Ülkeleri hedefleyen siber saldırılar hız kesmeden devam ediyor

Siber güvenlik şirketi ESET, POLONIUM APT kümesi tarafından İsrail’de dağıtılan, daha evvel belgelenmemiş özel art kapıları ve siber casusluk araçlarını tahlil etti. ESET telemetrisine nazaran POLONIUM, Eylül 2021’den bu yana İsrail’de bir düzineden fazla kuruluşu maksat aldı. Kümenin en son hareketleri Eylül 2022’de gözlemlendi.

ESET araştırmacılarının ortaya koyduğu bilgilere nazaran sadece İsrail’deki amaçlara odaklanan POLONIUM, mühendislik, bilgi teknolojisi, hukuk, irtibat, markalaşma ve pazarlama, medya, sigorta ve toplumsal hizmetler üzere çeşitli bölümlerdeki bir düzineden fazla kuruluşa saldırdı. Microsoft, POLONIUM’u İran İstihbarat ve Güvenlik Bakanlığı’na bağlı öbür aktörlerle koordine etkinlikler yürüten, Lübnan merkezli operasyonel bir küme olarak kıymetlendiriyor.

ESET telemetrisine nazaran küme, Eylül 2021’den bu yana en az yedi farklı özel art kapı kullandı ve en son hareketleri Eylül 2022’de gözlemlendi. ESET, daha evvel belgelenmemiş beş art kapıyı “-Creep” son ekiyle isimlendirdi. Küme, ekran imgesi almak, tuş vuruşlarını kaydetmek, web kamerası aracılığıyla casusluk yapmak, evrakları sızdırmak ve daha fazlası için özel araçlar geliştirdi. POLONIUM, komuta ve denetim bağlantısı için Dropbox, OneDrive ve Mega üzere yaygın bulut hizmetlerini berbata kullanıyor.

ESET Research’e nazaran POLONIUM, çok sayıda makus gayeli yazılım aracı cephanesine sahip etkin bir tehdit aktörü ve bu araçları daima olarak değiştiriyor. Yeni araçlar geliştiriyor. Küme araçlarının ortak bir özelliği, Dropbox, Mega ve OneDrive üzere bulut hizmetlerinin komuta ve denetim (C&C) bağlantıları için berbata kullanılması. Kümenin atakları yüksek oranda amaca yönelik olduğundan POLONIUM hakkında istihbarat ve kamuoyu raporları çok az ve hudutlu.

Kötü gayeli yazılımı tahlil eden ESET araştırmacısı Matías Porolli şu açıklamalarda bulundu: “POLONIUM’un özel araçlarına eklediği sayısız sürüm ve değişiklik, kümenin amaçlarını gözetlemek açısından daima ve uzun vadeli bir uğraş gerektiriyor. ESET, araç setlerini göz önünde bulundurduğunda kümenin amaçlarından bilinmeyen data toplamakla ilgilendiği manasını çıkarabilir. Küme, rastgele bir sabotaj yahut fidye yazılımı hareketi gerçekleştirmiyor üzere görünüyor.”

POLONIUM’un araç seti yedi özel art kapıdan oluşuyor: C&C için OneDrive ve Dropbox bulut hizmetlerini berbata kullanan CreepyDrive; saldırganların kendi altyapısından aldığı komutları yürüten CreepySnail; sırasıyla Dropbox ve Mega belge depolama hizmetlerinden yararlanan DeepCreep ve MegaCreep; saldırganların sunucularından komutlar alan FlipCreep, TechnoCreep ve PapaCreep. Küme ayrıyeten ekran imajları alarak, tuş vuruşlarını kaydederek, web kamerası aracılığıyla casusluk yaparak, evrakları sızdırarak ve daha fazlasını yaparak gayelerini gözetlemek için birkaç özel modül geliştirdi.

Porolli bu durumu şöyle açıklıyor: “Grubun makus emelli modüllerinin birçok, hudutlu fonksiyonelliğe sahip ve küçük. Bir olayda, saldırganlar ekran imgesi almak için bir modül ve bu imajları C&C sunucusuna yüklemek için öbür bir modül kullandı. Ayrıyeten emsal halde, makûs emelli fonksiyonları çeşitli küçük DLL’lere dağıtarak ve sistemi savunanların yahut araştırmacıların tüm hücum zincirini gözlemlemeyeceğini umarak, kodu art kapılarında bölmeyi seviyorlar.”