Casusluk grubunun hedefi diplomatlar

PAYLAŞ
Casusluk grubunun hedefi diplomatlar
  • 0
  • 0
  • 4 dakika da oku
  • +
  • -

Siber güvenlik işletmeyi ESET MoustachedBouncer ismi verilen yeni bir siber ajanlık grubu keşfetti. Ajanlık grubu ismini Belarus ’taki varlığından alıyor ve idarenin çıkarları istikametinde hareket ediyor. Grup Belarus ’taki yabancı büyükelçilikleri hedef alıyor.

2014 ’deri beri etkin olduğu belirtilen grup, Belarus ’taki Avrupalılar dahil olmak üzere sadece yabancı büyük elçilikleri hedefliyor. 2020 ’den beri MoustachedBouncer, hedeflerine saldırmak için Belarus ’ta ISP seviyesinde ortadaki düşman AitM saldırılarına reelleştirebiliyor. Grup, ESET ’in NightClub ve Disco olarak adlandırdığı iki ayrı vasıta seti kullanıyor. 

ESET telemetrisine göre, grup Belarus ’taki yabancı büyükelçilikleri hedef alıyor. İkisi Avrupa, biri Güney Asya ve biri Afrika ’da olmak üzere elçilik personelinin hedef alındığı dört ülke tanımlandı. ESET, MoustachedBouncer ’ın ve büyük ihtimalle Belarus ’un çıkarlarının ortak olduğunu, özellikle Belarus ’taki yabancı büyükelçiliklere karşı ajanlık mevzusunda uzmanlaştığını belirtiyor. MoustachedBouncer, Disco implantı için ISP seviyesinde ağ müdahalesi, NightClub implantı için e-postalar ve NightClub eklentilerinden birinde DNS dahil olmak üzere Komuta ve Hakimiyet C&C bağlantıları için gelişmiş teknikler kullanıyor.

Seçilmiş hedeflere müteveccih kullanılıyor

ESET Research, MoustachedBouncer ’ı ayrı bir grup olarak takip ederken; grubun 2023 senesinde Polonya ve Ukrayna dahil olmak üzere bir hayli Avrupa ülkesinin hükumet personelini hedef alan başka bir etkin ajanlık grubu olan Winter Vivern ile işbirliği yaptığına dair -ESET tarafından cılız olarak değerlendirilen- unsurlar bulundu. MoustachedBouncer cerrahları, hedeflerini riske atmak için kurbanlarının internet ulaşımına muhtemelen ISP seviyesinde müdahale ederek Windows ’u bir esir portalın artta olduğuna inandırıyor. Yeni tehdit grubunu keşfeden ESET analisti Matthieu Faou, “MoustachedBouncer tarafından hedeflenen IP aralıkları için, ağ trafiği görünüşte hukuki ancak sahte bir Windows Update sayfasına yönlendiriliyor,” dedi. “Bu ortadaki düşman tekniği, tüm ülke genelinde değil ama belki de yalnızca büyükelçilikler gibi seçilmiş bazı kuruluşlara karşı kullanılıyor. Ortadaki düşman senaryosu, bize ISP seviyesinde yazılım indirenlere, indirme sırasında truva atı yollayan tehdit grubu olan Turla ve StrongPity ’yi andırdırıyor.”

Ses kaydı, ekran görüntüsü alabiliyor, ekran tuşlarını kaydolabiliyor

ESET Analisti, “Elçilik ağlarına ortadaki düşman AitM hücumları hakikatleştirmek için yönlendiricilerin ele geçirilmesi olasılığı göz arkasını edilemezken, Belarus ’ta legal dinleme unsurlarının varlığı, trafiğin hedeflerin yönlendiricileri yerine ISP seviyesinde reelleştiğini gösteriyor,” biçiminde vaziyeti açıkladı. 

2014 ’deri bu yana MoustachedBouncer tarafından kullanılan makûs emelli yazılım ailesi büyüdü ve 2020 ’de grubun ortadaki düşman hücumlarını kullanmaya başlamasıyla büyük bir farklılık oldu. MoustachedBouncer, iki implant ailesini paralel olarak çalıştırıyor ancak belirli bir aygıtta aynı anda sadece bir tanesi yerleştiriliyor. ESET, Disco ’nun AitM hücumlarıyla irtibatlı olarak kullanıldığına inanırken NightClub, internet trafiğinin Belarus ’un dışına yönlendirildiği uçtan uca parolalı bir VPN kullanımı gibi bir eksiltme sebebiyle ISP seviyesinde trafik müdahalesinin muhtemel olmadığı kurbanlar için kullanılır.

Faou, “Buradan alınması gereken ileti, İnternetin emin olmadığı yabancı ülkelerdeki kuruluşların, rastgele bir ağ analiz makinesini atlatmak için tüm İnternet trafiklerinde emin bir konuma yönlendiren uçtan uca parolalı bir VPN tüneli kullanmaları gerektiğidir. Aynı zamanda yüksek nitelikli, aktüel bilgisayar güvenliği yazılımı kullanmaları da gerekir.” dedi.

NightClub implantı, bilgileri sızdırmak için Çek web posta hizmeti Seznam.cz ve Rus Mail.ru web posta sağlayıcısı gibi fiyatsız e-posta hizmetlerini kullanıyor. ESET, saldırganların legal e-posta hesaplarını riske atmak yerine kendi e-posta hesaplarını oluşturduklarına inanıyor.  Tehdit grubu, dosyaları çalmaya ve harici olanlar da dahil sürücüleri izlemeye odaklanıyor. NightClub implantının yapabildikleri arasında ses kaydı, ekran görüntüsü alma ve klavye tuş vuruşlarını kaydolmak yer alıyor.

Kaynak: BYZHA Beyaz Haber Ajansı