Ülkeleri hedefleyen siber saldırılar hız kesmeden devam ediyor

Siber güvenlik şirketi ESET, POLONIUM APT kümesi tarafından İsrail’de dağıtılan, daha evvel belgelenmemiş özel art kapıları ve siber casusluk araçlarını tahlil etti. ESET telemetrisine nazaran POLONIUM, Eylül 2021’den bu yana İsrail’de bir düzineden fazla kuruluşu gaye aldı. Kümenin en son aksiyonları Eylül 2022’de gözlemlendi.

ESET araştırmacılarının ortaya koyduğu datalara nazaran sadece İsrail’deki amaçlara odaklanan POLONIUM, mühendislik, bilgi teknolojisi, hukuk, irtibat, markalaşma ve pazarlama, medya, sigorta ve toplumsal hizmetler üzere çeşitli kesimlerdeki bir düzineden fazla kuruluşa saldırdı. Microsoft, POLONIUM’u İran İstihbarat ve Güvenlik Bakanlığı’na bağlı öbür aktörlerle koordine etkinlikler yürüten, Lübnan merkezli operasyonel bir küme olarak pahalandırıyor.

ESET telemetrisine nazaran küme, Eylül 2021’den bu yana en az yedi farklı özel art kapı kullandı ve en son hareketleri Eylül 2022’de gözlemlendi. ESET, daha evvel belgelenmemiş beş art kapıyı “-Creep” son ekiyle isimlendirdi. Küme, ekran imajı almak, tuş vuruşlarını kaydetmek, web kamerası aracılığıyla casusluk yapmak, evrakları sızdırmak ve daha fazlası için özel araçlar geliştirdi. POLONIUM, komuta ve denetim irtibatı için Dropbox, OneDrive ve Mega üzere yaygın bulut hizmetlerini berbata kullanıyor.

ESET Research’e nazaran POLONIUM, çok sayıda makûs maksatlı yazılım aracı cephanesine sahip etkin bir tehdit aktörü ve bu araçları daima olarak değiştiriyor. Yeni araçlar geliştiriyor. Küme araçlarının ortak bir özelliği, Dropbox, Mega ve OneDrive üzere bulut hizmetlerinin komuta ve denetim (C&C) bağlantıları için berbata kullanılması. Kümenin atakları yüksek oranda gayeye yönelik olduğundan POLONIUM hakkında istihbarat ve kamuoyu raporları çok az ve sonlu.

Kötü maksatlı yazılımı tahlil eden ESET araştırmacısı Matías Porolli şu açıklamalarda bulundu: “POLONIUM’un özel araçlarına eklediği sayısız sürüm ve değişiklik, kümenin maksatlarını gözetlemek açısından daima ve uzun vadeli bir uğraş gerektiriyor. ESET, araç setlerini göz önünde bulundurduğunda kümenin amaçlarından zımnî data toplamakla ilgilendiği manasını çıkarabilir. Küme, rastgele bir sabotaj yahut fidye yazılımı aksiyonu gerçekleştirmiyor üzere görünüyor.”

POLONIUM’un araç seti yedi özel art kapıdan oluşuyor: C&C için OneDrive ve Dropbox bulut hizmetlerini berbata kullanan CreepyDrive; saldırganların kendi altyapısından aldığı komutları yürüten CreepySnail; sırasıyla Dropbox ve Mega evrak depolama hizmetlerinden yararlanan DeepCreep ve MegaCreep; saldırganların sunucularından komutlar alan FlipCreep, TechnoCreep ve PapaCreep. Küme ayrıyeten ekran manzaraları alarak, tuş vuruşlarını kaydederek, web kamerası aracılığıyla casusluk yaparak, evrakları sızdırarak ve daha fazlasını yaparak maksatlarını gözetlemek için birkaç özel modül geliştirdi.

Porolli bu durumu şöyle açıklıyor: “Grubun makûs gayeli modüllerinin birçok, hudutlu fonksiyonelliğe sahip ve küçük. Bir hadisede, saldırganlar ekran imajı almak için bir modül ve bu manzaraları C&C sunucusuna yüklemek için diğer bir modül kullandı. Ayrıyeten benzeri halde, makus maksatlı fonksiyonları çeşitli küçük DLL’lere dağıtarak ve sistemi savunanların yahut araştırmacıların tüm akın zincirini gözlemlemeyeceğini umarak, kodu art kapılarında bölmeyi seviyorlar.”