bu, güvenlik endüstrisinin, şu anda ağları cezasız bir şekilde dolaşan tehdit aktörlerinin gerçek üst kabuğunu tespit etmeye yönelik proaktif bir şekilde mühendislik yapma ihtiyacını doğrulayan bir önsezi nedenidir.”
