Turla grubu devlet kurumlarına karşı siber casusluk hareketlerine devam ediyor

Kaspersky araştırmacıları, Rusça konuşan kişilerden oluşan Turla tehdit grubunun yeni araçlarla harekete geçtiğini tespit etti. Kaspersky Lab Turla Topinambour JavaScript KopiLuwak

Daha önce kullandıkları ünlü JavaScript KopiLuwak zararlı yazılımını, hedef bilgisayara kötü niyetli programlar kuran Topinambour (yer elması) adlı yeni bir şekilde sunan grup, farklı dillerde iki benzer sürüm çıkardı. Zararlı yazılım, internet sansürüne karşı kullanılan programların kurulum dosyaları üzerinden bulaşıyor. Araştırmacılar, bu yöntemlerin tespiti zorlaştırmak ve belirli kişileri hedef alabilmek için kullanıldığına inanıyor. Topinambour, 2019’un başında devlet kurumlarına yönelik saldırılarda tespit edildi.

Rusça konuşan kişilerden oluşan yüksek profilli tehdit grubu Turla, devlet kurumları ve diplomatik kuruluşları hedef alan siber casusluk faaliyetleriyle biliniyor. Yenilikçi yöntemleriyle tanınan grubun KopiLuwak adlı ünlü zararlı yazılımı ilk olarak 2016 sonlarında gözlemlenmişti. 2019’da Kaspersky araştırmacıları bu tehdit grubunun yeni araçlar ve teknikler kullanarak tespit edilme ihtimalini daha da azalttığını belirledi.

Turla tarafından kullanılan Topinambour (adını yer elması sebzesinden alıyor), JavaScript KopiLuwak zararlı yazılımını dağıtmaya yarayan bir .NET dosyası. Bu dosya, internet sensörünü aşmada kullanılan VPN gibi yasal programların kurulum paketlerine bulaşarak kurbanlara ulaşıyor.

Siber casusluk amacıyla tasarlanan KopiLuwak, Turla’nın yeni bulaştırma yöntemleri sayesinde tespit edilmekten kurtulabiliyor.Örneğin, zararlı yazılımın komut ve kontrol altyapısında sıradan LAN adreslerini taklit eden IP’ler bulunuyor. Bunun yanı sıra zararlı yazılım neredeyse tamamen “dosyasız” bir yapıda. Bulaşma sürecinin son aşamasında uzaktan yönetim için kullanılan şifreli bir Truva atı, bilgisayarın kayıt defterine zararlı yazılım hazır olduğunda erişebilmesi için ekleniyor.

KopiLuwak’ın iki sürümü .NET RocketMan Trojan ve PowerShell MiamiBeach Trojan da siber casusluk için tasarlandı.Araştırmacılar bu sürümlerin, KopiLuwak’ı tespit edebilen güvenlik yazılımlarına sahip hedeflere yönelik hazırlandığına inanıyorlar. Bu üç sürüm de kurulduktan sonra şunları yapabiliyor:

• Ne tür bir bilgisayara erişebildiğini anlamak için hedefi ayrıntılı şekilde inceleme
• Sistem ve ağ adaptörleri hakkında bilgi toplama
• Dosya çalma
• Başka zararlı yazılımlar indirip çalıştırma
• MiamiBeach sürümü ayrıca ekran görüntüsü de alabiliyor

Kaspersky Baş Güvenlik Araştırmacısı Kurt Baumgartner, “Turla 2019’da yenilenmiş bir araç setiyle karşımıza çıktı. Yeni özellikler muhtemelen güvenlik çözümleri ve araştırmacılardan kaçınmak için eklendi. Bu özellikler ve yöntemler arasında zararlı yazılımın dijital izini küçültmek ve iyi bilinen KopiLuwak zararlı yazılımının birbirine benzer fakat ayrı iki sürümünü çıkarmak yer alıyor. İnternet sensörünü aşabilen VPN yazılımlarının kurulum paketlerinin kullanılması, saldırganların bu araçları birer siber casusluk aracı olarak kabul ettiğini gösteriyor. Bu gelişmeler, APT’lerin kullandığı en yeni araçlar ve tekniklere karşı koruma sağlayan güvenlik yazılımları ve tehdit istihbaratına duyulan ihtiyacı hatırlatıyor. Örneğin, uç nokta koruması ve kurulum yazılımını indirdikten sonra dosya kodlarını kontrol etme gibi yöntemler Topinambour gibi tehditlere karşı koruma sağlıyor” dedi.

Kaspersky Lab Turla Topinambour JavaScript KopiLuwak