Kaspersky Lab, Yeni “CozyDuke”u Keşfetti

Duke Geri Dönüyor: Kaspersky Lab, Miniduke’le Bağlantısı Bulunan Yeni “CozyDuke”u Keşfetti

Kaspersky Lab’ın Global Araştırma ve Analiz ekibi belli başlı ve üst düzey oluşumları vurmak üzere malware (kötü amaçlı yazılım) kullanan yeni, gelişmiş bir siber casus programını inceleyen bir rapor yayınladı. ABD’deki hedeflerin arasında Beyaz Saray ve Dışişleri Bakanlığı da bulunurken, saldırganın listesi Almanya, Güney Kore ve Özbekistan’daki bazı hükümet organizasyonlarını ve ticari oluşumları da içeriyor.

Kamuca iyi bilinen kurbanlar seçmiş olmasının yanında, tehdit aktörünün etkileyici ama endişe verici başka özellikleri de var. Kripto ve algılamayı engelleyen kabiliyetler bu özellikler arasında yer alıyor. Örneğin, gerekli kaçışı sağlayabilmek adına kod, Kaspersky Lab, Sophos, DrWeb, Avira, Crystal ve Comodo Dragon gibi çeşitli güvenlik ürünlerinin izini sürüyor.

Diğer Siber Casus Aktörlerle Bağlantı

Kaspersky Lab’ın güvenlik uzmanları CozyDuke’un MiniDuke, CosmicDuke ve OnionDuke gibi diğer siber casus kampanyalarla yapısal benzerlikler göstermesine ek olarak, oldukça güçlü kötücül program fonksiyonunu da ortaya çıkardı. Bazı delillere göre bu operasyonların Rusça konuşan failler tarafından yapıldığına inanılıyor. Kaspersky Lab incelemeleri, MiniDuke ve CosmicDuke’un hala aktif olduğunu ve bazı ülkelerde diplomatik kurumlar/büyükelçilikler, enerji, petrol ve gaz şirketleri, telekomlar, askeriye ve akademik kurumları hedeflemeye devam ettiğini gösteriyor.

Dağıtım Metodu

CozyDuke aktörü genellikle hedefine kişiyi hacklenmiş bir siteye yönlendirecek linkler içeren maillerle ulaşır.  Bu linkler güvenli ve meşru görünen, ”diplomasi.pl” gibi üst düzey izlenimi veren ama malware ile dolu ZIP içeren sitelere yönlendirme yaparlar. Diğer durumlarda, aktör e-mail eklentisi şeklinde kötücül virüsler içeren sahte flaş videolar da gönderebilir.

CozyDuke backdoor ve dropper kullanır. Kötücül program, komut ve kontrol server’ına hedef hakkında bilgi gönderir; kurulum dosyalarını ve saldırganların ihtiyaç duyduğu diğer ekstra fonksiyonları da içeren ek modülleri ele geçirir.

Kaspersky Lab Global Araştırma ve Analiz Takımı’nın Baş Güvenlik Araştırmacısı Kurt Baumgartner, “Birkaç yıldır hem MiniDuke hem de CosmicDuke’u inceliyoruz. Kaspersky Lab, başlangıcı 2008’e kadar giden bu siber tehditin bilinen en eski örnekleriyle, 2013’teki MiniDuke saldırıları hakkında uyarıda bulunan ilk kurumdu. CozyDuke, OnionDuke siber casus operasyonuyla olduğu kadar, bu iki kampanyayla da bağlantılı. Bu tehdit aktörlerinin tümü hedeflerinin izini sürmeye devam ediyor ve biz tüm bu casusluk unsurlarının Rusça konuşan kişiler tarafından oluşturulup yönetildiğine inanıyoruz,” şeklinde konuştu.

Kaspersky Lab’ın ürünleri bilinen tüm örnekleri algılıyor ve kullanıcıları bu tehdite karşı koruyor.

Kullanıcılar için ipuçları

• Tanımadığınız insanlardan gelen ekleri ve linkleri açmayın.
• Gelişmiş antvirüs programlarıyla bilgisayarınızı sürekli olarak tarayın.
• İçinde SFX dosyaları bulunan ZIP arşivlerine dikkat edin.
• Ek konusunda emin olamıyorsanız, eki sandbox’ta açmayı deneyin.
• *Tüm özelliklere sahip modern bir işletim sisteminden şaşmayın.
• *Microsoft Office, Java, Adobe Flash Player and Adobe Reader gibi tüm üçüncü parti uygulamalarınızı güncelleyin.