btbilgi

2013’ten beri faaliyette olduğu saptanan, teknik açıdan çok gelişmiş bir siber casusluk platformu ortaya çıkartıldı. Kaspersky Lab güvenlik araştırmacılarının TajMahal adını verdiği bu platformun çoklu modüllerden oluştuğu ve daha önce gelişmiş tehdit gruplarında görülmemiş işlevler taşıdığı rapor edilmiş. Şu ana kadar bu platformun hedef aldığı tek bir kurban olduğu ve bunun da Orta Asya’dan yabancı bir elçilik olduğu belirtilmekte. Fakat birçok kurumun bu platformdan etkilenmiş olabileceği düşünülüyor.

Gelişmiş bir APT platformu olan TajMahal’ın siber casusluk operasyonları için en az beş yıldır kullanıldığı belirlenmiş. Tespit edilen en eski örnek Nisan 2013 tarihliyken, en sonuncusu ise Ağustos 2018 tarihli. TajMahal adı çalınan verileri dışarı çıkarmada kullanılan dosyanın adından geliyor. Platformun ‘Tokyo’ ve ‘Yokohama’ adlı iki ana paketten oluştuğu saptanmış durumda.

Daha küçük olan Tokyo’da yaklaşık üç adet modül bulunuyor. Ana arka kapı işlevini içeren bu paket komut ve kontrol sunucularına belirli aralıklarla bağlanıyor. PowerShell’den yararlanan Tokyo, sızma işleminin ikinci aşamasında bile ağda kalmaya devam ediyor.

İkinci aşama ise Yokohama adlı tam donanımlı casusluk paketiyle gerçekleşiyor. Yokohama’da tüm eklentilere sahip bir Sanal Dosya Sistemi (VFS), açık kaynaklı ve özel üçüncü taraf kütüphaneleri ve yapılandırma dosyaları bulunuyor. Paketteki yaklaşık 80 modül arasında yükleme ve yönetim araçları, komut ve kontrol iletişimini sağlayan araçlar, ses ve tuş kaydediciler, ekran ve web kamerası görüntülerini saklayan araçlar, belge ve şifre anahtarı hırsızları yer alıyor.

TajMahal ayrıca tarayıcı çerezlerini de çalabiliyor, Apple mobil cihazları için yedek listeyi toplayabiliyor, CD’ye yazılan verileri ve yazıcı sırasında bekleyen belgeleri alabiliyor. Bir USB bellekten bakılan herhangi bir dosyanın çalınmasını da talep edebiliyor. USB bellek tekrar takıldığında dosya alınıyor.

Kaspersky uzmanları bu tür büyük bir platform yatırımının yalnızca tek bir hedef için yapılmış olmasını mantıklı bulmadıklarını aktarıyorlar. Nihayetinde henüz tespit edilmemiş kurbanlar olduğuna veya bu zararlı yazılımın başka sürümlerinin de bulunduğuna inanılmakta. Bu sıradışı tehdidin dağıtım ve bulaşma vektörlerin henüz bilinmediği de ek bir bilgi olarak verilmiş.

Yorumlar
btbilgi
PAYLAŞ
blank
xTRlarge, Türkiye'nin (TR) üretici ve yenilikçi potansiyelini sergilemek; farklı bakış açılarını, yeni tarzları, x sayıda yeni değeri, girişimi, fikri yansıtmak; teknolojiden doğaya, iş yönetiminden tasarıma, insana dair faaliyetlerin en geniş ufkunu sizlerle mümkün olduğu kadar geniş 'large" paylaşabilmek için yola çıktı. Geleceğe inancı olanlarla birlikte mesafe katetmeyi planlıyor.