banner138

banner137

Eset Ortadoğu’daki Web Sitelerini Hedef Alan Saldırılar Keşfetti

ESET, Candiru casus yazılımla bağlantısı olan ve Orta Doğu’daki yüksek profilli internet sitelerine yönelik stratejik web ihlali saldırıları keşfetti.

Teknoloji 19.11.2021, 10:15 Melike Kaya Bayram
71
Eset Ortadoğu’daki Web Sitelerini Hedef Alan Saldırılar Keşfetti

ESET Araştırma Birimi tarafından ortaya çıkarılan ve Yemen’e odaklandığı belirtilensaldırılar, hükümet kurumlarına son teknoloji zararlı yazılım araçları ve ilgili hizmetleri satan bir şirket olan Candiru ile bağlantılı. İhlale uğrayan web siteleri İngiltere, Yemen ve Suudi Arabistan’daki medya şirketlerine ve Hizbullah’a ait. Ayrıca İran’daki Dışişleri Bakanlığı, Suriye’deki Elektrik Bakanlığı, Yemen’deki İçişleri ve Maliye Bakanlığı, hükümet kurumlarına ait web siteleri de ihlale uğradı. Bu web sitelerinin yanı sıra Yemen’deki ve Suriye’deki internet hizmet sağlayıcıların, İtalya’daki ve Güney Afrika’daki havacılık/askeri teknoloji şirketlerinin web siteleri de saldırıya uğradı. Saldırganlar, Almanya’daki bir medikal fuarı taklit eden bir web sitesi de oluşturdu.

SU KAYNAĞI SALDIRILARI

Watering hole - su kaynağı- saldırısı, ilgili hedefler tarafından ziyaret edilmesi muhtemel web sitelerine sızar ve bu sayede web sitesini ziyaret edenlerin makinesine girmek için fırsat elde eder. Bu hedefli saldırıda, bu web sitelerinin belirli ziyaretçileri tarayıcının suistimal edilmesi yoluyla saldırıya uğramış olabilir. Ancak, ESET araştırmacıları suistimal veya nihai yükle ilgili bilgiye ulaşamadı. Bu durum, tehdit aktörlerinin operasyonlarının odağını daraltmayı tercih ettiğini ve sıfır gün suistimallerine zarar vermek istemediğini göstermenin yanı sıra saldırıların ne kadar yüksek seviyede hedefe yönelik olduğunu da gözler önüne seriyor. İhlale uğrayan web siteleri, nihai hedeflere ulaşmak için yalnızca bir zıplama tahtası olarak kullanılıyor.

Su kaynağı saldırılarını gün yüzüne çıkaran ESET araştırmacısı Matthieu Faou bu konuda şunları söyledi: “2018 yılında, yüksek profilli web sitelerindeki su kaynağı saldırılarını açığa çıkarmak için özel bir şirket içi sistem geliştirdik. 11 Temmuz 2020 tarihinde sistemimiz, Abu Dabi’deki İran elçiliğinin web sitesinin kötü amaçlı JavaScript kodundan etkilendiğiyle ilgili uyarı verdi. Hedef alınan web sitesi yüksek bir profile sahip olduğundan bu konu ilgimizi çekti ve sonraki haftalarda Orta Doğu’yla ilgisi olan başka web sitelerinin de hedef alındığını fark ettik.”

Matthieu Faou sözlerine şöyle devam etti: “Tehdit grubu 2021 yılının Ocak ayına kadar sessizliğini korudu ve Ocak 2021’de yeni bir ihlal dalgası gözlemledik. Bu ikinci dalga Ağustos 2021’e kadar devam etti. Ancak bu tarihte, aynı 2020’de olduğu gibi tüm web siteleri, büyük ihtimalle failler tarafından temizlendi.Ayrıca saldırganlar AlmanyaDüsseldorf’da düzenlenen Tıp Alanındaki Dünya Forumu’nun MEDICA Ticaret Fuarı’na ait bir web sitesini de taklit etti. Operatörler, özgün web sitesini klonlayarak web sitesine küçük bir JavaScript kodu parçası ekledi. Büyük ihtimalle saldırganlar, yasal web sitesine sızmayı başaramadı ve kötü amaçlı kodu yerleştirmek için sahte bir web sitesi oluşturmak zorunda kaldı.”

2020 saldırısı sırasında kötü amaçlı yazılım, işletim sistemini ve web tarayıcısını kontrol ediyordu. Seçim süreci, bilgisayar yazılımına dayalı olduğundan saldırılar mobil cihazları hedef almadı. Daha etkili olmak için ikinci dalgada saldırganlar, zaten ihlale uğramış web sitelerindeki komut dosyalarını değiştirmeye başladı.

