Chafer siber casusluk grubu İran’daki elçilikleri hedef aldı
Kaspersky Lab araştırmacıları, İran’daki yabancı diplomatik birimlere casus yazılım bulaştırma denemeleri tespit etti. Saldırılarda Remexi arka kapısının güncel bir sürümün kullanıldığı görüldü. Ayrıca çeşitli yasal araçlardan da yararlanıldığı belirlendi. Remexi arka kapısının, Chafer olarak bilinen ve Farsça konuşan kişilerden oluşan bir grupla bağlantılı olduğu biliniyor. Bu grup daha önce Orta Doğu’da bazı kişilerin gizlice izlendiği operasyona dahil olmuştu. Elçiliklerin hedef alınması, grubun yeni bir alana odaklandığını gösteriyor.
Düzenlenen operasyon, gelişmekte olan bölgelerdeki tehdit gruplarının hedeflerine kendi yaptıkları basit zararlı yazılımları ve herkesin erişebildiği araçları kullanarak nasıl saldırabildiğini gözler önüne seriyor. Saldırganlar bu operasyonda, hedef makinenin yönetimini uzaktan ele geçirebilen Remexi arka kapısının gelişmiş bir sürümünü kullandı.
İlk olarak 2015’te tespit edilen Remexi, Chafer adlı siber casusluk grubu tarafından Orta Doğu’da bazı kişilerin ve bir dizi kurumun gizlice izlendiği operasyonda kullanılmıştı. Yeni saldırıda kullanılan arka kapının Remexi ile benzer kodlara sahip olması ve hedeflerin niteliği göz önünde bulundurulduğunda, Kaspersky Lab uzmanları bunun Chafer ile bağlantılı olabileceğini düşünüyor.
Yeni keşfedilen Remexi sürümü uzaktan komut çalıştırabiliyor, ekran görüntüsü alabiliyor, kullanıcı kimlik bilgileri, giriş verileri ve geçmişi gibi tarayıcı verilerini toplayabiliyor ve yazılan metinleri okuyabiliyor. Çalınan veriler, Windows güncellemelerinin arka planda yapılmasını sağlayan yasal Microsoft Background Intelligent Transfer Service (BITS) uygulaması üzerinden dışarı çıkarılıyor. Zararlı yazılımları uygun veya yasal kodlarla birlikte kullanma eğilimi, saldırganların yeni zararlı yazılım geliştirirken zamandan ve kaynaktan tasarruf etmesini sağlıyor ve takibi zorlaştırıyor.
Kaspersky Lab Güvenlik Araştırmacısı Denis Legezo, “Devlet destekli siber casusluk operasyonlarından söz ettiğimizde, insanlar genellikle uzmanların geliştirdiği karmaşık araçlarla düzenlenen gelişmiş saldırılar hayal ediyor. Ancak bu casusluk operasyonunun arkasındaki kişiler çok yönlü tehdit grupları değil de sistem yöneticileri gibi görünüyor. Bu kişiler elbette kodlama biliyor fakat düzenlenen saldırı yeni ve gelişmiş özellikler veya ayrıntılı kod mimarilerinden çok, mevcut araçların yaratıcı bir şekilde kullanılmasıyla gerçekleştirilmiş. Ancak, basit araçlar bile büyük hasarlara neden olabiliyor. Bu nedenle kurumlara, değerli bilgilerini ve sistemlerini her seviyeden tehdide karşı korumalarını ve saldırı alanının nasıl değiştiğini anlamak için tehdit istihbaratı hizmetinden yararlanmalarını tavsiye ediyoruz.” dedi.
Kaspersky Lab ürünleri Remexi zararlı yazılımının güncel sürümünü Trojan.Win32.Remexi ve Trojan.Win32.Agent olarak tespit ediyor.