banner2

banner1

banner10

ESET Ortadoğu’daki web sitelerini hedef alan saldırılar keşfetti

ESET araştırmacıları, Candiru casus yazılımla bağlantısı olan ve Orta Doğu’daki yüksek profilli internet sitelerine yönelik stratejik web ihlali ...

TEKNOLOJİ 19.11.2021, 13:06
ESET Ortadoğu’daki web sitelerini hedef alan saldırılar keşfetti

ESET araştırmacıları, Candiru casus yazılımla bağlantısı olan ve Orta Doğu’daki yüksek profilli internet sitelerine yönelik stratejik web ihlali (watering hole-su kaynağı) saldırıları keşfetti.

 Yaşanan durumun medya, hükümet, internet hizmet sağlayıcıları, havacılık ve askeri teknoloji şirketlerinin web sitelerini hedef alan stratejik web ihlalleriyle ilgili hedefli saldırılar olduğu araştırma sonuçlarında paylaşıldı. 

 Bu saldırılar Orta Doğu’yla ilgili bağlantıların yanı sıra Yemen’e ve etrafındaki çatışmalara yoğun bir şekilde odaklanıyor. Orta Doğu’da bulunan hedefler İran, Suudi Arabistan, Suriye, Yemen olurken Avrupa’dakiler ise İtalya ve İngiltere. Güney Afrika’da hedefler arasında yer alıyor. 

 Saldırganlar, Almanya’daki bir medikal fuarı taklit eden bir web sitesi de oluşturdu. Kampanyanın bir İsrail casus yazılım firması olan Candiru ile yakın bağlantıları bulunuyor. Bu firma ABD Ticaret Bakanlığı tarafından yakın zamanda izin verilmeyenler listesine alınmıştı. 

Firma, hükümet kurumlarına son teknoloji zararlı yazılım araçları ve hizmetleri satıyor.

 ESET Araştırma Birimi tarafından ortaya çıkarılan ve Yemen’e odaklandığı belirtilen  saldırılar, hükümet kurumlarına son teknoloji zararlı yazılım araçları ve ilgili hizmetleri satan bir şirket olan Candiru ile bağlantılı. İhlale uğrayan web siteleri İngiltere, Yemen ve Suudi Arabistan’daki medya şirketlerine ve Hizbullah’a ait. Ayrıca İran’daki Dışişleri Bakanlığı, Suriye’deki Elektrik Bakanlığı, Yemen’deki İçişleri ve Maliye Bakanlığı, hükümet kurumlarına ait web siteleri de ihlale uğradı. Bu web sitelerinin yanı sıra Yemen’deki ve Suriye’deki internet hizmet sağlayıcıların, İtalya’daki ve Güney Afrika’daki havacılık/askeri teknoloji şirketlerinin web siteleri de saldırıya uğradı. Saldırganlar, Almanya’daki bir medikal fuarı taklit eden bir web sitesi de oluşturdu.

 Su kaynağı saldırıları 

Watering hole - su kaynağı- saldırısı, ilgili hedefler tarafından ziyaret edilmesi muhtemel web sitelerine sızar ve bu sayede web sitesini ziyaret edenlerin makinesine girmek için fırsat elde eder. Bu hedefli saldırıda, bu web sitelerinin belirli ziyaretçileri tarayıcının suistimal edilmesi yoluyla saldırıya uğramış olabilir. Ancak, ESET araştırmacıları suistimal veya nihai yükle ilgili bilgiye ulaşamadı. Bu durum, tehdit aktörlerinin operasyonlarının odağını daraltmayı tercih ettiğini ve sıfır gün suistimallerine zarar vermek istemediğini göstermenin yanı sıra saldırıların ne kadar yüksek seviyede hedefe yönelik olduğunu da gözler önüne seriyor. İhlale uğrayan web siteleri, nihai hedeflere ulaşmak için yalnızca bir zıplama tahtası olarak kullanılıyor. 

Su kaynağı saldırılarını gün yüzüne çıkaran ESET araştırmacısı Matthieu Faou bu konuda şunları söyledi: “2018 yılında, yüksek profilli web sitelerindeki su kaynağı saldırılarını açığa çıkarmak için özel bir şirket içi sistem geliştirdik. 11 Temmuz 2020 tarihinde sistemimiz, Abu Dabi’deki İran elçiliğinin web sitesinin kötü amaçlı JavaScript kodundan etkilendiğiyle ilgili uyarı verdi. Hedef alınan web sitesi yüksek bir profile sahip olduğundan bu konu ilgimizi çekti ve sonraki haftalarda Orta Doğu’yla ilgisi olan başka web sitelerinin de hedef alındığını fark ettik.”

Matthieu Faou sözlerine şöyle devam etti: “Tehdit grubu 2021 yılının Ocak ayına kadar sessizliğini korudu ve Ocak 2021’de yeni bir ihlal dalgası gözlemledik. Bu ikinci dalga Ağustos 2021’e kadar devam etti. Ancak bu tarihte, aynı 2020’de olduğu gibi tüm web siteleri, büyük ihtimalle failler tarafından temizlendi. Ayrıca saldırganlar Almanya Düsseldorf’da düzenlenen Tıp Alanındaki Dünya Forumu’nun MEDICA Ticaret Fuarı’na ait bir web sitesini de taklit etti. Operatörler, özgün web sitesini klonlayarak web sitesine küçük bir JavaScript kodu parçası ekledi. Büyük ihtimalle saldırganlar, yasal web sitesine sızmayı başaramadı ve kötü amaçlı kodu yerleştirmek için sahte bir web sitesi oluşturmak zorunda kaldı.”