Faou, saldırıların Candiru’yla bağlantısına dikkate çekerek, durumu şöyle açıkladı: “Toronto Üniversitesi’nde Citizen Lab tarafından yayınlanan Candiru hakkındaki blog yazısının ‘Suudi Bağlantılı bir Küme mi? (A Saudi-Linked Cluster?) adlı bölümüne göre, VirusTotal’a ve çeşitli alan adlarına yüklenen bir kimlik avı dolandırıcılığı belgesi saldırganlar tarafından kullanıldı. Alan adları benzersiz URL kısaltmalarının ve web analizi web sitelerinin varyasyonlarından oluşuyor. Bu teknik su kaynağı saldırılarındaki alan adları için kullanılan teknikle aynıdır.”

Bu nedenle su kaynağı saldırılarının operatörlerinin Candiru’nun müşterileri olması büyük bir olasılıktır. Belgeleri oluşturanlar ve su kaynağı operatörleri de aynı olabilir. Candiru, geçtiğimiz günlerde ABD Ticaret Bakanlığı’nın Ticaret Kısıtlama Listesi’ne eklenen İsrailli özel bir casus yazılım şirketidir. Bu nedenle ABD merkezli bir kuruluş, ilk olarak Ticaret Bakanlığı’ndan lisans almadan Candiru ile iş yapamaz.

Citizen Lab, Google ve Microsoft’un yayınladığı, Candiru’nun etkinlikleri ilgili bilgilere yer veren blog yazılarının yayınlandığı tarihten kısa bir süre sonra, yani Temmuz 2021 sonrasında ESET bu operasyonla ilgili daha fazla etkinliğe rastlamadı. Operatörler, büyük ihtimalle araçlarını yenilemek ve kampanyayı daha etkili hale getirmek için ara verdi. ESET Research, önümüzdeki aylarda tekrar etkinliklerine başlayacaklarını düşünüyor.

Yorumlar (0)
Yorum yapabilmek için lütfen üye girişi yapınız!
Günün Anketi Tümü
Sektörel dergiler okunuyor mu?
Sektörel dergiler okunuyor mu?
Puan Durumu
Takımlar O P
1. Trabzonspor 15 39
2. Konyaspor 15 27
3. Fenerbahçe 15 27
4. Hatayspor 15 26
5. Başakşehir 15 25
6. Alanyaspor 15 24
7. Galatasaray 15 23
8. Karagümrük 15 22
9. Beşiktaş 15 21
10. Adana Demirspor 15 20
11. Sivasspor 15 19
12. Giresunspor 15 19
13. Kayserispor 15 19
14. Altay 15 18
15. Antalyaspor 15 18
16. Gaziantep FK 15 18
17. Göztepe 15 14
18. Öznur Kablo Yeni Malatya 15 14
19. Kasımpaşa 15 11
20. Rizespor 15 10
Takımlar O P
1. Ankaragücü 15 30
2. Erzurumspor 13 28
3. Ümraniye 14 27
4. Eyüpspor 14 27
5. Bandırmaspor 14 25
6. Samsunspor 14 22
7. Tuzlaspor 13 21
8. İstanbulspor 14 20
9. Kocaelispor 14 20
10. Gençlerbirliği 14 20
11. Boluspor 14 19
12. Adanaspor 15 19
13. Menemenspor 14 18
14. Bursaspor 14 17
15. Manisa FK 15 17
16. Denizlispor 14 15
17. Ankara Keçiörengücü 14 14
18. Altınordu 15 13
19. Balıkesirspor 14 7
Takımlar O P
1. Man City 15 35
2. Liverpool 15 34
3. Chelsea 15 33
4. West Ham 15 27
5. Tottenham 14 25
6. M. United 15 24
7. Arsenal 14 23
8. Wolverhampton 15 21
9. Brighton 15 20
10. Aston Villa 15 19
11. Leicester City 15 19
12. Brentford 15 17
13. Crystal Palace 15 16
14. Leeds United 15 16
15. Southampton 15 16
16. Everton 14 15
17. Watford 15 13
18. Burnley 14 10
19. Newcastle 15 10
20. Norwich City 15 10
Takımlar O P
1. Real Madrid 16 39
2. Sevilla 15 31
3. Real Betis 16 30
4. Atletico Madrid 15 29
5. Real Sociedad 16 29
6. Rayo Vallecano 16 27
7. Barcelona 15 23
8. Valencia 16 22
9. Osasuna 16 21
10. Athletic Bilbao 15 20
11. Espanyol 16 20
12. Mallorca 16 19
13. Villarreal 15 16
14. Celta de Vigo 16 16
15. Granada 15 15
16. Elche 16 15
17. Deportivo Alaves 15 14
18. Cádiz 16 12
19. Getafe 15 10
20. Levante 16 8

Gelişmelerden Haberdar Olun

@