ESET araştırmacıları, Candiru casus yazılımla ilişkisi olan ve Orta Doğu’daki yüksek profilli internet sitelerine yönelik stratejik web ihlali (watering hole-su kaynağı) taarruzları keşfetti.
Yaşanan durumun medya, hükümet, internet hizmet sağlayıcıları, havacılık ve askeri teknoloji şirketlerinin web sitelerini maksat alan stratejik web ihlalleriyle ilgili gayeli hücumlar olduğu araştırma neticelerinda paylaşıldı.
Bu ataklar Orta Doğu’yla ilgili kontakların yanı sıra Yemen’e ve etrafındaki çatışmalara ağır bir biçimde odaklanıyor. Orta Doğu’da bulunan gayeler İran, Suudi Arabistan, Suriye, Yemen olurken Avrupa’dakiler ise İtalya ve İngiltere. Güney Afrika’da gayeler içinde yer alıyor.
Saldırganlar, Almanya’daki bir medikal fuarı taklit eden bir web sitesi de oluşturdu. Kampanyanın bir İsrail casus yazılım firması olan Candiru ile yakın temasları bulunuyor. Bu firma ABD Ticaret Bakanlığı tarafınca yakın vakitte müsaade verilmeyenler listesine alınmıştı.
Firma, hükümet kurumlarına son teknoloji ziyanlı yazılım araçları ve hizmetleri satıyor.
ESET Araştırma Ünitesi tarafınca ortaya çıkarılan ve Yemen’e odaklandığı belirtilen akınlar, hükümet kurumlarına son teknoloji ziyanlı yazılım araçları ve ilgili hizmetleri satan bir şirket olan Candiru ile kontaklı. İhlale uğrayan web siteleri İngiltere, Yemen ve Suudi Arabistan’daki medya şirketlerine ve Hizbullah’a ilişkin. Ayrıyeten İran’daki Dışişleri Bakanlığı, Suriye’deki Elektrik Bakanlığı, Yemen’deki İçişleri ve Maliye Bakanlığı, hükümet kurumlarına ilişkin web siteleri de ihlale uğradı. Bu web sitelerinin yanı sıra Yemen’deki ve Suriye’deki internet hizmet sağlayıcıların, İtalya’daki ve Güney Afrika’daki havacılık/askeri teknoloji şirketlerinin web siteleri de akına uğradı. Saldırganlar, Almanya’daki bir medikal fuarı taklit eden bir web sitesi de oluşturdu.
Su kaynağı akınları
Watering hole – su kaynağı- saldırısı, ilgili maksatlar tarafınca ziyaret edilmesi mümkün web sitelerine sızar ve bu sayede web sitesini ziyaret edenlerin makinesine girmek için fırsat elde eder. Bu amaçlı akında, bu web sitelerinin belli ziyaretçileri tarayıcının suistimal edilmesi yoluyla hücuma uğramış olabilir. Lakin, ESET araştırmacıları suistimal yahut en son yükle ilgili bilgiye ulaşamadı. Bu durum, tehdit aktörlerinin operasyonlarının odağını daraltmayı tercih ettiğini ve sıfır gün suistimallerine ziyan vermek istemediğini göstermenin yanı sıra hücumların ne kadar yüksek düzeyde amaca yönelik olduğunu da gözler önüne seriyor. İhlale uğrayan web siteleri, sonuncu amaçlara ulaşmak için sadece bir zıplama tahtası olarak kullanılıyor.
Su kaynağı taarruzlarını gün yüzüne çıkaran ESET araştırmacısı Matthieu Faou bu bahiste şunları söylemiş oldu: “2018 yılında, yüksek profilli web sitelerindeki su kaynağı ataklarını açığa çıkarmak için özel bir şirket içi sistem geliştirdik. 11 Temmuz 2020 tarihinde sistemimiz, Abu Dabi’deki İran elçiliğinin web sitesinin makus gayeli JavaScript kodundan etkilendiğiyle ilgili ikaz verdi. Amaç alınan web sitesi yüksek bir profile sahip olduğundan bu mevzu ilgimizi çekti ve daha sonraki haftalarda Orta Doğu’yla ilgisi olan öbür web sitelerinin de gaye alındığını fark ettik.”
Matthieu Faou kelamlarına şu biçimde devam etti: “Tehdit kümesi 2021 yılının Ocak ayına kadar sessizliğini korudu ve Ocak 2021’de yeni bir ihlal dalgası gözlemledik. Bu ikinci dalga Ağustos 2021’e kadar devam etti. Lakin bu tarihte, birebir 2020’de olduğu üzere tüm web siteleri, büyük ihtimalle failler tarafınca temizlendi. Ayrıyeten saldırganlar Almanya Düsseldorf’da düzenlenen Tıp Alanındaki Dünya Forumu’nun MEDICA Ticaret Fuarı’na ilişkin bir web sitesini de taklit etti. Operatörler, özgün web sitesini klonlayarak web sitesine küçük bir JavaScript kodu kesimi ekledi. Büyük ihtimalle saldırganlar, yasal web sitesine sızmayı başaramadı ve makûs maksatlı kodu yerleştirmek için geçersiz bir web sitesi oluşturmak zorunda kaldı.”
