Anasayfa / Genel / Rus Hackerların Saldırılarda Gmail ’in Kullanıcı Arayüzünü Kullandığı Belirlendi

Rus Hackerların Saldırılarda Gmail ’in Kullanıcı Arayüzünü Kullandığı Belirlendi

Siber güvenlik araştırmacıları, değişik devletlerin kurumlarına yaptıkları saldırılarla belli Rus hacker grubu Turla ’nın bilinen yazılım araçlarından ComRAT ’ın gelişmiş bir sürümünü ortaya çıkardıklarını açıkladılar. 

Siber güvenlik şirketi ESET ’cilt yapılan açıklamada, Turla ’nın ComRAT ’a komut göndermek ve elde edilen verilere varmak için Gmail ’i kullandığı açıklandı. ESET, Turla ’nın siber saldırı için alışılmışın haricen yöntemleri kullandığını, Gmail ’in kullanılmasının da bu alışılmamış yöntemlerden olduğu belirtti. 

Rus hacker grubu Turla, 2004 yılından beri öbür ülkelerin askeri ve sivil kurumlarına yaptıkları saldırılarla ün kazanmıştı. Hacker grubunun kullandığı araçlarından en etkilisi olan ComRAT ’ın geliştirilme tarihi 2007 yılına değin dayanıyor. 

Turla ComRAT

ABD Merkez Komutanlığı ’nın Afganistan ve Irak savaş bölgelerini denetlemek için kullandığı bilgisayarlar dahil elde etmek üzere çoğu devlet kurumunun bilgisayarını maksat aldığı belirlenen ComRAT sayesinde Turla ’nın kayda değer bilgilere ulaştığı düşünülüyor. 

ComRAT ’ın mevcut versiyonu ESET kadar ilk olarak 2017 yılında saptandı. Turla ’nın siber hamle arabulucu o günden bu yanlamasına Doğu Avrupa ’daki iki ülkenin dışişleri bakanlığının ve Kafkasya ’da bulunan bir parlamentonun bilgisayarlarını gaye aldı.

Turla ComRAT

ESET ’in yaptığı yeni araştırmada ComRAT ’ın son versiyonunun 2020 başında hala aktif olarak kullanıldığı belirlendi. ESET, Turla ’nın ComRAT ’a komut göndermek ve gözden geçirmek için Gmail ’in kullanıcı arayüzünün yanında eski bir HTTP iletişim kanalını kullandığını açıkladı. 

Kasım 2019 ’da derlendiği belirlenen ComRAT ’ın yeni versiyonu, Turla operatörleri kadar diğer e-posta sağlayıcılarından gönderilen şifreli komutları içeren posta eklerini indirmek için Gmail ’e bağlanıyor. 

Turla ’nın özel atak arabulucu ComRAT ’ın yeni versiyonunun detayları

Turla ComRAT

ComRAT ’ın yeni versiyonu önceki ComRAT sürümlerine kıyasla epeyce karmaşık yeni bir kod yapısına sahip durumda. ESET, son versiyonun eski HTTP C&C protokolüne sahip olduğunu ve Turla ’nın başka bir fena amaçlı yazılımıyla bazı ağ altyapılarını paylaştığını açıkladı. 

ComRAT V4 olarak isimlendirilen son versiyon baştan sona çalınan bilgiler, Turla ’nın öteki araçlarıyla güvenliği ihlal edilmiş sistemlerine ulaştırıldı. Güvenliği ihlal edilmiş diğer bir cihaza gönderilen bilgilerin dışarı aktarılması için ise 4shared ve OneDrive gibi bulut hizmetleri kullanıldığı belirlendi. 

ESET, Turla ’nın yazılım araçlarını ilerletmek ve güvenlik yazılımlarından sakınmak için kayda değer bir alıştırma yürüttüğünü de açıkladı. ESET ’e kadar Turla yazılım örneklerinin algılanıp algılanmadığını kavramak için güvenlikle ilgili dosyalarını düzenli olarak genişletiyor. 

ComRAT, güvenlik yazılımlarını atlatmak için özel olarak tasarlandı

Turla ComRAT

ESET ’te görevli olan fena amaçlı yazılım araştırmacısı Matthieu Faou, ComRAT ’ın son versiyonunun Turla ’nın gelişim düzeyini ve girmeyi başardıkları bilgisayarda uzun süre kalmayı düşündüklerini gösterdiğini söyledi. 

Faou, ComRAT ’ın son versiyonunun Gmail ’in web sürümünün kullanıcı arayüzünü kullanması nedeniyle güvenlik yazılımlarının kontrollerinden kaçabildiğini söyledi. Faou, saldırıya uğrayan bilgisayarlarda yaptıkları tahlil sonucunda ComRAT ’ın Turla kadar kullanıldığını belirlediklerini söyledi. 

ComRAT ’ın son versiyonunun ESET göre belirlenmesinin yanına bu ayın başında Kaspersky de bir Turla yazılımı tespit etti. Kaspersky ’den yapılan açıklamada COMpfun ismi verilen aracın Avrupa ’daki diplomatik kurumlara karşın saldırılarda kullanıldığı açıklandı. 

Hakkında admin

Check Also

Porsche Taycan Satışları Beklentileri Karşılayacak

Porsche Taycan Satışları Beklentileri Karşılayacak

2020 yılı hemen hiçbir şey için iyi geçen bir yıl olmadı. Otomobil üreticileri ise pandemi …

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir