Rus Hackerlar, Hücumlarda Gmail’i Kullanıyormuş

Siber güvenlik araştırmacıları, çeşitli devletlerin kurumlarına yaptıkları hücumlarla tanınan Rus hacker kümesi Turla’nın bilinen yazılım araçlarından ComRAT’ın gelişmiş bir sürümünü ortaya çıkardıklarını açıkladılar. 

Siber güvenlik şirketi ESET’ten yapılan açıklamada, Turla’nın ComRAT’a komut göndermek ve elde edilen bilgilere ulaşmak için Gmail’i kullandığı açıklandı. ESET, Turla’nın siber hücum için alışılmışın dışında prosedürleri kullandığını, Gmail’in kullanılmasının da bu alışılmamış usullerden olduğu belirtti. 

Rus hacker kümesi Tıpla, 2004 yılından beri farklı ülkelerin askeri ve sivil kurumlarına yaptıkları ataklarla ün kazanmıştı. Hacker kümesinin kullandığı araçlarından en tesirlisi olan ComRAT’ın geliştirilme tarihi 2007 yılına kadar dayanıyor. 

ABD Merkez Komutanlığı’nın Afganistan ve Irak savaş bölgelerini denetlemek için kullandığı bilgisayarlar dahil olmak üzere birçok devlet kurumunun bilgisayarını maksat aldığı belirlenen ComRAT sayesinde Turla’nın kıymetli bilgilere ulaştığı düşünülüyor. 

ComRAT’ın mevcut versiyonu ESET tarafından birinci olarak 2017 yılında tespit edildi. Turla’nın siber atak aracı o günden bu yana Doğu Avrupa’daki iki ülkenin dışişleri bakanlığının ve Kafkasya’da bulunan bir parlamentonun bilgisayarlarını hedef aldı.

ESET’in yaptığı yeni araştırmada ComRAT’ın son versiyonunun 2020 başında hala etkin olarak kullanıldığı belirlendi. ESET, Turla’nın ComRAT’a komut göndermek ve denetim etmek için Gmail’in kullanıcı arayüzünün yanında eski bir HTTP bağlantı kanalını kullandığını açıkladı. 

Kasım 2019’da derlendiği belirlenen ComRAT’ın yeni versiyonu, Tıpla operatörleri tarafından başka e-posta sağlayıcılarından gönderilen şifreli komutları içeren posta eklerini indirmek için Gmail’e bağlanıyor. 

Turla’nın özel taarruz aracı ComRAT’ın yeni versiyonunun ayrıntıları

ComRAT’ın yeni versiyonu evvelki ComRAT sürümlerine kıyasla hayli karmaşık yeni bir kod yapısına sahip durumda. ESET, son versiyonun eski HTTP C&C protokolüne sahip olduğunu ve Turla’nın öteki bir makus emelli yazılımıyla birtakım ağ altyapılarını paylaştığını açıkladı. 

ComRAT V4 olarak isimlendirilen son versiyon sayesinde çalınan bilgiler, Turla’nın başka araçlarıyla güvenliği ihlal edilmiş sistemlerine ulaştırıldı. Güvenliği ihlal edilmiş öteki bir aygıta gönderilen bilgilerin dışarı aktarılması için ise 4shared ve OneDrive üzere bulut hizmetleri kullanıldığı belirlendi. 

ESET, Turla’nın yazılım araçlarını geliştirmek ve güvenlik yazılımlarından kaçınmak için değerli bir çalışma yürüttüğünü de açıkladı. ESET’e nazaran Çeşitle yazılım örneklerinin algılanıp algılanmadığını anlamak için güvenlikle ilgili belgelerini sistemli olarak genişletiyor. 

ComRAT, güvenlik yazılımlarını atlatmak için özel olarak tasarlandı

ESET’te misyonlu olan berbat emelli yazılım araştırmacısı Matthieu Faou, ComRAT’ın son versiyonunun Turla’nın gelişim düzeyini ve girmeyi başardıkları bilgisayarda uzun mühlet kalmayı düşündüklerini gösterdiğini söyledi. 

Faou, ComRAT’ın son versiyonunun Gmail’in web sürümünün kullanıcı arayüzünü kullanması nedeniyle güvenlik yazılımlarının denetimlerinden kaçabildiğini söyledi. Faou, atağa uğrayan bilgisayarlarda yaptıkları inceleme sonucunda ComRAT’ın Cinsle tarafından kullanıldığını belirlediklerini söyledi. 

ComRAT’ın son versiyonunun ESET tarafından belirlenmesinin yanında bu ayın başında Kaspersky de bir Tıpla yazılımı tespit etti. Kaspersky’den yapılan açıklamada COMpfun ismi verilen aracın Avrupa’daki diplomatik kurumlara yönelik hücumlarda kullanıldığı açıklandı.