Siber casus Taj Mahal tehlikesi kurumları tehdit ediyor

Güncelleme Tarihi:

Siber casus Taj Mahal tehlikesi kurumları tehdit ediyor
Oluşturulma Tarihi: Nisan 10, 2019 11:29

Kaspersky Lab araştırmacıları en az 2013’ten beri faaliyette olan ve tanınmış tehdit gruplarıyla bağlantısı yokmuş gibi görünen, teknik açıdan çok gelişmiş bir siber casusluk platformu keşfetti. Araştırmacıların TajMahal adını verdiği bu platform yaklaşık 80 modülden oluşuyor ve daha önce gelişmiş tehdit gruplarında görülmemiş işlevler taşıyor. Bunlar arasında yazıcı sıralarından bilgi çalmak ve takılan USB cihazlarında daha önce bakılan dosyaları almak bulunuyor. Kaspersky Lab şu ana kadar yalnızca bu platformun hedef aldığı tek bir kurbana rastladı. Orta Asya’dan yabancı bir elçilik dışında henüz tespit edilen bir kurban olmasa da birçok kurumun bu platformdan etkilenmiş olabileceği düşünülüyor.

Haberin Devamı

Kaspersky Lab araştırmacıları TajMahal’i 2018’in sonlarında keşfetti. Teknik açıdan çok gelişmiş bir APT platformu olan TajMahal, kapsamlı siber casusluk çalışmaları için tasarlandı. Zararlı yazılım üzerinde yapılan analizlerde platformun en az beş yıldır kullanıldığı belirlendi. Tespit edilen en eski örnek Nisan 2013 tarihliyken en sonuncusu ise Ağustos 2018’de görüldü. TajMahal adı çalınan verileri dışarı çıkarmada kullanılan dosyanın adından geliyor.

TajMahal platformunun ‘Tokyo’ ve ‘Yokohama’ adlı iki ana paketten oluştuğuna inanılıyor

Daha küçük olan Tokyo’da yaklaşık üç adet modül bulunuyor. Ana arka kapı işlevini içeren bu paket komut ve kontrol sunucularına belirli aralıklarla bağlanıyor. PowerShell’den yararlanan Tokyo, sızma işleminin ikinci aşamasında bile ağda kalmaya devam ediyor.

Haberin Devamı

İkinci aşama ise Yokohama adlı tam donanımlı casusluk paketiyle gerçekleşiyor. Yokohama’da tüm eklentilere sahip bir Sanal Dosya Sistemi (VFS), açık kaynaklı ve özel üçüncü taraf kütüphaneleri ve yapılandırma dosyaları bulunuyor.Paketteki yaklaşık 80 modül arasında yükleme ve yönetim araçları, komut ve kontrol iletişimini sağlayan araçlar, ses ve tuş kaydediciler, ekran ve web kamerası görüntülerini saklayan araçlar, belge ve şifre anahtarı hırsızları yer alıyor.

TajMahal ayrıca tarayıcı çerezlerini de çalabiliyor, Apple mobil cihazları için yedek listeyi toplayabiliyor, CD’ye yazılan verileri ve yazıcı sırasında bekleyen belgeleri alabiliyor. Bir USB bellekten bakılan herhangi bir dosyanın çalınmasını da talep edebiliyor. USB bellek tekrar takıldığında dosya alınıyor.

Kaspersky Lab’ın tespit ettiği hedeflerde hem Tokyo hem de Yokohama’nın bulunduğu görüldü. Bu da Tokyo’nun ilk aşamada kullanılarak ilgili hedeflere tam fonksiyonlu Yokohama’yı kurduğunu, ardından yedekleme amacıyla ayrıldığını gösteriyor.

Şimdiye kadar gözlemlenen tek kurban Orta Asya’dan yabancı bir diplomatik kurum oldu. Bu kuruma 2014’te sızıldığı belirlendi. TajMahal’in dağıtım ve bulaşma vektörleri henüz bilinmiyor.

Kaspersky Lab Zararlı Yazılım Baş Analisti Alexey Shulmin, “TajMahal platformu çok ilginç etkileyici bir keşif. Teknik düzeyi şüphe götürmeyecek kadar yüksek olan platformda daha önce hiçbir gelişmiş kalıcı tehdit grubunda görülmeyen işlevler bulunuyor. Bunun hakkında akıllarda kalan bazı sorular var. Örneğin, bu tür büyük bir yatırımın yalnızca tek bir hedef için yapılmış olması pek ihtimal dahilinde değil. Bu da henüz tespit edilmemiş kurbanlar olduğuna veya bu zararlı yazılımın başka sürümlerinin de bulunduğuna işaret ediyor. Muhtemelen her ikisi de var. Tehdidin dağıtım ve bulaşma vektörleri de henüz bilinmiyor.Platform bir şekilde beş yıldan fazla süredir gizli kalmayı başarmış. Bunun platformun faaliyet göstermemesinden mi yoksa başka bir nedenden mi olduğu da merak uyandırıyor.TajMahal’in bilindik tehdit gruplarıyla bağını gösteren herhangi bir ipucu da bulunmuş değil.” dedi.

Haberle ilgili daha fazlası:

BAKMADAN GEÇME!