Siber güvenlik araştırmacılarına göre, kısmen Rusya hükümeti adına çalıştığından şüphelenilen bir kötü niyetli hacker grubu, Ukraynalı iPhone kullanıcılarını hedef alan yeni hack araçları geliştirdi. Google, iVerify ve Lookout şirketlerinde görevli uzmanlar, UNC6353 olarak tanımlanan grubun başlattığı yeni siber saldırıları inceledi.
HABERİN ÖZETİ
Okunma süresi 34 saniyeye düşürüldü.
Okunma süresi 34 saniyeye düşürüldü.
ÖZETİ PAYLAŞ
TechCrunch'ın haberine göre uzmanlar, operasyonda ele geçirilmiş web sitelerini mercek altına aldı. Araştırmacıların DarkSword adını verdiği yeni hack araç seti, geçmişte ortaya çıkarılan benzer bir casus yazılımın izinden gidiyor. Aracın yalnızca Ukrayna'daki kullanıcıları hedef aldığı ve siber korsanların dünya çapında geniş bir saldırı başlatmak yerine belirli bir bölgeye odaklandığı bildirildi.
Geçtiğimiz mart ayının başlarında Google, Coruna isimli iPhone hack aracının detaylarını paylaşmıştı. Uygulamanın önce bir gözetim teknolojisi satıcısının hükümet müşterisi tarafından, sonra Ukraynalıları hedef alan Rus casuslar ve son olarak kripto para çalmak isteyen Çinli siber suçlularca kullanıldığını açıklamıştı.
TechCrunch'ın yayınladığı rapora göre Coruna, aslen ABD'li savunma şirketi L3Harris bünyesindeki Trenchant adlı gözetim teknolojisi departmanında geliştirilmişti. Şirketin eski çalışanlarına göre Coruna, başta Five Eyes istihbarat ittifakına üye ülkeler olmak üzere Batılı hükümetlerin kullanımı için tasarlanmıştı.
Şimdi ise araştırmacılar, farklı güvenlik açıklarından yararlanan çok daha yeni araçlar kullanan bağlantılı bir operasyon tespit etti. Hedefte WhatsApp mesajları ve kripto paralar var. DarkSword; şifreler, fotoğraflar, WhatsApp, Telegram, kısa mesajlar ve tarayıcı geçmişi gibi son derece kritik kişisel bilgileri çalmak üzere tasarlandı.
DarkSword'un sürekli gözetim yapmadığı ve kurbanlara sızıp bilgileri çaldıktan sonra hızla ortadan kaybolacak şekilde kurgulandığı ifade edildi. Lookout araştırmacıları süreci şu sözlerle anlatıyor: "DarkSword'un cihazda kalma süresi, keşfettiği ve dışarı sızdırdığı veri miktarına bağlı olarak muhtemelen dakikalarla sınırlı."
iVerify kurucu ortağı Rocky Cole'a göre bunun en mantıklı açıklaması, bilgisayar korsanlarının kurbanların yaşam düzenini öğrenmek istemesi. Korsanlar sürekli gözetim yapmak yerine adeta bir "vur-kaç" operasyonu yürütüyor. Ayrıca DarkSword, kripto para cüzdan uygulamalarından varlık çalabilecek bir altyapıya sahip.
Ancak Cole, Rus bilgisayar korsanlığı grubunun gerçekten kripto para çalmakla ilgilendiğine dair kanıt bulunmadığını, yalnızca kötü amaçlı yazılımın bu kapasiteye sahip olduğunu belirtiyor. Araştırmacılara göre uygulama, profesyonelce geliştirilmiş modüler bir yapıda bulunuyor. Böylelikle yazılıma yeni işlevler eklenmesi kolaylaşıyor.
Cole, Coruna'yı Rus hükümetine satan kişinin DarkSword'u da aynı gruba satmış olabileceğini düşünüyor.
Cole'a göre "tüm işaretler Rus hükümetini gösteriyor". Lookout da Ukraynalılara karşı Coruna'yı kullanan aynı Rus hükümeti destekli grubun DarkSword'u yönettiğini belirtiyor.
Lookout baş güvenlik araştırmacısı Justin Albrecht durumu şu şekilde özetledi:
"UNC6353, Rus istihbaratının gereksinimleri doğrultusunda finansal kazanç ve casusluk amacıyla saldırılar düzenleyen, iyi finanse edilen ve bağlantıları kuvvetli bir tehdit aktörüdür. Finansal hırsızlık ve istihbarat toplama şeklindeki ikili hedefleri göz önüne alındığında, grubun Rusya'nın 'suç vekili' olduğu söylenebilir.”
Kurbanlar konusunda ise Cole, kötü amaçlı yazılımın Ukrayna içinden belirli Ukrayna web sitelerini ziyaret eden herkese bulaşmak üzere tasarlandığını aktarıyor.
Google Play
App Store
Haberi Paylaş
11:55
İLGİLİ HABERLER
YORUM YAZ