1. Ana Sayfa
  2. Teknoloji
  3. ESET Ortadoğu’daki web sitelerini hedef alan saldırılar keşfetti

ESET Ortadoğu’daki web sitelerini hedef alan saldırılar keşfetti


ESET araştırmacıları, Candiru casus yazılımla kontağı olan ve Orta Doğu’daki yüksek profilli internet sitelerine yönelik stratejik web ihlali (watering hole-su kaynağı) hücumları keşfetti.

Yaşanan durumun medya, hükümet, internet hizmet sağlayıcıları, havacılık ve askeri teknoloji şirketlerinin web sitelerini amaç alan stratejik web ihlalleriyle ilgili amaçlı taarruzlar olduğu araştırma sonuçlarında paylaşıldı.

Bu hücumlar Orta Doğu’yla ilgili kontakların yanı sıra Yemen’e ve etrafındaki çatışmalara ağır bir halde odaklanıyor. Orta Doğu’da bulunan amaçlar İran, Suudi Arabistan, Suriye, Yemen olurken Avrupa’dakiler ise İtalya ve İngiltere. Güney Afrika’da amaçlar ortasında yer alıyor.

Saldırganlar, Almanya’daki bir medikal fuarı taklit eden bir web sitesi de oluşturdu. Kampanyanın bir İsrail casus yazılım firması olan Candiru ile yakın temasları bulunuyor. Bu firma ABD Ticaret Bakanlığı tarafından yakın vakitte müsaade verilmeyenler listesine alınmıştı.

Firma, hükümet kurumlarına son teknoloji ziyanlı yazılım araçları ve hizmetleri satıyor.

ESET Araştırma Ünitesi tarafından ortaya çıkarılan ve Yemen’e odaklandığı belirtilen taarruzlar, hükümet kurumlarına son teknoloji ziyanlı yazılım araçları ve ilgili hizmetleri satan bir şirket olan Candiru ile ilişkili. İhlale uğrayan web siteleri İngiltere, Yemen ve Suudi Arabistan’daki medya şirketlerine ve Hizbullah’a ilişkin. Ayrıyeten İran’daki Dışişleri Bakanlığı, Suriye’deki Elektrik Bakanlığı, Yemen’deki İçişleri ve Maliye Bakanlığı, hükümet kurumlarına ilişkin web siteleri de ihlale uğradı. Bu web sitelerinin yanı sıra Yemen’deki ve Suriye’deki internet hizmet sağlayıcıların, İtalya’daki ve Güney Afrika’daki havacılık/askeri teknoloji şirketlerinin web siteleri de akına uğradı. Saldırganlar, Almanya’daki bir medikal fuarı taklit eden bir web sitesi de oluşturdu.

Su kaynağı atakları

Watering hole – su kaynağı- saldırısı, ilgili maksatlar tarafından ziyaret edilmesi mümkün web sitelerine sızar ve bu sayede web sitesini ziyaret edenlerin makinesine girmek için fırsat elde eder. Bu gayeli atakta, bu web sitelerinin belli ziyaretçileri tarayıcının suistimal edilmesi yoluyla hücuma uğramış olabilir. Lakin, ESET araştırmacıları suistimal yahut son yükle ilgili bilgiye ulaşamadı. Bu durum, tehdit aktörlerinin operasyonlarının odağını daraltmayı tercih ettiğini ve sıfır gün suistimallerine ziyan vermek istemediğini göstermenin yanı sıra taarruzların ne kadar yüksek düzeyde gayeye yönelik olduğunu da gözler önüne seriyor. İhlale uğrayan web siteleri, kesin gayelere ulaşmak için sadece bir zıplama tahtası olarak kullanılıyor.

