Gündemde daima devlet takviyeli tehdit kümeleri ve gelişmiş akınlar olsa da şirketler günümüzde birçok farklı tehditle her an karşı karşıya. Fidye yazılımlarından data sızıntılarına ve ticari casusluğa kadar uzanan bu tehditler şirketlerin çalışmalarına ve prestijine ziyan verebiliyor. Bu cins hücumlar orta seviye ziyanlı yazılım yöneticileri ve bazen de uzmanların 2018’den beri takip ettiği DeathStalker üzere kiralık kümeler tarafından düzenleniyor.
DeathStalker, hukuk şirketleri ve finans kuruluşlarına yönelik siber casusluk taarruzlarına ağırlaşmasıyla öbür tehdit kümelerinden ayrılıyor. Yeniliklere çok süratli ahenk sağlayabilen ve yazılım dizaynında süratle çoğaltmaya yönelik bir yaklaşım sergileyen küme, tesirli akınlar düzenleyebiliyor.
Kaspersky yaptığı araştırmalarla Powersing, Evilnum ve Janicab ziyanlı yazılım aileleri ile DeathStalker’ın faaliyetleri ortasında bir ilişki kurabildi. Bu da kümenin en az 2012’den bu yana ne kadar geniş bir yelpazede faaliyet gösterdiğini gözler önüne seriyor. Powersing, 2018’den bu yana izlenirken başka iki ziyanlı yazılım ailesi ise başka siber güvenlik markaları tarafından raporlandı. Bu üç ziyanlı yazılım ailesinin kodlarındaki ve kurbanlarındaki benzerlik, araştırmacıların bunlar ortasında bir ilgi olduğunu düşünmesini sağladı.
Yıllardır birebir taktik, teknik ve prosedürleri kullanan bu tehdit kümesi, ziyanlı evraklar içeren arşivleri dağıtmak için gayeli kimlik avı e-postalarından yararlanıyor. Kullanıcı kısayola tıkladığında ziyanlı kod çalışmaya başlıyor ve internet üzerinden ek bileşenler indiriyor. Böylelikle saldırganlar kurbanın makinesinin denetimini ele geçiriyor.
Bu tehdit kümesinden tespit edilen birinci ziyanlı yazılım olan Powersing, Power-Shell tabanlı bir sızma programıydı. Yazılım kurbanın aygıtına yüklendikten sonra belli aralıklarla ekran imajı alıp istediği Powershell kodunu çalıştırabiliyordu. Sızılan aygıttaki güvenlik tahliline nazaran alternatif usuller kullanarak kendini gizleyen bu ziyanlı yazılım, tespit edilmekten kaçınabiliyor, her taarruz öncesinde kümeye sinyal göndererek tespit testleri yapılmasını sağlıyor ve elde edilen sonuçlara bağlı olarak kodlarını güncelleyebiliyor.
DeathStalker, Powersing yazılımını kullandığı taarruzlarda birinci art kapı bağlantılarını olağan ağ trafiğine gizlemek için tanınmış bir servisten yararlanıyordu. Bu da güvenlik tahlillerinin operasyonlarını zorlaştırıyordu. Çeşitli toplumsal medya ağları, blog ve iletileşme servislerine yerleştirilen ve ek komut ve denetim altyapısına yönlendiren büyük ölçüde bilgi sayesinde hatalılar tespit edilmeden saldırıyı tamamlayabiliyordu. Akına uğrayan kurbanlar diğer yerlere erişmek istediklerinde bu bilgiler tarafından yönlendiriliyordu. Bu da irtibatın saklı kalmasını sağlıyordu.
DeathStalker’ın dünyanın her yerinde faaliyet göstermesi kümenin operasyonlarının boyutunu ortaya koyuyor. Powersing kullanılan olaylara Arjantin, Çin, Kıbrıs, İsrail, Lübnan, İsviçre, Tayvan, Türkiye, Birleşik Krallık ve Birleşik Arap Emirlikleri’nde rastlandı. Kaspersky ayrıyeten Kıbrıs, Hindistan, Lübnan, Rusya ve Birleşik Arap Emirlikleri’nde Evilnum’un maksadı olan kullanıcılar tespit etti.
“DeathStalker, özel daldaki kurumların kendilerini müdafaası gereken tehdit kümelerinin en değerli örneklerinden biri. APT kümelerinin faaliyetlerini izlerken, DeathStalker bize güvenliğe ehemmiyet vermediği bilinen kurumların amaç olabileceğini hatırlattı. Son faaliyetlerine bakarak DeathStalker’ın bir tehdit olarak kalmayı sürdüreceğini ve yeni araçlarla kurumları gaye alacağını iddia ediyoruz. Bu küme, küçük ve orta uzunluk şirketlerin de güvenliğe ve güvenlik farkındalığı eğitimine yatırım yapması gerektiğini gösteriyor.” diyen Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Ivan Kwiatkowski, kelamlarını şöyle sürdürdü: “DeathStalker’dan korunmak isteyen kurumlara, powershell.exe ve script.exe üzere kodlama lisanlarını kullanma özelliğini devre dışı bırakmalarını tavsiye ediyoruz. Ayrıyeten, düzenlenecek farkındalık eğitimleri ve güvenlik eseri değerlendirmelerinde kısayol belgelerinin kullanıldığı akınlara da yer verilmesini öneriyoruz.”
