Siber Casusluk Sınır Tanımıyor

Siber Casusluk Sınır Tanımıyor
ESET araştırmacıları, İspanya’da bir havacılık-uzay firmasına yapılan Lazarus saldırısını açığa çıkardı
ESET araştırmacıları, İspanya’da bir havacılık-uzay firmasına yapılan Lazarus saldırısını açığa  çıkardı. Saldırganların, ESET tarafından LightlessCan ismi verilen ve yeni keşfedilen bir art kapı dahil olmak üzere birçok araç kullandığı ortaya çıktı. 

 

Kuzey Kore kontaklı Lazarus kümesi operatörleri, geçtiğimiz yıl Facebook, Instagram ve WhatsApp platformlarının sahibi olan Meta için bir işe alım uzmanını taklit ederek giriştikleri başarılı bir kimlik avı (spear phishing) saldırısının  sonrasında firmanın ağına erişim sağladı. Taarruzun son amacı ise siber casusluk olarak kayıt altına alındı.

 

Sahte işe alım uzmanı, kurban ile LinkedIn profesyonel toplumsal ağ platformunun sağladığı bir özellik olan LinkedIn Messaging üzerinden bağlantıya geçti. Kurbana işe alım sürecinin bir kesimi olarak gerekli olduğu söylenen iki kodlama testi gönderdi. ESET Research, etkilenen havacılık-uzay şirketiyle yapılan işbirliği sayesinde birinci erişim adımlarını yine oluşturarak Lazarus tarafından kullanılan araç setini tahlil edebildi. Küme birden fazla şirket çalışanını amaç aldı.

 

Lazarus, kurbanların sistemlerine birden çok bilgi yükü gönderdi. Bunlardan en kıymetlisi, daha evvelce kayıt altına alınmamış olan ve LightlessCan ismi verilen karmaşık bir uzaktan erişim truva atı (RAT). Truva atı, çok çeşitli lokal Windows komutlarının fonksiyonlarını taklit eder ve ekseriyetle gürültülü konsol yürütmeleri yerine RAT'ın kendi içinde zımnî olan yürütmeye ile saldırganlar tarafından berbata kullanılır. Bu stratejik değişiklik, zımnilik özelliğini geliştirerek saldırganın faaliyetlerini tespit etmeyi ve tahlil etmeyi daha kuvvetli hale getiriyor.

 

Saldırıyı açığa çıkaran ESET araştırmacısı Peter Kálnai şunları söyledi, “Bu hücumun en kaygı verici tarafı; tasarımı ve işleyişinde üst seviye gelişmişlik sergileyen, öncülü BlindingCan ile karşılaştırıldığında makûs emelli yeteneklerde değerli bir ilerleme sağladığı görülen, karmaşık ve muhtemelen kendini geliştiren bir araç olan yeni data yükü çeşidi LightlessCan olarak dikkat çekiyor.” 

 

HIDDEN COBRA olarak da bilinen Kuzey Kore kontaklı siber casusluk kümesi Lazarus’un 2009 yılından beri faal olduğu düşünülüyor.  Lazarus casusluk, sabotaj ve finansal yarar elde etme dileği olmak üzere siber cürüm etkinliklerinin üç temel özelliğine de sahip. Havacılık-uzay firmaları, Kuzey Kore kontaklı APT kümeleri için alışıldık gayeler olarak tanımlanıyor.

 

Kaynak: (BYZHA) Beyaz Haber Ajansı

HABERE YORUM KAT
UYARI: Küfür, hakaret, rencide edici cümleler veya imalar, inançlara saldırı içeren, imla kuralları ile yazılmamış,
Türkçe karakter kullanılmayan ve büyük harflerle yazılmış yorumlar onaylanmamaktadır.