Şifrelenmiş bir PDF dosyası alırsanız ve karşınızdaki kişi şifre çözme yazılımı indirmenizi önerirse, örneğin “Proton-decrypter.exe” başlıklı, dikkatli olun! Bu, göre Google Tehdit Analiz Grubu (TAG)Coldriver’ın Rus bilgisayar casuslarının kötü tariflerinden biri.
Buna göre Birleşik Krallık ve AMERİKA BİRLEŞİK DEVLETLERİCallisto Group veya Star Blizzard isimleriyle de bilinen bu hackerların aslında Rus istihbarat servislerinden biri olan FSB ile bağlantılı olduğu düşünülüyor. Geçtiğimiz Aralık ayında Londra, Rusya’nın politikacıları, memurları, gazetecileri ve STK’ları hedef alan müdahale girişimlerini kınamıştı.
Kimlik avı uzmanları
Buna göre MicrosoftBurada Seaborgium adı altında tanımlanan bu korsanlar, kimlik avı konusunda uzmandır. Kimlik çalarak hedeflerinin güvenini kazanmaya çalışırlar. Saldırganlar, kurbanları bir PDF dosyasını açmaları veya bir bağlantıya tıklamaları için kandırdıktan sonra oturum açma bilgilerini çalabiliyor.
Google güvenlik uzmanları da son yayınlarında, bu Rus hacker grubunun sivil toplum içindeki hedeflere ve NATO ülkelerinin eski istihbarat, savunma veya hükümet yetkililerine karşı aktif bir kampanya yürüttüğüne inanıyor. Coldriver’ın kötü niyetli faaliyetlerini neredeyse iki yıl önce zaten açığa çıkarmışlardı.
Spica arka kapısı
Böylece Google, kötü amaçlı bir programı indirmeyi amaçlayan şifreli bir PDF dosyası gönderme yöntemini tespit etti. Şifrelendiği iddia edilen PDF belgesinin, e-postayı gönderenin yayınlamak istediği ve hedefinden yorum isteyen bir başyazı veya makale olduğu iddia edildi. Şifre çözme yardımcı programının indirilmesi kurban için bir arka kapı açtı.
Rust’ta yazılmış bir program olan Spica adı verilen bu program, çerezleri çalmanıza, verileri çalmanıza veya komutları çalıştırmanıza olanak tanır. Google uzmanları, bu arka kapının en az Kasım 2022’den beri kullanımda olduğunu tahmin ediyor. Birkaç yıl önce, Coldriver’ı, İtalyan şirketi Hacking Team’in Temmuz 2015’te saldırıya uğramasının ardından sızdırılan bir programı kullanarak yakalamışlardı.
