enflasyonemeklilikötvdövizakpchpmhp
DOLAR
34,5424
EURO
36,0063
ALTIN
3.006,41
BIST
9.549,89
Adana Adıyaman Afyon Ağrı Aksaray Amasya Ankara Antalya Ardahan Artvin Aydın Balıkesir Bartın Batman Bayburt Bilecik Bingöl Bitlis Bolu Burdur Bursa Çanakkale Çankırı Çorum Denizli Diyarbakır Düzce Edirne Elazığ Erzincan Erzurum Eskişehir Gaziantep Giresun Gümüşhane Hakkari Hatay Iğdır Isparta İstanbul İzmir K.Maraş Karabük Karaman Kars Kastamonu Kayseri Kırıkkale Kırklareli Kırşehir Kilis Kocaeli Konya Kütahya Malatya Manisa Mardin Mersin Muğla Muş Nevşehir Niğde Ordu Osmaniye Rize Sakarya Samsun Siirt Sinop Sivas Şanlıurfa Şırnak Tekirdağ Tokat Trabzon Tunceli Uşak Van Yalova Yozgat Zonguldak
İstanbul
Çok Bulutlu
10°C
İstanbul
10°C
Çok Bulutlu
Pazartesi Parçalı Bulutlu
11°C
Salı Parçalı Bulutlu
12°C
Çarşamba Az Bulutlu
13°C
Perşembe Az Bulutlu
15°C

Casusluk grubunun hedefi diplomatlar

Casusluk grubunun hedefi diplomatlar
11.08.2023 11:49
4
A+
A-

2014'ten beri aktif olduğu belirtilen grup, Belarus'taki Avrupalılar dahil olmak üzere yalnızca yabancı büyük elçilikleri hedefliyor. 2020'den beri MoustachedBouncer, hedeflerine saldırmak için Belarus’ta ISP seviyesinde ortadaki düşman (AitM) saldırılarını gerçekleştirebiliyor. Grup, ESET'in NightClub ve Disco olarak adlandırdığı iki ayrı araç seti kullanıyor. 

ESET telemetrisine göre, grup Belarus’taki yabancı büyükelçilikleri hedef alıyor. İkisi Avrupa, biri Güney Asya ve biri Afrika’da olmak üzere elçilik personelinin hedef alındığı dört ülke belirlendi. ESET, MoustachedBouncer'ın ve büyük olasılıkla Belarus’un çıkarlarının ortak olduğunu, özellikle Belarus’taki yabancı büyükelçiliklere karşı casusluk konusunda uzmanlaştığını belirtiyor. MoustachedBouncer, Disco implantı için ISP düzeyinde ağ müdahalesi, NightClub implantı için e-postalar ve NightClub eklentilerinden birinde DNS dahil olmak üzere Komuta ve Kontrol (C&C) iletişimleri için gelişmiş teknikler kullanıyor.

 Seçilmiş hedeflere yönelik kullanılıyor

ESET Research, MoustachedBouncer'ı ayrı bir grup olarak takip ederken; grubun 2023 yılında Polonya ve Ukrayna dahil olmak üzere birçok Avrupa ülkesinin hükumet personelini hedef alan başka bir aktif casusluk grubu olan Winter Vivern ile işbirliği yaptığına dair -ESET tarafından zayıf olarak değerlendirilen- unsurlar bulundu. MoustachedBouncer operatörleri, hedeflerini tehlikeye atmak için kurbanlarının internet erişimine muhtemelen ISP seviyesinde müdahale ederek Windows'u bir tutsak portalın arkasında olduğuna inandırıyor.

Yeni tehdit grubunu keşfeden ESET araştırmacısı Matthieu Faou, “MoustachedBouncer tarafından hedeflenen IP aralıkları için, ağ trafiği görünüşte meşru ancak sahte bir Windows Update sayfasına yönlendiriliyor,” dedi. “Bu ortadaki düşman tekniği, tüm ülke genelinde değil ama belki de sadece büyükelçilikler gibi seçilmiş bazı kuruluşlara karşı kullanılıyor. Ortadaki düşman senaryosu, bize ISP seviyesinde yazılım indirenlere, indirme sırasında truva atı gönderen tehdit grubu olan Turla ve StrongPity’yi hatırlatıyor.”

Ses kaydı, ekran görüntüsü alabiliyor, ekran tuşlarını kaydedebiliyor

ESET Araştırmacısı, “Elçilik ağlarına ortadaki düşman (AitM) saldırıları gerçekleştirmek için yönlendiricilerin ele geçirilmesi ihtimali göz ardı edilemezken, Belarus'ta yasal dinleme unsurlarının varlığı, trafiğin hedeflerin yönlendiricileri yerine ISP düzeyinde gerçekleştiğini gösteriyor,” şeklinde durumu açıkladı. 

2014'ten bu yana MoustachedBouncer tarafından kullanılan kötü amaçlı yazılım ailesi gelişti ve 2020'de grubun ortadaki düşman saldırılarını kullanmaya başlamasıyla büyük bir değişiklik oldu. MoustachedBouncer, iki implant ailesini paralel olarak çalıştırıyor ancak belirli bir makinede aynı anda yalnızca bir tanesi yerleştiriliyor. ESET, Disco'nun AitM saldırılarıyla bağlantılı olarak kullanıldığına inanırken NightClub, internet trafiğinin Belarus’un dışına yönlendirildiği uçtan uca şifreli bir VPN kullanımı gibi bir azaltma nedeniyle ISP düzeyinde trafik müdahalesinin mümkün olmadığı kurbanlar için kullanılıyor.

Faou, "Buradan alınması gereken mesaj, İnternetin güvenilir olmadığı yabancı ülkelerdeki kuruluşların, herhangi bir ağ inceleme cihazını atlatmak için tüm İnternet trafiklerinde güvenilir bir konuma yönlendiren uçtan uca şifreli bir VPN tüneli kullanmaları gerektiğidir. Aynı zamanda yüksek kaliteli, güncel bilgisayar güvenliği yazılımı kullanmaları da gerekir.” dedi.

NightClub implantı, verileri sızdırmak için Çek web posta hizmeti Seznam.cz ve Rus Mail.ru web posta sağlayıcısı gibi ücretsiz e-posta hizmetlerini kullanıyor. ESET, saldırganların yasal e-posta hesaplarını tehlikeye atmak yerine kendi e-posta hesaplarını oluşturduklarına inanıyor.  Tehdit grubu, dosyaları çalmaya ve harici olanlar da dahil sürücüleri izlemeye odaklanıyor. NightClub implantının yapabildikleri arasında ses kaydı, ekran görüntüsü alma ve klavye tuş vuruşlarını kaydetmek yer alıyor.

Hibya Haber Ajansı

Yorumlar

Henüz yorum yapılmamış. İlk yorumu yukarıdaki form aracılığıyla siz yapabilirsiniz.