Karma Panda olarak da bilinen ‘CactusPete’ siber suç grubunun faaliyetleri 2012 yılından beri takip edilmekte. Ağırlıklı olarak siber casusluk operasyonları düzenlediği raporlanan grup, sistemlere sızmakta kullandığı ‘Bisonal’ isimli arka kapısının güncel sürümü ile kendine yeni hedefler arıyor. Siber güvenlik dünyasında iyi bilinen grubun, şu aralar Doğu Avrupa kökenli askeri ve finansal kurumları hedef aldığı bilgisi verilmiş.
Güvenlik firması Kaspersky’nin uzmanları tarafından Şubat 2020’de fark edilen yeni dalga saldırılar, ayrıntılı incelemeler sonucunda saptanabilmiş. Araştırmacılar bir dizi saldırıda tespit edilen zararlı kodları, bilinen tehdit gruplarının kullandığı kodlarla karşılaştırıp aralarındaki benzerlikleri yakalayarak CactusPete APT (gelişmiş kalıcı tehdit) grubuna erişmişler. Mart 2019 ile Nisan 2020 arasında saptanan 300 örnek arasında bağlantı bulan araştırmacılar, ayda yaklaşık 20 örneğin ortaya çıktığını açıklıyorlar. Bu da grubun çok hızlı şekilde geliştiğinin somut bir göstergesi denilmekte.
Saptanan zararlı kodların işlevi incelendiğinde, siber suç grubunun hassas bilgilerin peşinde olduğu farkedilmiş. Grubun kullandığı Bisonal arka kapısı hedeflenen sistemlere yüklendiği anda, kurban fark edemeden sistemde çeşitli programlar çalıştırılabiliyor. Saldırganlar isterlerse sistemdeki işlemleri sonlandırabiliyor, dosya indirebiliyor, yükleyebiliyor ve silebiliyorlar, ayrıca mevcut sürücülerin listesine ulaşabiliyorlar.
Operatörler sistemde daha derine ilerledikçe, cihazlarda basılan tuşları takip eden yazılımlar aracılığı ile kimlik bilgilerini ele geçirebilmekteler. Zamanla yetki artırma yazılımları kurularak, tüm sistem üzerinde daha fazla kontrol elde etmelerini de mümkün. Fakat son saptanan saldırıda arka kapının sisteme nasıl kurulduğu bile anlaşılamamış.
Kaspersky Kıdemli Güvenlik Araştırmacısı Konstantin Zykov şu bilgileri aktarmış: “CactusPete son derece ilginç bir APT grubu çünkü Bisonal arka kapısıyla birlikte bile o kadar da gelişmiş bir grup değil. Başarılarının ardında karmaşık teknolojiler veya dağıtım ve gizleme yöntemleri değil, etkili sosyal mühendislik taktikleri bulunuyor. Üst düzey hedeflere sızabilmelerinin nedeni kurbanların kimlik avı e-postalarındaki zararlı ekleri açması. Bu vaka, kimlik avı yönteminin siber saldırılarda ne kadar etkili olduğuna çok iyi bir örnek. İşte bu nedenle, şirketlerin çalışanlarını bu tür e-postaları tespit etmeleri için eğitmesi ve gelişmiş bir grubun saldırısını anlayabilmeleri için güncel tehdit istihbaratı alması büyük önem taşıyor.”