2020 saldırısı sırasında kötü amaçlı yazılım, işletim sistemini ve web tarayıcısını kontrol ediyordu. Seçim süreci, bilgisayar yazılımına dayalı olduğundan saldırılar mobil cihazları hedef almadı. Daha etkili olmak için ikinci dalgada saldırganlar, zaten ihlale uğramış web sitelerindeki komut dosyalarını değiştirmeye başladı. 

Faou, saldırıların Candiru’yla bağlantısına dikkate çekerek, durumu şöyle açıkladı: “Toronto Üniversitesi’nde Citizen Lab tarafından yayınlanan Candiru hakkındaki blog yazısının ‘Suudi Bağlantılı bir Küme mi? (A Saudi-Linked Cluster?) adlı bölümüne göre, VirusTotal’a ve çeşitli alan adlarına yüklenen bir kimlik avı dolandırıcılığı belgesi saldırganlar tarafından kullanıldı. Alan adları benzersiz URL kısaltmalarının ve web analizi web sitelerinin varyasyonlarından oluşuyor. Bu teknik su kaynağı saldırılarındaki alan adları için kullanılan teknikle aynıdır.” 

Bu nedenle su kaynağı saldırılarının operatörlerinin Candiru’nun müşterileri olması büyük bir olasılıktır. Belgeleri oluşturanlar ve su kaynağı operatörleri de aynı olabilir. Candiru, geçtiğimiz günlerde ABD Ticaret Bakanlığı’nın Ticaret Kısıtlama Listesi’ne eklenen İsrailli özel bir casus yazılım şirketidir. Bu nedenle ABD merkezli bir kuruluş, ilk olarak Ticaret Bakanlığı’ndan lisans almadan Candiru ile iş yapamaz.

Citizen Lab, Google ve Microsoft’un yayınladığı, Candiru’nun etkinlikleri ilgili bilgilere yer veren blog yazılarının yayınlandığı tarihten kısa bir süre sonra, yani Temmuz 2021 sonrasında ESET bu operasyonla ilgili daha fazla etkinliğe rastlamadı. Operatörler, büyük ihtimalle araçlarını yenilemek ve kampanyayı daha etkili hale getirmek için ara verdi. ESET Research, önümüzdeki aylarda tekrar etkinliklerine başlayacaklarını düşünüyor.


Hibya Haber Ajansı

banner5
Yorumlar (0)
banner3
banner4
17
hafif yağmur
Namaz Vakti 29 Kasım 2021
İmsak 06:30
Güneş 08:00
Öğle 12:57
İkindi 15:22
Akşam 17:44
Yatsı 19:09
Puan Durumu
Takımlar O P
1. Trabzonspor 14 36
2. Konyaspor 14 26
3. Hatayspor 14 26
4. Alanyaspor 14 24
5. Fenerbahçe 13 23
6. Başakşehir 14 22
7. Karagümrük 14 22
8. Galatasaray 14 22
9. Adana Demirspor 14 20
10. Beşiktaş 14 20
11. Antalyaspor 14 18
12. Gaziantep FK 14 18
13. Altay 14 17
14. Sivasspor 14 16
15. Giresunspor 14 16
16. Kayserispor 14 16
17. Öznur Kablo Yeni Malatya 14 13
18. Göztepe 13 10
19. Kasımpaşa 14 10
20. Rizespor 14 10
Takımlar O P
1. Ümraniye 13 27
2. Ankaragücü 14 27
3. Eyüpspor 14 27
4. Bandırmaspor 13 25
5. Erzurumspor 12 25
6. İstanbulspor 13 20
7. Tuzlaspor 12 20
8. Kocaelispor 13 20
9. Samsunspor 13 19
10. Adanaspor 14 18
11. Menemenspor 13 17
12. Gençlerbirliği 13 17
13. Boluspor 13 16
14. Denizlispor 13 15
15. Bursaspor 13 14
16. Manisa FK 14 14
17. Ankara Keçiörengücü 13 13
18. Altınordu 14 13
19. Balıkesirspor 13 7
Takımlar O P
1. Chelsea 13 30
2. Man City 13 29
3. Liverpool 13 28
4. West Ham 13 23
5. Arsenal 13 23
6. Wolverhampton 13 20
7. Tottenham 12 19
8. M. United 13 18
9. Brighton 13 18
10. Leicester City 13 18
11. Crystal Palace 13 16
12. Brentford 13 16
13. Aston Villa 13 16
14. Everton 13 15
15. Southampton 13 14
16. Watford 13 13
17. Leeds United 13 12
18. Burnley 12 9
19. Norwich City 13 9
20. Newcastle 13 6
Takımlar O P
1. Real Madrid 14 33
2. Atletico Madrid 14 29
3. Real Sociedad 15 29
4. Sevilla 14 28
5. Real Betis 15 27
6. Rayo Vallecano 15 24
7. Barcelona 14 23
8. Athletic Bilbao 14 20
9. Espanyol 15 20
10. Valencia 15 19
11. Osasuna 14 19
12. Villarreal 14 16
13. Celta de Vigo 15 16
14. Mallorca 15 16
15. Deportivo Alaves 14 14
16. Granada 14 12
17. Cádiz 15 12
18. Elche 14 11
19. Getafe 15 10
20. Levante 15 7