Crouching Yeti aktif ve hedefte Türkiye de var

0

Crouching Yeti halen aktif ve de kurban listesini genişletmek istiyor.Kaspersky Lab, şirketin Global Araştırma ve Analiz Ekibi (GReAT) tarafından yapılan, Crouching Yeti olarak bilinen siber casusluk kampanyasına ilişkin detayları açıkladı. Kökeni 2010 yılı sonlarına kadar uzanan ve bugün de kesinlikle hala hayatta olan kampanya her gün yeni kurbanlarını arıyor.

Kaspersky Lab Baş Güvenlik Araştırmacısı Nicolas Brulez, bu tehditle ilgili şöyle konuştu:

Energetic Bear, Crowd Strike tarafından kendi terminolojilerine göre bu kampanyaya verilen ilk isim olmuştu. Crowd Strike bu kampanyanın Rus kökenli olduğuna inanıyor. Kaspersky Lab, hala mevcut tüm ipuçlarını araştırıyor; ancak şu anda her iki tarafta da güçlü bir sonuca ulaşılamadı. Ayrıca yaptığımız analizler, saldırganların küresel odağının elektrik üreticilerinden çok daha geniş olduğunu göstermekte. Bu verilere dayanarak, bu olguya yeni bir isim vermeye karar verdik: Bir ayıyı andıran ve gizemli bir kökene sahip bir Yeti.”

Birçok farklı sektörü tehdit ediyor

Energetic Bear/Crouching Yeti, çok sayıda gelişmiş sürekli tehdit (APT) kampanyasına dahil oldu. Kaspersky Lab’ın araştırmasına göre kurbanlarının, önceden düşünüldüğünden çok daha geniş bir aralıkta işletmeler olduğu görülüyor. Kurbanlar büyük oranda endüstriyel/makine, üretim, ilaç, inşaat, eğitim ve bilgi teknolojileri sektörlerinden.

Bilinen kurbanların toplam sayısı dünya çapında 2.800’den fazla. Bunların arasında Kaspersky Lab araştırmacılarının tanımlamayı başardığı 101 organizasyon da bulunuyor. Bu kurban listesi, Crouching Yeti’nin stratejik hedeflere olan ilgisini ortaya koysa da aynı zamanda çok sayıda çok bilinmeyen diğer kurumlardaki bazı gruplarla da ilgilendiğini gösteriyor.

Kaspersky Lab uzmanları, bu grupların ikincil kurbanlar olabileceğine, ancak yine de Crouching Yeti’yi yalnızca oldukça belirli bir alanda üst düzey hedefleri olan bir kampanya olarak değil, aynı zamanda farklı sektörlerde çıkarları olan geniş bir kampanya olara yeniden tanımlamanın mantıklı olabileceğine inanmakta.

Saldırıya uğrayan kuruluşlar çoğunlukla Amerika Birleşik Devletleri, İspanya ve Japonya’da bulunurken, Almanya, Fransa, İtalya, Türkiye, İrlanda, Polonya ve Çin’de de kurbanlar oldu. Bilinen kurbanların niteliği göz önüne alındığında, saldırıların temel etkisinin ticari sırlar ve teknik bilgi gibi oldukça hassas bilgilerin ortaya çıkması olduğu görülmüş.

Crouching Yeti’nin sofistike bir kampanya olduğunu söylemek zor. Örneğin, saldırganların günlük açıklardan yararlanan yazılımlar yerine İnternet üzerinde yaygın olarak bulunan açıklardan yararlanma amaçlı kodlar kullandıkları görülmüş. Yine de bu durum, kampanyanın birkaç yıl boyunca radar altında kalmasına engel olmamış.

 

640-640x320

 

Kökeni gizemli

Kaspersky Lab araştırmacıları, bu kampanyanın arkasındaki suçluların ulusal kökenini işaret edebilecek bazı meta özellikler olduğunu gözlemlemiş. Özellikle, 154 adet dosyada zaman damgası analizi yapılmış ve örneklerin çoğunun 06:00 ve 16:00 UTC arasında derlendiği sonucuna varılmış. Bu da Doğu Avrupa’nın yanı sıra Avrupa’daki herhangi bir ülkeyi işaret edebilir.

Uzmanlar ayrıca aktörün dilini de analiz etti. Analiz edilen kötü amaçlı yazılımda bulunan dizeler (anadili İngilizce olmayanlar tarafından yazılmış) İngilizce. Bu kampanyayı analiz etmiş birçok araştırmacının aksine Kaspersky Lab uzmanları, bu aktörün Rus kökenli olduğu gibi kesin bir sonuca ulaşamamış. Neredeyse 200 adet kötü niyetli ikili dosyanın ve ilgili operasyonel içeriğin tamamında, Kaspersky Lab’ın Red October, Miniduke, Cosmicduke, Snake ve TeamSpy araştırmaları sonucu belgelediği bulguların aksine, Kiril içeriğin (veya çevirisinin) eksikliği mevcuttur. Ayrıca, Fransızca ve İsveççe konuşulduğuna dair ipuçları da bulunmuş.

Emniyet teşkilatı ve endüstri ortakları ile birlikte çalışan Kaspersky Lab uzmanları, bu kampanyayla ilgili araştırmalar yapmaya devam ediyor. Araştırmanın tam metnine Securelist.com adresinden ulaşabilirsiniz.

Yorum Ekle

Posta adresiniz, gizli kalacaktır.

İzin verilen HTML tagları, <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>