RoundPress: Küresel Siber Casusluk Operasyonu
Son yıllarda, siber dünyada yaşanan gelişmeler, güvenlik araştırmacıları ve hükümet yetkilileri tarafından dikkate alınması gereken birçok tehlikeyi gündeme getirdi. 2023 yılında başlayan ve 2024’te yeni açılımlar kazanan RoundPress adlı siber casusluk kampanyası, özellikle hükümet organizasyonları üzerinde yoğunlaşarak dikkat çekmeyi başardı. ESET araştırmacıları, kampanyanın arka planında, Rusya destekli APT28 (diğer adıyla "Fancy Bear") grubunu işaret ediyor.
Hedefler ve Etki Alanı
RoundPress, sadece birkaç belirli ülke ile sınırlı kalmayıp, Yunanistan, Ukrayna, Sırbistan, Kamerun gibi ülkelerin hükümetlerini de hedef alıyor. Bunun yanı sıra, Ukrayna ve Ekvador‘daki askeri birimler, savunma şirketleri ve kritik altyapılar da kampanya kapsamına alınmış durumda. Bu kampanya, siber güvenlik alanında önemli bir tehdit oluşturuyor ve tüm dünyada dikkatle incelenmesi gerekiyor.
Siber Saldırı Aşaması
RoundPress saldırıları, iyi hazırlanmış bir sosyal mühendislik saldırısı ile başlıyor. Hedef kişilere gönderilen spear-phishing e-postalarında genellikle güncel haberler veya siyasi olaylarla ilgili içerikler yer alıyor. E-postalarda kullanılan kötü amaçlı JavaScript payload ise, alıcıların webmail tarayıcısında geçerli olan cross-site scripting (XSS) zafiyetlerini kullanarak saldırıyı gerçekleştiriyor.
Bu işlemin tamamlanması için kurbanın sadece e-postayı açması yeterli. Yani, başka bir işlem yapmadan sadece e-postayı görüntülemesi, saldırının gerçekleşmesine imkan tanıyor. Bu özellik, saldırıyı daha da tehlikeli hale getiriyor, çünkü kurbanların dikkatini çekmiyor.
Kötü Amaçlı Yazılımın Özellikleri
RoundPress’in kötü amaçlı yazılımı, e-posta açıldığında otomatik olarak çalışıyor. Kötü amaçlı JavaScript, tarayıcıda görünmeyen giriş alanları oluşturuyor ve böylece kurbanın e-posta hesaplarındaki kayıtlı kimlik bilgilerini otomatik olarak dolduran tarayıcılar veya şifre yöneticileri tarafından sorgulanıyor. Ayrıca, bu script, DOM’u okuyabiliyor veya HTTP istekleri göndererek e-posta içeriğini, kişileri, webmail ayarlarını ve oturum geçmişini topluyor. Bu bilgiler, sabit komut ve kontrol (C2) adreslerine gönderiliyor.
Açıklar ve Hedeflenen Ürünler
RoundPress operasyonu, yaygın olarak kullanılan çeşitli webmail ürünlerindeki XSS açıklarını hedef alarak kötü amaçlı JavaScript scriptlerini yerleştiriyor. ESET, bu kampanya ile bağlantılı birkaç önemli açığı belirledi:
Roundcube – CVE-2020-35730: 2023 yılında kullanılarak e-posta gövdesine doğrudan JavaScript yerleştiren bu hata, kurbanın tarayıcı oturumunda çalışarak kimlik bilgilerini çalabiliyor.
Roundcube – CVE-2023-43770: 2024’ün başlarında, hyperlink metinlerini kötüye kullanarak saldırganların JavaScript’i yerleştirmesine olanak tanıyan bir XSS açığı.
MDaemon – CVE-2024-11182: 2024’ün sonlarına doğru, MDaemon E-Posta Sunucusu’ndaki HTML ayrıştırıcısında sıfırıncı gün açıklarından yararlanıldığı bildiriliyor.
Horde – Bilinmeyen XSS: APT28, Horde’daki eski bir XSS açığını hedef almaya çalıştı ancak modern sürümlerdeki filtreleme nedeniyle bu girişim başarısız oldu.
- Zimbra – CVE-2024-27443: Zimbra’nın takvim davetleri ile ilgili XSS açığı, bu zamana kadar aktif olarak istismar edilmemiş olmasına rağmen yine de bir tehdit oluşturuyor.
Sonuç Olarak Güvenlik Önlemleri
Siber güvenlik alanında yaşanan bu tehlikeler, kuruluşların güvenlik tedbirlerini tekrar gözden geçirmesini zorunlu kılıyor. RoundPress benzeri kampanyaların artışı, güvenlik uzmanlarının ve kurumların dikkatli olmasını gerektiriyor. Kullanılan yazılımlardaki açıkların sürekli takip edilmesi ve güncellenmesi, bu tür tehditlerin önüne geçmek için kritik önem taşıyor.
Gelecekte de yeni XSS açıklarının ortaya çıkacağı göz önüne alındığında, bu tür saldırıların devam etmesi muhtemel. Dolayısıyla, güçlü bir siber güvenlik altyapısı kurmak, iç eğitimi artırmak ve bilinçlendirme faaliyetlerine yönelmek, kaçınılmaz bir gereklilik haline geliyor.
