Rus siber casusluğu Turla olarak bilinen grup, 2008 yılında ABD Savunma Bakanlığı’nın sistemlerine yayılan ve şüphesiz Pentagon çalışanları tarafından bağlanan virüslü USB sürücüler aracılığıyla yaygın erişim sağlayan ölümcül bir kötü amaçlı yazılım parçası olan agent.btz’nin arkasındaki bilgisayar korsanları olarak ün kazandı. Şimdi, 15 yıl sonra, aynı grup bu numara üzerinde yeni bir bükülme deniyor gibi görünüyor: İkinci bilgisayar korsanları tarafından USB enfeksiyonlarını ele geçirerek enfeksiyonlarına geri dönmek ve casusluk hedeflerini gizlice seçmek.
Bugün, siber güvenlik firması Mandiant, Rusya’nın FSB istihbarat teşkilatında çalıştığına inanılan Turla’nın bilgisayar korsanlarının, yaklaşık on yıllık siber suçluların süresi dolmuş etki alanlarını kaydederek kurbanların ağlarına eriştiği bir olay bulduğunu açıkladı. virüslü USB sürücüler aracılığıyla yayılan kötü amaçlı yazılım. Sonuç olarak, Turla, kötü amaçlı yazılımın komuta ve kontrol sunucularını, hermit-yengeç tarzını ele geçirebildi ve casusluk hedeflemesine layık olanları bulmak için kurbanlarını taradı.
Bu ele geçirme tekniği, Turla’yı tespit edilmeden bırakmak ve geniş bir ağ koleksiyonunda arama yaparken diğer bilgisayar korsanlarının ayak izlerini gizlemek için tasarlanmış gibi görünüyor. Ve Rus grubunun yöntemlerinin son on yılda ve bir buçuk yılda nasıl geliştiğini ve çok daha sofistike hale geldiğini gösteriyor “diyor Mandiant’ta istihbarat analizine liderlik eden John Hultquist. “Kötü amaçlı yazılım zaten USB üzerinden yayılmış olduğundan, Turla kendini açığa vurmadan istismar edebilir. Agent.btz gibi kendi USB araçlarını kullanmak yerine, başkasının üzerine oturabilirler “diyor Hultquist. “Başkalarının operasyonlarına sırt çeviriyorlar. İş yapmanın gerçekten akıllıca bir yolu.”
Mandiant’ın Turla’nın yeni tekniğini keşfetmesi ilk olarak geçtiğimiz Eylül ayında, şirketin olaylarının, Rusya’nın geçen Şubat ayında feci işgalinin ardından Kremlin’in tüm istihbarat kurumları için birincil odak noktası haline gelen bir ülke olan Ukrayna’daki bir ağın garip bir ihlalini bulmasıyla ortaya çıktı. Bu ağdaki birkaç bilgisayara, birisi bağlantı noktalarından birine bir USB sürücü taktıktan ve sürücüde klasör olarak gizlenmiş kötü amaçlı bir dosyaya çift tıkladıktan ve Andromeda adlı bir kötü amaçlı yazılım parçası yükledikten sonra virüs bulaşmıştı.
Andromeda, siber suçluların 2013 gibi erken bir tarihten beri kurbanların kimlik bilgilerini çalmak için kullandıkları nispeten yaygın bir bankacılık Truva atıdır. Ancak virüslü makinelerden birinde, Mandiant’ın analistleri Andromeda örneğinin sessizce iki tane daha ilginç kötü amaçlı yazılım parçasına sahip olduğunu gördüler. Birincisi, Kopiluwak adlı bir keşif aracı, daha önce Turla tarafından kullanılmıştı; İkinci kötü amaçlı yazılım parçası, hedef bilgisayardan dikkatlice seçilmiş verileri sıkıştıran ve emen Quietcanary olarak bilinen bir arka kapı, daha önce yalnızca Turla tarafından kullanılmıştır. “Bu bizim için bir kırmızı bayraktı,” diyor Mandiant’taki tehdit istihbaratı analisti Gabby Roncone.
Mandiant, bu enfeksiyon zincirini başlatan Andromeda kötü amaçlı yazılımının komuta ve kontrol sunucularına baktığında, analistleri, adı antivirüs endüstrisinin kaba bir alaycılığı olan Andromeda örneğini kontrol etmek için kullanılan etki alanının aslında süresinin dolduğunu ve 2022’nin başlarında yeniden kaydedildiğini gördü. Mandiant, diğer Andromeda örneklerine ve onların komuta ve kontrol alanlarına bakarak, en az iki tane daha süresi dolmuş alanın yeniden kaydedildiğini gördü. Toplamda, bu alanlar yüzlerce Andromeda enfeksiyonu ile ilişkiliydi ve bunların hepsi Turla’nın casusluklarına layık konuları bulmak için sıralayabileceği yerlerdi.