Bu Siber Casusluk Kampanyası Yüksek Profilli Japon Hedeflerin Peşinde

Kaspersky Lab’ın Global Araştırma ve Analiz Ekibi, son iki yılda Japonya’dan yüzlerce kurumu hedefleyen bir siber casusluk kampanyası olan Blue Termite’i keşfetti. Bu, Kaspersky Lab’in özellikle Japon hedeflere odaklanmış ve

Kaspersky Lab’ın Global Araştırma ve Analiz Ekibi, son iki yılda Japonya’dan yüzlerce kurumu hedefleyen bir siber casusluk kampanyası olan Blue Termite’i keşfetti. Bu, Kaspersky Lab’in özellikle Japon hedeflere odaklanmış ve halen aktif olduğunu gördüğü ilk kampanya.

Ekim 2014’te Kaspersky Lab araştırmacıları, karmaşıklığıyla diğerlerinden ayrılan ve daha önce görülmemiş olan bir zararlı yazılım örneğiyle karşılaştı. Ardından yapılan analizler bu örneğin büyük ve sofistike bir siber casusluk kampanyasının sadece küçük bir parçası olduğunu gösterdi. Hedeflenen sektörler listesinde resmi kurumlar, finans, kimya, uydu, medya, eğitim kurumları, sağlık, gıda endüstrisi gibi sektörler var

Çeşitli bulaştırma teknikleri kullanılıyor

Blue Termite operatörleri kurbanlarına virüs bulaştırmak için farklı tekniklerden faydalanıyor. Temmuz 2015’ten önce genellikle, kurbanın ilgisini çekmesi muhtemel olan bir e-posta içeriğine eklenen zararlı yazılımı göndermek anlamına gelen kimlik avcılığı e-postalarını kullanıyorlardı. Ancak Temmuz ayında operatörler taktiklerini değiştirdi ve zararlı yazılımı açıklardan yararlanma amaçlı sıfır gün Flash kodu yaymaya başladı. Saldırganlar birçok Japon web sitesini hedef aldı. Bu sitelerin ziyaretçileri bir açıklardan yararlanma amaçlı kodu otomatik olarak indirdiklerinde web sitesine giriyor ve virüs bulaştırıyorlardı. Bu, zararlı indirme tekniği olarak biliniyor.

Sıfır gün açıklardan yararlanma amaçlı kodlarının uygulanması, Temmuz ayının ortalarında Kaspersky Lab algılama sistemleri tarafından kaydedilen bulaşma hızında büyük bir artışa neden oldu.

Ayrıca kurbanların profilinin çıkarılmasına yönelik denemeler de vardı. İhlal edilen web sitelerinden biri Japonya hükümetinin önemli üyelerinden birine aitti ve diğeri ise ziyaretçileri, özel bir Japon kurumuna ait olan hariç tüm IP’lerden filtreleyen zararlı bir komut dosyası içeriyordu. Diğer bir ifadeyle sadece seçilen kullanıcılar zararlı yükü alıyordu.

Saldırının arkasında kim var halen belirsiz

Başarılı bir bulaştırmanın ardından hedeflenen makineye sofistike bir arka kapı gönderiliyor. Arka kapı parolalar çalma, ek yükler indirme ve yürütme, dosyaları geri getirme gibi becerilere sahip. Blue Termite aktörü tarafından kullanılan zararlı yazılım hakkındaki en ilginç şeylerden biri de her kurbana, sadece Blue Termite tarafından hedeflenen belirli bir bilgisayar üzerinde çalıştırılabilecek şekilde yapılmış benzersiz bir zararlı yazılım gönderilmesi. Kaspersky Lab araştırmacılarına göre bu, güvenlik araştırmacılarının zararlı yazılımı analiz etmesini ve algılamasını zorlaştırmak için yapıldı.

Bu saldırının ardında kim olduğu sorusu halen cevapsız. Genel olarak, söz konusu olan sofistike bir siber saldırı olduğunda adlandırma son derece zor bir iştir. Ancak Kaspersky Lab araştırmacıları bazı dil izleri bulmayı başardı. Özellikle, Komuta ve Kontrol sunucusunun grafik kullanıcı arabiriminin yanı sıra Blue Termite’de kullanılan zararlı yazılıma ilişkin bazı teknik belgeler Çince’ydi. Bu, operasyonun ardındaki aktörlerin bu dili konuşuyor olduğu anlamına geliyor olabilir.

Kaspersky Lab araştırmacıları bunun Japonya kurumlarını hedefleyen bir siber casusluk kampanyası olduğunu doğrulamak için yeteri kadar bilgi edindiğinde şirketin temsilcileri, yerel emniyet güçlerini bu bulgular hakkında bilgilendirdi. Kaspersky Lab’ın araştırması devam etmekte.

Kaspersky Lab Güvenlik Araştırmacısı Suguru Ishimaru şunları söyledi: “Her ne kadar Blue Termite Japonya’yı hedefleyen ilk siber casusluk kampanyası olmasa da Kaspersky Lab’ın sadece Japon hedeflere odaklandığını gördüğü ilk kampanyadır. Bu, Japonya’da halen geçerli olan bir sorundur. Japonya Emeklilik Hizmetlerine yapılan siber saldırının geniş çapta bildirilmeye başladığı Haziran ayının başlarından itibaren farklı Japonya kurumları koruma önlemleri almaya başlamıştır. Ancak bu gelişmeleri muhtemelen yakından izliyor olan saldırganlar, yeni saldırı yöntemleri kullanmaya başlamış ve etkilerini başarılı bir şekilde artırmışlardır.”

Blue Termite siber casusluk kampanyasının kurbanı olma riskini azaltmak için Kaspersky Lab uzmanları aşağıdaki önlemleri tavsiye etmekte:

  • Yazılımlarınızı, özelikle de geniş çapta kullanılan ve sık sık siber suçluların hedefi olan yazılımları güncel tutun;
  • Cihazınızdaki yazılımda herhangi bir zayıf nokta olduğunu biliyorsanız ve henüz bir yaması yoksa, bu yazılımı kullanmamaya özen gösterin;
  • Eklentiler bulunan e-postaları şüpheyle karşılayın;
  • Kendini kanıtlamış bir yazılım önleme çözümü kullanın.

Kaspersky Lab ürünleri, aşağıdaki algılama adlarındaki zararlı yazılımları başarıyla algılar ve engeller: Backdoor.Win32.Emdivi.*, Backdoor.Win64.Agent.*, Exploit.SWF.Agent.*, HEUR:Backdoor.Win32.Generic, HEUR:Exploit.SWF.Agent.gen, HEUR:Trojan.Win32.Generic, Trojan-Downloader.Win32.Agent.*, Trojan-Dropper.Win32.Agent.*.

Faydalı bağlantılar:

İpuçları