Siber güvenlik kuruluşu ESET, 16 Haziran tarihinde düzenlediği küresel online basın içtimasında, çarpıcı formüller içerdiği için öne çıkan bir siber taarruza dikkat çekti. ESET’in “Operation Interception” ismini verdiği siber atakta adeta yok yok: Linkedin tabanlı kimlik malumatı avı, yakalanmamak için tesirli hileler, amaçlı casusluk ve mali kar elde etmek için gayeli taarruz.
Hikaye Linkedin iletisiyle başlıyor
Online basın içtimasında akınlarla ilgili ayrıntıları, ESET Kanada Tehdit Araştırmaları Şefi Jean-Ian Boutin paylaştı. “Olay bir Linkedin bildirisiyle başlıyor“ diyen Boutin, şöyle devam etti: “Mesaj, ilgili bölümde tanınmış bir şirketten gönderiliyor üzere gösterilen çok inandırıcı bir iş teklifi. Saf ki Linkedin profili uydurma ve bildiride gönderilen belgeler berbat maksatlı.”
Makûs hedefli yazılım içeren evrak paylaşılıyor
Alıcı, düzmece iş teklifiyle ilgili maaş malumatlarını içeren pak bir PDF dokümanı üzere görünen belgeyi açtığında istenilmeyen emelli yazılım, sessizce kurbanın bilgisayarına yerleşiyor. Bu halde, saldırganlar bir birinci tutunma yerini oluşturuyor ve sistem üzerinde kalıcılık sağlıyor.
Tesirli saklanma prosedürleri
Evraklar doğruca Linkedin iletileri üzerinden yahut bir OneDrive linki içeren e-posta yoluyla gönderiliyor. E-posta yoluyla yapılan gönderilerde saldırganlar, geçersiz Linkedin şahıslarıyla eşleşen e-posta hesapları oluşturuyor. Bunun yanı sıra teknik olarak zekice kurgulanmış saklanma hileleriyle müdafaa yazılımlarının algılama mekanizmalarından kaçınmaya çalışılıyor.
Kimler gaye?
Datalar, çeşitli Avrupa uzay, havacılık ve askeri şirket ve çalışanlarının gaye alındığını gösteriyor. Saldırganların kullandığı araçlar arasında birçok devir yasal yazılım üzere gizlenmiş olan hususî çok aşamalı bed emelli programlar ve açık kaynaklı araçların değiştirilmiş sürümleri nokta alıyor. Saldırganlar ayrıyeten, bed emelli operasyonları gerçekleştirmek için evvelden yüklenmiş Windows araçlarını da istismar etmiş görünüyor.
Saldırganlar kim?
Jean-Ian Boutin ve soruşturmaya liderlik eden ESET Araştırmacısı Dominik Breitenbacher’e nazaran, pek çok ipucu, makûs nam salmış Lazarus öbeği ile mümkün temaslara işaret ediyor. Lakin Breitenbacher, “Ne makûs gayeli yazılım tahlili, ne de incelemeler, saldırganların hangi evrakları hedeflediği hakkında haber elde etmemize imkân vermedi” diyor.
Yalnızca malumat değil, para da kazanmaya çalıştılar
ESET araştırmacıları, olgu hırsızlığının yanı sıra saldırganların, istismar edilen hesapları farklı şirketlerden para çekme emeliyle kullandıklarının da kanıtını buldu. Yani siber saldırganlar, elde ettikleri haberleri paraya da dönüştürme eforu içine giriştiler.
ESET araştırmacıları, “Kurbanın ağına erişmeye yönelik bu paraya çevirme teşebbüsü, hem içeriye sızmalara karşı güçlü bir savunmanın oluşturulması hem de çalışanlara siber güvenlik eğitiminin verilmesi için yeniden gayrı bir sebep oluşturuyor. Bu türlü bir eğitim, çalışanların bu akın teşebbüsünde kullanılanlar üzere daha az bilinen içtimaî mühendislik tekniklerini anlamalarına yardımcı olabilir” diyerek laflarını tamamladı.
Hürriyet