Su kaynağı akınlarını gün yüzüne çıkaran ESET araştırmacısı Matthieu Faou bu bahiste şunları söyledi: “2018 yılında, yüksek profilli web sitelerindeki su kaynağı akınlarını açığa çıkarmak için özel bir şirket içi sistem geliştirdik. 11 Temmuz 2020 tarihinde sistemimiz, Abu Dabi’deki İran elçiliğinin web sitesinin makus emelli JavaScript kodundan etkilendiğiyle ilgili ihtar verdi. Gaye alınan web sitesi yüksek bir profile sahip olduğundan bu bahis ilgimizi çekti ve sonraki haftalarda Orta Doğu’yla ilgisi olan öteki web sitelerinin de gaye alındığını fark ettik.”

Matthieu Faou kelamlarına şöyle devam etti: “Tehdit kümesi 2021 yılının Ocak ayına kadar sessizliğini korudu ve Ocak 2021’de yeni bir ihlal dalgası gözlemledik. Bu ikinci dalga Ağustos 2021’e kadar devam etti. Fakat bu tarihte, tıpkı 2020’de olduğu üzere tüm web siteleri, büyük ihtimalle failler tarafından temizlendi. Ayrıyeten saldırganlar Almanya Düsseldorf’da düzenlenen Tıp Alanındaki Dünya Forumu’nun MEDICA Ticaret Fuarı’na ilişkin bir web sitesini de taklit etti. Operatörler, özgün web sitesini klonlayarak web sitesine küçük bir JavaScript kodu kesimi ekledi. Büyük ihtimalle saldırganlar, yasal web sitesine sızmayı başaramadı ve makus maksatlı kodu yerleştirmek için geçersiz bir web sitesi oluşturmak zorunda kaldı.”

2020 saldırısı sırasında makus maksatlı yazılım, işletim sistemini ve web tarayıcısını denetim ediyordu. Seçim süreci, bilgisayar yazılımına dayalı olduğundan hücumlar taşınabilir aygıtları gaye almadı. Daha tesirli olmak için ikinci dalgada saldırganlar, aslında ihlale uğramış web sitelerindeki komut evraklarını değiştirmeye başladı.

Faou, hücumların Candiru’yla kontağına dikkate çekerek, durumu şöyle açıkladı: “Toronto Üniversitesi’nde Citizen Lab tarafından yayınlanan Candiru hakkındaki blog yazısının ‘Suudi Kontaklı bir Küme mi? (A Saudi-Linked Cluster?) isimli kısmına nazaran, VirusTotal’a ve çeşitli alan isimlerine yüklenen bir kimlik avı dolandırıcılığı evrakı saldırganlar tarafından kullanıldı. Alan isimleri eşsiz URL kısaltmalarının ve web tahlili web sitelerinin varyasyonlarından oluşuyor. Bu teknik su kaynağı akınlarındaki alan isimleri için kullanılan teknikle birebirdir.”

Bu nedenle su kaynağı ataklarının operatörlerinin Candiru’nun müşterileri olması büyük bir olasılıktır. Evrakları oluşturanlar ve su kaynağı operatörleri de birebir olabilir. Candiru, geçtiğimiz günlerde ABD Ticaret Bakanlığı’nın Ticaret Kısıtlama Listesi’ne eklenen İsrailli özel bir casus yazılım şirketidir. Bu nedenle ABD merkezli bir kuruluş, birinci olarak Ticaret Bakanlığı’ndan lisans almadan Candiru ile iş yapamaz.

Citizen Lab, Google ve Microsoft’un yayınladığı, Candiru’nun aktiflikleri ilgili bilgilere yer veren blog yazılarının yayınlandığı tarihten kısa bir mühlet sonra, yani Temmuz 2021 sonrasında ESET bu operasyonla ilgili daha fazla aktifliğe rastlamadı. Operatörler, büyük ihtimalle araçlarını yenilemek ve kampanyayı daha tesirli hale getirmek için orta verdi. ESET Research, önümüzdeki aylarda tekrar aktifliklerine başlayacaklarını düşünüyor.

Kaynak: (BHA) – Beyaz Haber Ajansı

Yorum Yap

Yorum Yap