Avrupalı diplomatlar siber casusların hedefinde

ESET, Lunar araç setinin en az 2020’den beri kullanıldığına inanıyor. ESET araştırmacıları taktikler, teknikler ve prosedürler ile geçmiş faaliyetler arasındaki benzerlikler göz önüne alındığında bu tehlikeleri kötü şöhretli Rusya’ya bağlı siber casusluk grubu Turla’ya atfediyor. Kampanyanın amacı siber casusluk.

Tanımlanamayan bir sunucuda konuşlandırılan ve bir dosyanın şifresini çözüp yük yükleyen bir yükleyicinin ESET Research tarafından tespit edilmesiyle süreç başladı. Bu, ESET araştırmacılarını, ESET’in LunarWeb adını verdiği, daha önce bilinmeyen bir arka kapının keşfine götürdü. Daha sonra, diplomatik bir misyonda konuşlandırılmış LunarWeb ile benzer bir zincir tespit edildi. Saldırganın, komuta ve kontrol (C&C) iletişimi için farklı bir yöntem kullanan ve ESET’in LunarMail olarak adlandırdığı ikinci bir arka kapıya da yer vermesi dikkat çekti. Başka bir saldırı sırasında ESET, LunarWeb’li bir zincirin, bir Avrupa ülkesinin Orta Doğu’daki üç diplomatik misyonunda, birbirlerinden birkaç dakika içinde eşzamanlı olarak konuşlandırıldığını gözlemledi. Saldırgan muhtemelen dışişleri bakanlığının etki alanı denetleyicisine önceden erişmiş ve bunu aynı ağdaki ilgili kurumların makinelerine yanal hareket için kullanmıştı.

Sunucularda konuşlandırılan LunarWeb, C&C iletişimleri için HTTP(S) kullanır ve meşru istekleri taklit ederken iş istasyonlarında konuşlandırılan LunarMail, bir Outlook eklentisi olarak varlığını sürdürür ve C&C iletişimleri için e-posta mesajlarını kullanır. Her iki arka kapı da tespit edilmekten kaçınmak için komutların görüntülere gizlendiği bir teknik olan steganografi kullanmakta. Yükleyicileri, saldırganlar tarafından kullanılan gelişmiş teknikleri gösteren truva atı haline getirilmiş açık kaynaklı yazılımlar da dahil olmak üzere çeşitli biçimlerde bulunabilir.

Lunar araç setini keşfeden ESET araştırmacısı Filip Jurčacko “Ele geçirmelerde farklı gelişmişlik dereceleri gözlemledik. Örneğin, güvenlik yazılımı tarafından taranmayı önlemek için ele geçirilen sunucuya dikkatli kurulum, kodlama hataları ve arka kapıların farklı kodlama stilleri ile tezat oluşturuyor. Bu durum, bu araçların geliştirilmesi ve çalıştırılmasında muhtemelen birden fazla kişinin yer aldığını gösteriyor.” dedi.

Kurtarılan kurulumla ilgili bileşenler ve saldırgan etkinliği, olası ilk tehlikenin, spearphishing ve yanlış yapılandırılmış ağ ve uygulama izleme yazılımı Zabbix’in kötüye kullanılması yoluyla gerçekleştiğini gösteriyor. Ayrıca saldırgan zaten ağ erişimine sahipti, yanal hareket için çalıntı kimlik bilgilerini kullandı ve şüphe uyandırmadan sunucuyu tehlikeye atmak için dikkatli adımlar attı. Başka bir tehlikede, araştırmacılar, muhtemelen bir spearphishing e-postasından gelen eski bir kötü amaçlı Word belgesi buldular.  LunarWeb, bilgisayar ve işletim sistemi bilgileri, çalışan işlemlerin listesi, hizmetlerin listesi ve yüklü güvenlik ürünlerinin listesi gibi bilgileri toplar ve sistemden dışarı sızdırır.  LunarWeb, dosya ve süreç işlemleri ve kabuk komutlarının çalıştırılması dahil olmak üzere yaygın arka kapı yeteneklerini destekler. İlk çalıştırmada, LunarMail arka kapısı alıcıların gönderilen e-posta mesajlarından (e-posta adresleri) bilgi toplar. Komut yetenekleri açısından LunarMail daha basittir ve LunarWeb’de bulunan komutların bir alt kümesini içerir. Bir dosya yazabilir, yeni bir işlem oluşturabilir, ekran görüntüsü alabilir ve C&C iletişim e-posta adresini değiştirebilir. Her iki arka kapı da Lua komut dosyalarını çalıştırabilme gibi sıra dışı bir yeteneğe sahiptir.

Snake olarak da bilinen Turla en az 2004’ten beri aktif, hatta muhtemelen 1990’ların sonlarına kadar uzanıyor. Rus FSB’sinin bir parçası olduğuna inanılan Turla, çoğunlukla Avrupa, Orta Asya ve Orta Doğu’daki hükümetler ve diplomatik kuruluşlar gibi yüksek profilli kurumları hedef almakta. Grup, 2008’de ABD Savunma Bakanlığı ve 2014’te İsviçreli savunma şirketi RUAG da dahil olmak üzere büyük kuruluşlara sızmakla ünlü.