Muhendis
New member
ESET araştırmacıları, Candiru casus yazılımla kontağı olan ve Orta Doğu’daki yüksek profilli internet sitelerine yönelik stratejik web ihlali (watering hole-su kaynağı) akınları keşfetti.
Yaşanan durumun medya, hükümet, internet hizmet sağlayıcıları, havacılık ve askeri teknoloji şirketlerinin web sitelerini amaç alan stratejik web ihlalleriyle ilgili amaçlı taarruzlar olduğu araştırma neticelerinda paylaşıldı.
Bu hücumlar Orta Doğu’yla ilgili temasların yanı sıra Yemen’e ve etrafındaki çatışmalara ağır bir biçimde odaklanıyor. Orta Doğu’da bulunan gayeler İran, Suudi Arabistan, Suriye, Yemen olurken Avrupa’dakiler ise İtalya ve İngiltere. Güney Afrika’da maksatlar içinde yer alıyor.
Saldırganlar, Almanya’daki bir medikal fuarı taklit eden bir web sitesi de oluşturdu. Kampanyanın bir İsrail casus yazılım firması olan Candiru ile yakın irtibatları bulunuyor. Bu firma ABD Ticaret Bakanlığı tarafınca yakın vakitte müsaade verilmeyenler listesine alınmıştı.
Firma, hükümet kurumlarına son teknoloji ziyanlı yazılım araçları ve hizmetleri satıyor.
ESET Araştırma Ünitesi tarafınca ortaya çıkarılan ve Yemen’e odaklandığı belirtilen saldırılar, hükümet kurumlarına son teknoloji ziyanlı yazılım araçları ve ilgili hizmetleri satan bir şirket olan Candiru ile irtibatlı. İhlale uğrayan web siteleri İngiltere, Yemen ve Suudi Arabistan’daki medya şirketlerine ve Hizbullah’a ilişkin. Ayrıyeten İran’daki Dışişleri Bakanlığı, Suriye’deki Elektrik Bakanlığı, Yemen’deki İçişleri ve Maliye Bakanlığı, hükümet kurumlarına ilişkin web siteleri de ihlale uğradı. Bu web sitelerinin yanı sıra Yemen’deki ve Suriye’deki internet hizmet sağlayıcıların, İtalya’daki ve Güney Afrika’daki havacılık/askeri teknoloji şirketlerinin web siteleri de hücuma uğradı. Saldırganlar, Almanya’daki bir medikal fuarı taklit eden bir web sitesi de oluşturdu.
Su kaynağı saldırıları
Watering hole – su kaynağı- saldırısı, ilgili gayeler tarafınca ziyaret edilmesi olası web sitelerine sızar ve bu sayede web sitesini ziyaret edenlerin makinesine girmek için fırsat elde eder. Bu maksatlı taarruzda, bu web sitelerinin makul ziyaretçileri tarayıcının suistimal edilmesi yoluyla taarruza uğramış olabilir. Lakin, ESET araştırmacıları suistimal yahut sonuncu yükle ilgili bilgiye ulaşamadı. Bu durum, tehdit aktörlerinin operasyonlarının odağını daraltmayı tercih ettiğini ve sıfır gün suistimallerine ziyan vermek istemediğini göstermenin yanı sıra hücumların ne kadar yüksek düzeyde amaca yönelik olduğunu da gözler önüne seriyor. İhlale uğrayan web siteleri, kesin amaçlara ulaşmak için sırf bir zıplama tahtası olarak kullanılıyor.
Su kaynağı akınlarını gün yüzüne çıkaran ESET araştırmacısı Matthieu Faou bu hususta şunları söylemiş oldu: “2018 yılında, yüksek profilli web sitelerindeki su kaynağı hücumlarını açığa çıkarmak için özel bir şirket içi sistem geliştirdik. 11 Temmuz 2020 tarihinde sistemimiz, Abu Dabi’deki İran elçiliğinin web sitesinin makus emelli JavaScript kodundan etkilendiğiyle ilgili ikaz verdi. Gaye alınan web sitesi yüksek bir profile sahip olduğundan bu bahis ilgimizi çekti ve daha sonraki haftalarda Orta Doğu’yla ilgisi olan öbür web sitelerinin de amaç alındığını fark ettik.”
Matthieu Faou kelamlarına şöyleki devam etti: “Tehdit kümesi 2021 yılının Ocak ayına kadar sessizliğini korudu ve Ocak 2021’de yeni bir ihlal dalgası gözlemledik. Bu ikinci dalga Ağustos 2021’e kadar devam etti. Lakin bu tarihte, tıpkı 2020’de olduğu üzere tüm web siteleri, büyük ihtimalle failler tarafınca temizlendi. Ayrıca saldırganlar Almanya Düsseldorf’da düzenlenen Tıp Alanındaki Dünya Forumu’nun MEDICA Ticaret Fuarı’na ilişkin bir web sitesini de taklit etti. Operatörler, özgün web sitesini klonlayarak web sitesine küçük bir JavaScript kodu modülü ekledi. Büyük ihtimalle saldırganlar, yasal web sitesine sızmayı başaramadı ve berbat emelli kodu yerleştirmek için geçersiz bir web sitesi oluşturmak zorunda kaldı.”
