Pakistan siber saldırı altında

- Düzenleyen: Mehmet Kurt

Yazı Boyutu:

Yazdır

Dünyanın en büyük antivirüs yazılım kuruluşlarındanESET, özellikle Pakistanda farklı organizasyonların hassas bilgilerini çalmayaçalışan, hedefe yönelik dijital saldırılar tespit etti. ESETin yaptığıincelemelere göre, tehdidin kökeni Hindistanda. Bu saldırıların iki yıldır devam ettiğini gösterençeşitli ipuçları bulan ESETe göre söz konusu kötü amaçlı yazılım, e-postalarekindeki belgeler aracılığıyla yayıldı. Belge açılır açılmaz, kötü amaçlı kod,saldırıya uğrayan bilgisayar kullanıcısının haberi bile olmadan çalıştırılıyor.Bir başka bulaştırma biçiminde ise yine e-postayla dağıtılan Word ya da PDFbelgeleri gibi görünen yürütülebilir Windows dosyalarından faydalanılıyor. Heriki durumda da, kurbanın şüphelenmemesi için kod yürütülürken kullanıcıya sahtebelgeler gösteriliyor.

Hedef Pakistan
ESET Kötü Amaçlı Yazılım Araştırmacısı Jean-Ian Boutin, Alıcılarıkandırmak için farklı temalara sahip, çok sayıda farklı belge saptadık. Butemalardan biri de Hindistan Silahlı Kuvvetleriydi. Bu dosyalar tarafındanözellikle hangi bireyler ve kurumların hedef alındığına dair elimizde kesinbilgiler yok ama incelemelerimize dayalı olarak, Pakistandaki bireylerin vekurumların hedef alındığını varsayıyoruz. Örneğin sahte PDF dosyalarından biri,pakistandefencetoindiantopmiltrysecreat.exe adlı kendi kendine açılan birarşiv ile gönderildi dedi. ESET verileri, başka ülkelerle karşılaştırıldığındaPakistanın bu kampanyadan yüzde 79luk bulaşma oranı ile ağır şekildeetkilendiğini gösteriyor.

Çeşitli veri çalmateknikleri kullanıyor
Kötü amaçlı yazılım, virüs bulaşan bilgisayarlardaki hassas verileriçalıyor ve bu verileri saldırganların sunucularına gönderiyor. Bu yazılım, tuşkaydedici program, ekran görüntüsü alma ve belgeleri saldırganlarınbilgisayarına yükleme gibi çeşitli veri çalma teknikleri kullanıyor. İlginçolan şey ise, virüs bulaşan bir bilgisayardan çalınan bilgilerin, saldırganınsunucusuna şifrelenmeden yükleniyor olmasıydı. Jean-Ian Boutin Şifrelemekullanmama kararı kafa karıştırıcıydı. Çünkü temel şifrelemenin eklenmesi çokkolaydır ve operasyonun daha fazla gizli kalmasını sağlar" açıklamasınıyaptı.

Hedefe yöneliksaldırı
ESETin tespitlerine göre bu hedefe yönelik saldırıda, kötü amaçlı ikilidosyaları imzalamak ve yayılma olasılıklarını artırmak için, yasal gibi görünenbir şirkete verilmiş olan kod imzalama sertifikası kullanıldı. Şirket YeniDelhi merkezliydi ve sertifika 2011 yılında verilmişti. Kötü amaçlı yazılım,e-postaların ekindeki belgeler aracılığıyla yayıldı.

Zararlıkodların isimleri
Saldırıkampanyasını çok parçalı ve çok vektörlü bir tehdit olarak değerlendirenESET, şu zararlı kodları tespit etti: Win32/Agent.NLD worm
Win32/Spy.Agent.NZD Trojan
Win32/Spy.Agent.OBF Trojan
Win32/Spy.Agent.OBV Trojan
Win32/Spy.KeyLogger.NZL Trojan
Win32/Spy.KeyLogger.NZN Trojan
Win32/Spy.VB.NOF Trojan
Win32/Spy.VB.NRP Trojan
Win32/TrojanDownloader.Agent.RNT Trojan
Win32/TrojanDownloader.Agent.RNV Trojan
Win32/TrojanDownloader.Agent.RNW Trojan
Win32/VB.NTC Trojan
Win32/VB.NVM Trojan
Win32/VB.NWB Trojan
Win32/VB.QPK Trojan
Win32/VB.QTV Trojan
Win32/VB.QTY Trojan
Win32/Spy.Agent.NVL Trojan
Win32/Spy.Agent.OAZ trojan