Siber korsanların orta doğu ülkelerini hedef aldığı ortaya çıktı. Açıklanan bilgilere göre devlet kurumları hedef alınıyor.
Siber güvenlik şirketi ESET, Birleşik Arap Emirlikleri (BAE) ile bağlantılı olduğuna inanılan Stealth Falcon grubunun, sınır komşusu ülkelere yönelik yeni ve karmaşık bir casusluk araçları geliştirdiğini açıkladı.
Firmanın araştırmacıları, bu grup tarafından kullanılan ve Deadglyph adını verdikleri sofistike bir casusluk aracını inceleyerek detaylı analizlerde bulundular. Stealth Falcon grubunun Birleşik Arap Emirlikleri ile ilişkilendirildiği MITRE tarafından doğrulandı. Deadglyph, alışılmadık bir yapıya sahip ve casusluk yeteneklerini ek modüller aracılığıyla uygulayan bir ‘Komuta ve Kontrol’ yapısına sahip. Deadglyph, kendini tespit edilme riskini azaltmak için çeşitli karşı tespit mekanizmaları içeriyor.
DEVLET KURUMLARI HEDEF HALİNDE
Araştırmacılar, bu keşfi Orta Doğu bölgesindeki yüksek profilli müşterilerin sistemlerindeki şüpheli aktiviteleri izlerken yaptılar. İncelenen sızma olayının hedefi, Orta Doğu’da bir devlet kurumuna yönelik casusluk amaçlı bir siber saldırıydı. Ayrıca, ilgili bir örnek Katar’dan yüklendiği Virustotal’de bulunuyor.
Deadglyph adı, arka kapının kullanımındaki homoglif karakterlerinden esinlenerek verildi. Homoglif, yanıltıcı bir karakter dizisi olarak görünen güvenilir bir dizi gibidir. Bu casusluk aracı, Microsoft Corporation‘ı taklit ediyordu ve oldukça karmaşık ve uzmanlık gerektiren bir yapıya sahipti. Geleneksel arka kapı komutları burada uygulanmaz; bunun yerine, dinamik olarak ‘Komuta ve Kontrol’ sunucusundan ek modüller alınır. Ayrıca, tespit edilmemek için sistem süreçlerini izler ve rastgele ağ modellerini uygulama gibi yeteneklere sahiptir.
ESET Research, Deadglyph’in bazı modüllerini inceleyerek bu casusluk aracının özelliklerini ortaya çıkardı. Bu modüller bilgisayar hakkında kapsamlı bilgiler toplar, belirli dosyaları okuyabilir ve hatta casus yazılım eylemlerini gerçekleştirmek için kullanılabilecek kabuk kodu indirici buldu.
Firma, bu casusluk aracının büyük olasılıkla Stealth Falcon APT grubuyla ilişkilendirildiğini belirtiyor.
STEALTH FALCON GRUBU KİMDİR?
Stealth Falcon, Orta Doğu’daki aktivistleri, gazetecileri ve muhalifleri hedefleyen bir tehdit grubudur ve Birleşik Arap Emirlikleri ile bağlantılıdır. Bu grup, 2016’da ilk kez bir casus yazılım saldırısının analizi ile tespit edilmiştir.