2020 saldırısı sırasında makus maksatlı yazılım, işletim sistemini ve web tarayıcısını denetim ediyordu. Seçim süreci, bilgisayar yazılımına dayalı olduğundan taarruzlar taşınabilir aygıtları amaç almadı. Daha tesirli olmak için ikinci dalgada saldırganlar, aslına bakarsanız ihlale uğramış web sitelerindeki komut belgelerini değiştirmeye başladı.
Faou, atakların Candiru’yla irtibatına dikkate çekerek, durumu şu biçimde deklare etti: “Toronto Üniversitesi’nde Citizen Lab tarafınca yayınlanan Candiru hakkındaki blog yazısının ‘Suudi Temaslı bir Küme mi? (A Saudi-Linked Cluster?) isimli kısmına nazaran, VirusTotal’a ve çeşitli alan isimlerine yüklenen bir kimlik avı dolandırıcılığı dokümanı saldırganlar tarafınca kullanıldı. Alan isimleri eşsiz URL kısaltmalarının ve web tahlili web sitelerinin varyasyonlarından oluşuyor. Bu teknik su kaynağı akınlarındaki alan isimleri için kullanılan teknikle birebirdir.”
Bu niçinle su kaynağı taarruzlarının operatörlerinin Candiru’nun müşterileri olması büyük bir olasılıktır. Evrakları oluşturanlar ve su kaynağı operatörleri de tıpkı olabilir. Candiru, geçtiğimiz günlerde ABD Ticaret Bakanlığı’nın Ticaret Kısıtlama Listesi’ne eklenen İsrailli özel bir casus yazılım şirketidir. Bu niçinle ABD merkezli bir kuruluş, birinci vakit içinderda Ticaret Bakanlığı’ndan lisans almadan Candiru ile iş yapamaz.
Citizen Lab, Google ve Microsoft’un yayınladığı, Candiru’nun aktiflikleri ilgili bilgilere yer veren blog yazılarının yayınlandığı tarihten kısa bir süre daha sonra, yani Temmuz 2021 daha sonrasında ESET bu operasyonla ilgili daha fazla aktifliğe rastlamadı. Operatörler, büyük ihtimalle araçlarını yenilemek ve kampanyayı daha tesirli hale getirmek için orta verdi. ESET Research, önümüzdeki aylarda tekrar aktifliklerine başlayacaklarını düşünüyor.
Hibya Haber Ajansı
Yaşanan durumun medya, hükümet, internet hizmet sağlayıcıları, havacılık ve askeri teknoloji şirketlerinin web sitelerini amaç alan stratejik web ihlalleriyle ilgili amaçlı taarruzlar olduğu araştırma neticelerinda paylaşıldı.
Bu hücumlar Orta Doğu’yla ilgili temasların yanı sıra Yemen’e ve etrafındaki çatışmalara ağır bir biçimde odaklanıyor. Orta Doğu’da bulunan gayeler İran, Suudi Arabistan, Suriye, Yemen olurken Avrupa’dakiler ise İtalya ve İngiltere. Güney Afrika’da maksatlar içinde yer alıyor.
Saldırganlar, Almanya’daki bir medikal fuarı taklit eden bir web sitesi de oluşturdu. Kampanyanın bir İsrail casus yazılım firması olan Candiru ile yakın irtibatları bulunuyor. Bu firma ABD Ticaret Bakanlığı tarafınca yakın vakitte müsaade verilmeyenler listesine alınmıştı.
Firma, hükümet kurumlarına son teknoloji ziyanlı yazılım araçları ve hizmetleri satıyor.
ESET Araştırma Ünitesi tarafınca ortaya çıkarılan ve Yemen’e odaklandığı belirtilen saldırılar, hükümet kurumlarına son teknoloji ziyanlı yazılım araçları ve ilgili hizmetleri satan bir şirket olan Candiru ile irtibatlı. İhlale uğrayan web siteleri İngiltere, Yemen ve Suudi Arabistan’daki medya şirketlerine ve Hizbullah’a ilişkin. Ayrıyeten İran’daki Dışişleri Bakanlığı, Suriye’deki Elektrik Bakanlığı, Yemen’deki İçişleri ve Maliye Bakanlığı, hükümet kurumlarına ilişkin web siteleri de ihlale uğradı. Bu web sitelerinin yanı sıra Yemen’deki ve Suriye’deki internet hizmet sağlayıcıların, İtalya’daki ve Güney Afrika’daki havacılık/askeri teknoloji şirketlerinin web siteleri de hücuma uğradı. Saldırganlar, Almanya’daki bir medikal fuarı taklit eden bir web sitesi de oluşturdu.
