Tomiris’in Kamu Servis İmplantları: Hedefe Yönelik Yeni Bir Yaklaşım
Son dönemde siber güvenlik alanında dikkat çeken tehdit aktörlerinden biri olan Tomiris, saldırı taktiklerinde önemli bir değişim yaşamaktadır. Özellikle Telegram ve Discord gibi kamu hizmetlerini komuta kontrol (C2) sunucusu olarak kullanarak, siber saldırılarını daha gizli hale getiriyor.
Taktiklerdeki Değişim ve Hedefler
Kaspersky araştırmacıları, Tomiris’in son saldırı kampanyalarının %50’den fazlasının Rusça isimler ve içerik barındırdığını belirtmekte. Bu, Rusça konuşan kullanıcıların hedef alındığını gösteriyor. Ayrıca, Türkmenistan, Kırgızistan, Tacikistan ve Özbekistan gibi ülkelerde özel içeriklerle hazırlanmış oltalama e-postaları da gönderilmektedir. Bu strateji, hedeflenen siyasi ve diplomatik altyapıları zayıflatma amacı taşımaktadır.
İleri Seviye Zararlı Yazılım Kullanımı
Tomiris’in saldırıları, özel implantlar, ters kabuklar ve Havoc ile AdaptixC2 gibi açık kaynaklı C2 çerçeveleri gibi karmaşık araçlar kullanarak gerçekleştirilmektedir. Bu durum, post-exploitation aşamasında daha etkili olmalarını sağlamakta ve tehditlerin daha uzun süre gizli kalmasına olanak tanımaktadır.
2021 yılında Kaspersky, Tomiris adlı bir arka kapının varlığını ifşa ettiğinde, bu kötü yazılımın SolarWinds saldırısının arkasındaki Rus APT29 hacker’larıyla bağlantılı olduğunu ortaya koymuştu. Bu durum, Tomiris’in hedeflerinin özellikle Orta Asya’da istihbarat toplama faaliyetleri yürütmek olduğunu gösteriyor.
Zararlı Yazılım Ailesi ve Modüler Yaklaşım
Tomiris, zaman içinde farklı programlama dillerinde yazılmış birçok zararlı yazılım modülü geliştirmiştir. Örneğin:
- C# tabanlı bir ters kabuk, Telegram üzerinden komut almakta.
- Rust tabanlı bir malware olan JLORAT, komut çalıştırma ve ekran görüntüsü alma yeteneğine sahip.
- Python tabanlı arka kapılar, Discord ve Telegram üzerinden komut alarak çalışmakta ve dosya toplanmasına olanak tanımaktadır.
Kaspersky, Tomiris’in en son kampanyasının, çok dilli zararlı yazılım modüllerini kullanarak operasyonel esnekliği artırmayı hedeflediğini belirtmektedir. Bu durum, tehdit aktörünün gizliliğe ve uzun vadeli kalıcılığa odaklandığını göstermektedir.
Sonuç ve Gelecek Öngörüleri
Tomiris’in kamu hizmetlerini kullanarak geliştirdiği taktikler, siber güvenliğin daha karmaşık bir hale gelmesine ve sıkılaştırılmasına neden olmaktadır. Hükümet ve uluslararası organizasyonları hedef alan bu tehditler, ciddiye alınması gereken bir durum haline gelmiştir. Bu nedenle, siber güvenlik uzmanlarının bu tür gelişmeleri yakından takip etmeleri kritik öneme sahiptir.
Gelecekte daha fazla devlet ve uluslararası kuruluşa yönelik benzer saldırıların artması muhtemeldir. Bu nedenle, güvenlik önlemlerinin sürekli güncellenmesi ve tehditlere karşı proaktif bir yaklaşım benimsenmesi gerekmektedir.