2020 saldırısı sırasında berbat hedefli yazılım, işletim sistemini ve web tarayıcısını denetim ediyordu. Seçim süreci, bilgisayar yazılımına dayalı olduğundan akınlar taşınabilir aygıtları gaye almadı. Daha tesirli olmak için ikinci dalgada saldırganlar, aslına bakarsanız ihlale uğramış web sitelerindeki komut belgelerini değiştirmeye başladı.
Faou, akınların Candiru’yla irtibatına dikkate çekerek, durumu şöyleki deklare etti: “Toronto Üniversitesi’nde Citizen Lab tarafınca yayınlanan Candiru hakkındaki blog yazısının ‘Suudi İlişkili bir Küme mi? (A Saudi-Linked Cluster?) isimli kısmına nazaran, VirusTotal’a ve çeşitli alan isimlerine yüklenen bir kimlik avı dolandırıcılığı dokümanı saldırganlar tarafınca kullanıldı. Alan isimleri eşsiz URL kısaltmalarının ve web tahlili web sitelerinin varyasyonlarından oluşuyor. Bu teknik su kaynağı hücumlarındaki alan isimleri için kullanılan teknikle birebirdir.”
Bu niçinle su kaynağı taarruzlarının operatörlerinin Candiru’nun müşterileri olması büyük bir olasılıktır. Dokümanları oluşturanlar ve su kaynağı operatörleri de birebir olabilir. Candiru, geçtiğimiz günlerde ABD Ticaret Bakanlığı’nın Ticaret Kısıtlama Listesi’ne eklenen İsrailli özel bir casus yazılım şirketidir. Bu niçinle ABD merkezli bir kuruluş, birinci vakit içinderda Ticaret Bakanlığı’ndan lisans almadan Candiru ile iş yapamaz.
Citizen Lab, Google ve Microsoft’un yayınladığı, Candiru’nun aktiflikleri ilgili bilgilere yer veren blog yazılarının yayınlandığı tarihten kısa bir süre daha sonra, yani Temmuz 2021 daha sonrasında ESET bu operasyonla ilgili daha fazla aktifliğe rastlamadı. Operatörler, büyük ihtimalle araçlarını yenilemek ve kampanyayı daha tesirli hale getirmek için orta verdi. ESET Research, önümüzdeki aylarda yeniden aktifliklerine başlayacaklarını düşünüyor.
Kaynak: (BHA) – Beyaz Haber Ajansı
Yaşanan durumun medya, hükümet, internet hizmet sağlayıcıları, havacılık ve askeri teknoloji şirketlerinin web sitelerini maksat alan stratejik web ihlalleriyle ilgili gayeli hücumlar olduğu araştırma neticelerinda paylaşıldı.
Bu ataklar Orta Doğu’yla ilgili kontakların yanı sıra Yemen’e ve etrafındaki çatışmalara ağır bir biçimde odaklanıyor. Orta Doğu’da bulunan gayeler İran, Suudi Arabistan, Suriye, Yemen olurken Avrupa’dakiler ise İtalya ve İngiltere. Güney Afrika’da gayeler içinde yer alıyor.
Saldırganlar, Almanya’daki bir medikal fuarı taklit eden bir web sitesi de oluşturdu. Kampanyanın bir İsrail casus yazılım firması olan Candiru ile yakın temasları bulunuyor. Bu firma ABD Ticaret Bakanlığı tarafınca yakın vakitte müsaade verilmeyenler listesine alınmıştı.
Firma, hükümet kurumlarına son teknoloji ziyanlı yazılım araçları ve hizmetleri satıyor.
ESET Araştırma Ünitesi tarafınca ortaya çıkarılan ve Yemen’e odaklandığı belirtilen akınlar, hükümet kurumlarına son teknoloji ziyanlı yazılım araçları ve ilgili hizmetleri satan bir şirket olan Candiru ile kontaklı. İhlale uğrayan web siteleri İngiltere, Yemen ve Suudi Arabistan’daki medya şirketlerine ve Hizbullah’a ilişkin. Ayrıyeten İran’daki Dışişleri Bakanlığı, Suriye’deki Elektrik Bakanlığı, Yemen’deki İçişleri ve Maliye Bakanlığı, hükümet kurumlarına ilişkin web siteleri de ihlale uğradı. Bu web sitelerinin yanı sıra Yemen’deki ve Suriye’deki internet hizmet sağlayıcıların, İtalya’daki ve Güney Afrika’daki havacılık/askeri teknoloji şirketlerinin web siteleri de akına uğradı. Saldırganlar, Almanya’daki bir medikal fuarı taklit eden bir web sitesi de oluşturdu.