Su kaynağı saldırıları
Watering hole – su kaynağı- saldırısı, ilgili gayeler tarafınca ziyaret edilmesi olası web sitelerine sızar ve bu sayede web sitesini ziyaret edenlerin makinesine girmek için fırsat elde eder. Bu maksatlı taarruzda, bu web sitelerinin makul ziyaretçileri tarayıcının suistimal edilmesi yoluyla taarruza uğramış olabilir. Lakin, ESET araştırmacıları suistimal yahut sonuncu yükle ilgili bilgiye ulaşamadı. Bu durum, tehdit aktörlerinin operasyonlarının odağını daraltmayı tercih ettiğini ve sıfır gün suistimallerine ziyan vermek istemediğini göstermenin yanı sıra hücumların ne kadar yüksek düzeyde amaca yönelik olduğunu da gözler önüne seriyor. İhlale uğrayan web siteleri, kesin amaçlara ulaşmak için sırf bir zıplama tahtası olarak kullanılıyor.
Su kaynağı akınlarını gün yüzüne çıkaran ESET araştırmacısı Matthieu Faou bu hususta şunları söylemiş oldu: “2018 yılında, yüksek profilli web sitelerindeki su kaynağı hücumlarını açığa çıkarmak için özel bir şirket içi sistem geliştirdik. 11 Temmuz 2020 tarihinde sistemimiz, Abu Dabi’deki İran elçiliğinin web sitesinin makus emelli JavaScript kodundan etkilendiğiyle ilgili ikaz verdi. Gaye alınan web sitesi yüksek bir profile sahip olduğundan bu bahis ilgimizi çekti ve daha sonraki haftalarda Orta Doğu’yla ilgisi olan öbür web sitelerinin de amaç alındığını fark ettik.”
Matthieu Faou kelamlarına şöyleki devam etti: “Tehdit kümesi 2021 yılının Ocak ayına kadar sessizliğini korudu ve Ocak 2021’de yeni bir ihlal dalgası gözlemledik. Bu ikinci dalga Ağustos 2021’e kadar devam etti. Lakin bu tarihte, tıpkı 2020’de olduğu üzere tüm web siteleri, büyük ihtimalle failler tarafınca temizlendi. Ayrıca saldırganlar Almanya Düsseldorf’da düzenlenen Tıp Alanındaki Dünya Forumu’nun MEDICA Ticaret Fuarı’na ilişkin bir web sitesini de taklit etti. Operatörler, özgün web sitesini klonlayarak web sitesine küçük bir JavaScript kodu modülü ekledi. Büyük ihtimalle saldırganlar, yasal web sitesine sızmayı başaramadı ve berbat emelli kodu yerleştirmek için geçersiz bir web sitesi oluşturmak zorunda kaldı.”
2020 saldırısı sırasında makus maksatlı yazılım, işletim sistemini ve web tarayıcısını denetim ediyordu. Seçim süreci, bilgisayar yazılımına dayalı olduğundan taarruzlar taşınabilir aygıtları amaç almadı. Daha tesirli olmak için ikinci dalgada saldırganlar, aslına bakarsanız ihlale uğramış web sitelerindeki komut belgelerini değiştirmeye başladı.
Faou, atakların Candiru’yla irtibatına dikkate çekerek, durumu şu biçimde deklare etti: “Toronto Üniversitesi’nde Citizen Lab tarafınca yayınlanan Candiru hakkındaki blog yazısının ‘Suudi Temaslı bir Küme mi? (A Saudi-Linked Cluster?) isimli kısmına nazaran, VirusTotal’a ve çeşitli alan isimlerine yüklenen bir kimlik avı dolandırıcılığı dokümanı saldırganlar tarafınca kullanıldı. Alan isimleri eşsiz URL kısaltmalarının ve web tahlili web sitelerinin varyasyonlarından oluşuyor. Bu teknik su kaynağı akınlarındaki alan isimleri için kullanılan teknikle birebirdir.”
Bu niçinle su kaynağı taarruzlarının operatörlerinin Candiru’nun müşterileri olması büyük bir olasılıktır. Evrakları oluşturanlar ve su kaynağı operatörleri de tıpkı olabilir. Candiru, geçtiğimiz günlerde ABD Ticaret Bakanlığı’nın Ticaret Kısıtlama Listesi’ne eklenen İsrailli özel bir casus yazılım şirketidir. Bu niçinle ABD merkezli bir kuruluş, birinci vakit içinderda Ticaret Bakanlığı’ndan lisans almadan Candiru ile iş yapamaz.
Citizen Lab, Google ve Microsoft’un yayınladığı, Candiru’nun aktiflikleri ilgili bilgilere yer veren blog yazılarının yayınlandığı tarihten kısa bir süre daha sonra, yani Temmuz 2021 daha sonrasında ESET bu operasyonla ilgili daha fazla aktifliğe rastlamadı. Operatörler, büyük ihtimalle araçlarını yenilemek ve kampanyayı daha tesirli hale getirmek için orta verdi. ESET Research, önümüzdeki aylarda tekrar aktifliklerine başlayacaklarını düşünüyor.
Hibya Haber Ajansı