Transparent Tribe (PROJECTM ve MYTHIC LEOPARD olarak da biliniyor) düzenlediği büyük casusluk taarruzlarıyla siber güvenlik sanayisinde tanınan bir küme. 2013’ten bu yana faaliyetlerini sürdüren küme 2016’dan itibaren Kaspersky’nin takibi altında.
Kümenin sistemlere sızmak için içinde bir makro bulunan ziyanlı evraklar kullanmayı tercih ediyor. En sık kullandığı ziyanlı yazılım ise Crimson isimli uzaktan erişim Truva atı. Farklı bileşenlerden oluşan bu araç saldırganların sızdıkları makinelerde çeşitli süreçler yapmasını sağlıyor. Bu araç sayesinde saldırganlar belge sistemlerini uzaktan denetim edebiliyor, ekran imajı alabiliyor, mikrofonlarla ortam dinlemesi yapabiliyor, web kameralarıyla manzara alabiliyor ve çıkarılabilir depolama aygıtlarından evrak çalabiliyor.
Kümenin kullandığı taktikler ve sistemler yıllar içinde pek değişmese de Kaspersky’nin yaptığı araştırmada kümenin belli akınlar için yeni programlar geliştirdiği görüldü. Geçtiğimiz yıl kümenin faaliyetlerini takip eden Kaspersky araştırmacıları, güvenlik tahlillerinin Crimson RAT olarak tanımladığı bir .NET evrakı tespit etti. Yapılan tahlillerde belgenin aslında daha farklı bir şey olduğu görüldü. Saldırganların sızdıkları makineleri yönetmek için sunucu tarafında yeni bir Crimson RAT bileşeni kullandığı anlaşıldı. İki farklı sürümü olan bu evrakın 2017, 2018 ve 2019’da derlendiği görüldü. Bu da yazılımın hala geliştirilme etabında olduğunu ve APT kümesinin yazılımı daha iyi hale getirmeye çalıştığını gösteriyor.
Kullanılan aktüel bileşen listesiyle birlikte uzmanlar, kümenin gelişim sürecini ve faaliyetlerini gözlemleme fırsatı yakaladı. Transparent Tribe’ın büyük akınlar başlattığı, yeni araçlar geliştirdiği ve dikkatini Afganistan’a çevirdiği görüldü.
Genel olarak, araştırmacılar Haziran 2019 ile Haziran 2020 ortasında belirlenen tüm bileşenleri 27 ülkeden 1090 gayede tespit etti. Hücumlardan en çok etkilenen ülkeler Afganistan, Pakistan, Hindistan, İran ve Almanya oldu.
Ggüvenlik analisti Giampaolo Dedola, “Yaptığımız incelemeler, Transparent Tribe’ın birçok amaca karşı ağır bir faaliyet içerisine girdiğini gösteriyor. Son 12 ay içinde askeri ve diplomatik amaçlara geniş kapsamlı akınlar yapıldığını gözlemledik. Bu hücumlar büyük bir altyapıyla destekleniyordu. Ayrıyeten kümenin kullandığı silahların da daima geliştiğini gördük. Küme ana silahı olan Crimson RAT ile hassas maksatlarda istihbarat toplamaya devam ediyor. Kümenin yakın gelecekte yavaşlamasını beklemiyoruz. Takibi sürdüreceğiz.” dedi.
Uzmanlar, bu tehditten korunmak isteyenlere şu güvenlik tedbirlerini almalarını tavsiye ediyor:
Uç nokta düzeyinde tespit, soruşturma ve olaylara vaktinde müdahale için bir uç nokta tespit ve müdahale tahlili kullanın.
Kesinlikle bulunması gereken uç nokta muhafaza tahlillerinin yanı sıra gelişmiş tehditleri birinci etapta ağ seviyesindeyken tespit eden bir kurumsal sınıf bir güvenlik tahlili kullanın.
Takımınızın temel siber güvenlik tedbirlerini öğrenmesini sağlayın. Birçok maksatlı hücumların kimlik avı yahut öbür toplumsal mühendislik sistemleriyle başladığını unutmayın. Uygulamalı gösterimler yaparak kimlik avı e-postalarını ayırt edebilmelerini sağlayın.
Hürriyet