Su kaynağı akınları
Watering hole – su kaynağı- saldırısı, ilgili maksatlar tarafınca ziyaret edilmesi mümkün web sitelerine sızar ve bu sayede web sitesini ziyaret edenlerin makinesine girmek için fırsat elde eder. Bu amaçlı akında, bu web sitelerinin belli ziyaretçileri tarayıcının suistimal edilmesi yoluyla hücuma uğramış olabilir. Lakin, ESET araştırmacıları suistimal yahut en son yükle ilgili bilgiye ulaşamadı. Bu durum, tehdit aktörlerinin operasyonlarının odağını daraltmayı tercih ettiğini ve sıfır gün suistimallerine ziyan vermek istemediğini göstermenin yanı sıra hücumların ne kadar yüksek düzeyde amaca yönelik olduğunu da gözler önüne seriyor. İhlale uğrayan web siteleri, sonuncu amaçlara ulaşmak için sadece bir zıplama tahtası olarak kullanılıyor.
Su kaynağı taarruzlarını gün yüzüne çıkaran ESET araştırmacısı Matthieu Faou bu bahiste şunları söylemiş oldu: “2018 yılında, yüksek profilli web sitelerindeki su kaynağı ataklarını açığa çıkarmak için özel bir şirket içi sistem geliştirdik. 11 Temmuz 2020 tarihinde sistemimiz, Abu Dabi’deki İran elçiliğinin web sitesinin makus gayeli JavaScript kodundan etkilendiğiyle ilgili ikaz verdi. Amaç alınan web sitesi yüksek bir profile sahip olduğundan bu mevzu ilgimizi çekti ve daha sonraki haftalarda Orta Doğu’yla ilgisi olan öbür web sitelerinin de gaye alındığını fark ettik.”
Matthieu Faou kelamlarına şu biçimde devam etti: “Tehdit kümesi 2021 yılının Ocak ayına kadar sessizliğini korudu ve Ocak 2021’de yeni bir ihlal dalgası gözlemledik. Bu ikinci dalga Ağustos 2021’e kadar devam etti. Lakin bu tarihte, birebir 2020’de olduğu üzere tüm web siteleri, büyük ihtimalle failler tarafınca temizlendi. Ayrıyeten saldırganlar Almanya Düsseldorf’da düzenlenen Tıp Alanındaki Dünya Forumu’nun MEDICA Ticaret Fuarı’na ilişkin bir web sitesini de taklit etti. Operatörler, özgün web sitesini klonlayarak web sitesine küçük bir JavaScript kodu kesimi ekledi. Büyük ihtimalle saldırganlar, yasal web sitesine sızmayı başaramadı ve makûs maksatlı kodu yerleştirmek için geçersiz bir web sitesi oluşturmak zorunda kaldı.”
2020 saldırısı sırasında berbat hedefli yazılım, işletim sistemini ve web tarayıcısını denetim ediyordu. Seçim süreci, bilgisayar yazılımına dayalı olduğundan akınlar taşınabilir aygıtları gaye almadı. Daha tesirli olmak için ikinci dalgada saldırganlar, aslına bakarsanız ihlale uğramış web sitelerindeki komut belgelerini değiştirmeye başladı.
Faou, akınların Candiru’yla irtibatına dikkate çekerek, durumu şöyleki deklare etti: “Toronto Üniversitesi’nde Citizen Lab tarafınca yayınlanan Candiru hakkındaki blog yazısının ‘Suudi İlişkili bir Küme mi? (A Saudi-Linked Cluster?) isimli kısmına nazaran, VirusTotal’a ve çeşitli alan isimlerine yüklenen bir kimlik avı dolandırıcılığı dokümanı saldırganlar tarafınca kullanıldı. Alan isimleri eşsiz URL kısaltmalarının ve web tahlili web sitelerinin varyasyonlarından oluşuyor. Bu teknik su kaynağı hücumlarındaki alan isimleri için kullanılan teknikle birebirdir.”
Bu niçinle su kaynağı taarruzlarının operatörlerinin Candiru’nun müşterileri olması büyük bir olasılıktır. Dokümanları oluşturanlar ve su kaynağı operatörleri de birebir olabilir. Candiru, geçtiğimiz günlerde ABD Ticaret Bakanlığı’nın Ticaret Kısıtlama Listesi’ne eklenen İsrailli özel bir casus yazılım şirketidir. Bu niçinle ABD merkezli bir kuruluş, birinci vakit içinderda Ticaret Bakanlığı’ndan lisans almadan Candiru ile iş yapamaz.
Citizen Lab, Google ve Microsoft’un yayınladığı, Candiru’nun aktiflikleri ilgili bilgilere yer veren blog yazılarının yayınlandığı tarihten kısa bir süre daha sonra, yani Temmuz 2021 daha sonrasında ESET bu operasyonla ilgili daha fazla aktifliğe rastlamadı. Operatörler, büyük ihtimalle araçlarını yenilemek ve kampanyayı daha tesirli hale getirmek için orta verdi. ESET Research, önümüzdeki aylarda yeniden aktifliklerine başlayacaklarını düşünüyor.
Kaynak: (BHA) – Beyaz Haber Ajansı