Siber Güvenlik Portalı

  1. Anasayfa
  2. »
  3. Haberler
  4. »
  5. Rus Hackerlar Tomiris Yazılımı ile Orta Asya’dan İstihbarat Topluyor

Rus Hackerlar Tomiris Yazılımı ile Orta Asya’dan İstihbarat Topluyor

Siber Güvenlik Portalı Siber Güvenlik Portalı - - 5 dk okuma süresi
301 0
Rus hackerlar tomiris yazılımı 2

Siber savaş hız kesmeden devam ediyor, Rus Hackerlar Tomiris Yazılımı ile Orta Asya’dan İstihbarat Topluyor 

Kaspersky’nin yeni bulguları, Rus hackerlar Tomiris yazılımı olarak bilinen bir arka kapının arkasındaki Rusça konuşan siber korsanların öncelikle Orta Asya’da istihbarat toplamaya odaklandığını ortaya koyuyor.

Güvenlik araştırmacıları Pierre Delcher ve Ivan Kwiatkowski bugün yayınlanan bir analizde, “Tomiris’in son saldırısı sürekli olarak iç belgelerin düzenli çalınması gibi görünüyor” dedi. “Tehdit aktörü, BDT’DEKİ hükümeti ve diplomatik kuruluşları hedef alıyor.”

Rus siber güvenlik firmasının son değerlendirmesi, hacker ekibinin 2021 ile 2023 yılları arasında düzenlediği üç yeni saldırıya dayanıyor.

Tomiris ilk olarak Eylül 2021’de Kaspersky’nin SolarWinds tedarik zinciri saldırısının arkasındaki Rus ulus devlet grubu Nobelium (diğer adıyla APT29, Cozy Bear veya Midnight Blizzard) ile potansiyel bağlantılarını vurgulamasıyla ortaya çıktı.

Rus hackerlar tomiris yazılımı

Arka kapı ile Turla grubuna (Kripton, Gizli Kar Fırtınası, Zehirli Ayı veya Uroburos) atfedilen Kazuar adlı başka bir kötü amaçlı yazılım türü arasında da benzerlikler ortaya çıkarıldı.

Grup tarafından gerçekleştirilen siber saldırıları, farklı programlama dillerinde kodlanan ve aynı hedeflere karşı art arda dağıtılan çeşitli düşük karmaşıklıkta “yazıcı” oluşan bir “çok dilli araç setinden” yararlandı.

Açık kaynaklı veya piyasada bulunan saldırı araçlarını kullanmanın yanı sıra, grup tarafından kullanılan özel kötü amaçlı yazılım cephaneliği üç kategoriden birine girer: indiriciler, arka kapılar ve bilgi hırsızları –

Telemiris – Telegram’ı komut ve kontrol (C2) kanalı olarak kullanan bir Python arka kapısı.
Roopy – İlgilendiğiniz dosyaları her 40-80 dakikada bir çalmak ve uzak bir sunucuya aktarmak için tasarlanmış Pascal tabanlı bir dosya hırsızı.
JLORAT – Sistem bilgilerini toplayan, C2 sunucusu tarafından verilen komutları çalıştıran, dosya yükleyip indiren ve ekran görüntüleri yakalayan Rust ile yazılmış bir dosya hırsızı.
Kaspersky’nin saldırılarla ilgili soruşturması, Google’ın sahip olduğu Mandiant tarafından UNC4210 adı altında izlenen bir Turla kümesiyle çakışmaları daha da ortaya çıkardı ve SESSİZKANAR (Tünelli) implantın Telemiris aracılığıyla bdt’deki bir hükümet hedefine karşı yerleştirildiğini ortaya çıkardı.

Araştırmacılar, “Daha doğrusu, 13 Eylül 2022’de, 05: 40 UTC civarında, bir operatör Telemiris aracılığıyla bilinen birkaç Tomiris aracını yerleştirmeye çalıştı: önce bir Python Meterpreter yükleyici, ardından JLORAT ve Roopy” dedi.

İlginizi çekebilecek yazımız.

İlgili Yazı: ABD Siber Güvenlik Ajansı Üç Güvenlik Açığı Duyurdu

“Bu çabalar, saldırganın dosya sistemindeki çeşitli konumlardan tekrarlanan girişimlerde bulunmasına neden olan güvenlik ürünleri tarafından engellendi. Bütün bu girişimler başarısızlıkla sonuçlandı. Bir saatlik bir duraklamadan sonra operatör, bu sefer TunnusSched/ QUIETCANARY örneği kullanarak 07: 19 UTC’de tekrar denedi. TunnusSched örnek de engellendi.”

Bununla birlikte, iki grup arasındaki potansiyel bağlara rağmen, Tomiris’in hedefleme ve zanaatlarındaki farklılıklar nedeniyle Turla’dan ayrı olduğu ve bir kez daha sahte bayrak operasyonu olasılığını artırdığı söyleniyor.

Öte yandan, Rus askeri istihbarat teşkilatlarının Moskova merkezli bir BT yüklenicisi tarafından sağlanan araçları kullanmasıyla örneklendiği gibi, Turla ve Tomiris’in belirli operasyonlar üzerinde işbirliği yapması veya her iki hacker grubunun da ortak bir yazılım sağlayıcısına güvenmesi de oldukça olasıdır.

Araştırmacılar, “Genel olarak Tomiris, denemeye açık, çok çevik ve kararlı bir aktör” dedi ve “Tomiris ile Turla arasında kasıtlı bir işbirliği biçimi var.”

Haber Kaynağı: The Hacker News

İlgili Yazılar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir