TeknoDiot.com
   
     

Kaspersky Lab Uyardı: Teknik Açıdan Çok Gelişmiş Siber Casusluk Platformu Taj Mahal Kurumları Tehdit Ediyor

Kaspersky Lab Uyardı: Teknik Açıdan Çok Gelişmiş Siber Casusluk Platformu Taj Mahal Kurumları Tehdit Ediyor Siber Güvenlik Haberleri

Kaspersky Lab araştırmacıları minimum 2013’ten beri faaliyette olan ve tanınmış tehdit gruplarıyla bağlantısı yokmuş benzer biçimde görünen, teknik açıdan çok gelişmiş bir siber casusluk platformu keşfetti. Araştırmacıların TajMahal adını verdiği bu platform ortalama 80 modülden oluşuyor ve daha önce gelişmiş tehdit gruplarında görülmemiş işlevler taşıyor. Bunlar arasında yazıcı sıralarından data çalmak ve takılan USB cihazlarında daha önce bakılan dosyaları almak bulunuyor. Kaspersky Lab şu ana kadar yalnızca bu platformun hedef aldığı tek bir kurbana rastladı. Orta Asya’dan yabancı bir elçilik haricinde henüz tespit edilen bir kurban olmasa da birçok kurumun bu platformdan etkilenmiş olabileceği düşünülüyor.

Kaspersky Lab araştırmacıları TajMahal’i 2018’in sonlarında keşfetti. Teknik açıdan çok gelişmiş bir APT platformu olan TajMahal, kapsamlı siber casusluk çalışmaları için tasarlandı. Zararlı yazılım üzerinde meydana getirilen analizlerde platformun minimum beş yıldır kullanıldığı belirlendi. Tespit edilen en eski örnek Nisan 2013 tarihliyken en sonuncusu ise Ağustos 2018’de görüldü. TajMahal adı çalınan verileri dışarı çıkarmada kullanılan dosyanın adından geliyor.

TajMahal platformunun ‘Tokyo’ ve ‘Yokohama’ adlı iki ana paketten oluştuğuna inanılıyor.

Daha ufak olan Tokyo’da ortalama üç tane modül bulunuyor. Ana arka kapı işlevini içeren bu paket komut ve kontrol sunucularına belirli aralıklarla bağlanıyor. PowerShell’den yararlanan Tokyo, sızma işleminin ikinci aşamasında bile ağda kalmaya devam ediyor.

İkinci aşfakat ise Yokohama adlı tam donanımlı casusluk paketiyle gerçekleşiyor. Yokohama’da tüm eklentilere haiz bir Sanal Dosya Sistemi (VFS), açık kaynaklı ve özel üçüncü taraf kütüphaneleri ve yapılandırma dosyaları bulunuyor.Paketteki ortalama 80 modül arasında yükleme ve yönetim çalgıları, komut ve kontrol bildirişimini elde eden araçlar, ses ve tuş kaydediciler, ekran ve web kamerası görüntülerini saklayan enstrumanlar, belge ve şifre anahtarı hırsızları yer ediniyor.

Kaspersky Lab Uyardı: Teknik Açıdan Çok Gelişmiş Siber Casusluk Platformu Taj Mahal Kurumları Tehdit Ediyor Siber Güvenlik Haberleri

TajMahal ayrıca tarayıcı çerezlerini de çalabiliyor, Apple mobil cihazları için yedek listeyi toplayabiliyor, CD’ye yazılan verileri ve yazıcı esnasında bekleyen belgeleri alabiliyor. Bir USB bellekten bakılan herhangi bir dosyanın çalınmasını da talep edebiliyor. USB bellek tekrar takıldığında dosya alınıyor.

Kaspersky Lab’ın tespit etmiş olduğu hedeflerde hem Tokyo hem de Yokohama’nın bulunmuş olduğu görüldü. Bu da Tokyo’nun ilk aşamada kullanılarak ilgili hedeflere tam fonksiyonlu Yokohama’yı kurduğunu, arkasından yedekleme amacıyla ayrılmış olduğunı gösteriyor.

Şimdiye kadar gözlemlenen tek kurban Orta Asya’dan yabancı bir diplomatik kurum oldu. Bu kuruma 2014’te sızıldığı belirlendi. TajMahal’in dağıtım ve bulaşma vektörleri hemen hemen bilinmiyor.

Kaspersky Lab Zararlı Yazılım Baş Analisti Alexey Shulmin, “TajMahal platformu çok ilginç etkisi altına alan bir bulgu. Teknik düzeyi şüphe götürmeyecek kadar yüksek olan platformda daha önce hiçbir gelişmiş kalıcı tehdit grubunda görülmeyen işlevler bulunuyor. Bunun hakkında akıllarda kalan bazı sorular var. Örneğin, bu tür büyük bir yatırımın yalnızca tek bir hedef için yapılmış olması pek ihtimal dahilinde değil. Bu da hemen hemen tespit edilmemiş kurbanlar olduğuna yada bu zararlı yazılımın başka sürümlerinin de bulunmuş olduğuna işaret ediyor. Muhtemelen her ikisi de var. Tehdidin dağıtım ve bulaşma vektörleri de henüz bilinmiyor.Platform bir halde beş yıldan fazla süredir gizli saklı kalmayı başarmış. Bunun platformun faaliyet göstermemesinden mi yoksa başka bir nedenden mi olduğu da merak uyandırıyor.TajMahal’in bilindik tehdit gruplarıyla bağlarını gösteren herhangi bir ipucu da bulunmuş değil.” dedi.

Kaspersky Lab Uyardı: Teknik Açıdan Çok Gelişmiş Siber Casusluk Platformu Taj Mahal Kurumları Tehdit Ediyor Siber Güvenlik Haberleri

Kaspersky Lab’ın tüm ürünleri bu tehdidi tespit edip engelleyebiliyor.

Kaspersky Lab araştırmacıları, tanınmış veya tanınmamış bir tehdit grubu tarafından düzenlenen bu tür bir saldırıdan etkilenmemek için şunları öneriyor:

  • Kaspersky Anti Targeted Attack Platform (KATA) gibi gelişmiş güvenlik araçları kullanın ve güvenlik ekibinizin en güncel siber tehdit istihbaratına erişmesini sağlayın.
  • Kurumunuzda kullandığınız tüm yazılımları düzenli bir şekilde güncellediğinizden emin olun. Yeni bir güvenlik yaması yayınlandığında bunu hemen kurun. Açık Değerlendirme ve Yama Yönetimi özelliklerine sahip güvenlik çözümleri, bu işlemleri otomatik hale getirmenize yardımcı olur.
  • Açıklar da dahil olmak üzere bilinen ve bilinmeyen tehditlere karşı etkili koruma için davranış tabanlı tespit özellikleriyle donatılan, Kaspersky Endpoint Security gibi başarısı kanıtlanmış bir güvenlik çözümünü tercih edin.
  • Ekibinizin temel siber güvenlik önlemlerini almasını sağlayın. Çoğu hedefli saldırıların kimlik avı veya diğer sosyal mühendislik yöntemleriyle başladığını unutmayın.

TajMahal APT platformu hakkındaki raporu Securelist sayfasında bulabilirsiniz.