ESET araştırmacıları, Candiru casus yazılımla ilişkisi olan ve Orta Doğu’daki yüksek profilli internet sitelerine yönelik stratejik web ihlali (watering hole-su kaynağı) taarruzları keşfetti.

Yaşanan durumun medya, hükümet, internet hizmet sağlayıcıları, havacılık ve askeri teknoloji şirketlerinin web sitelerini amaç alan stratejik web ihlalleriyle ilgili gayeli akınlar olduğu araştırma sonuçlarında paylaşıldı.

Bu ataklar Orta Doğu’yla ilgili kontakların yanı sıra Yemen’e ve etrafındaki çatışmalara ağır bir halde odaklanıyor. Orta Doğu’da bulunan gayeler İran, Suudi Arabistan, Suriye, Yemen olurken Avrupa’dakiler ise İtalya ve İngiltere. Güney Afrika’da amaçlar ortasında yer alıyor.

Saldırganlar, Almanya’daki bir medikal fuarı taklit eden bir web sitesi de oluşturdu. Kampanyanın bir İsrail casus yazılım firması olan Candiru ile yakın temasları bulunuyor. Bu firma ABD Ticaret Bakanlığı tarafından yakın vakitte müsaade verilmeyenler listesine alınmıştı.

Firma, hükümet kurumlarına son teknoloji ziyanlı yazılım araçları ve hizmetleri satıyor.

ESET Araştırma Ünitesi tarafından ortaya çıkarılan ve Yemen’e odaklandığı belirtilen ataklar, hükümet kurumlarına son teknoloji ziyanlı yazılım araçları ve ilgili hizmetleri satan bir şirket olan Candiru ile kontaklı. İhlale uğrayan web siteleri İngiltere, Yemen ve Suudi Arabistan’daki medya şirketlerine ve Hizbullah’a ilişkin. Ayrıyeten İran’daki Dışişleri Bakanlığı, Suriye’deki Elektrik Bakanlığı, Yemen’deki İçişleri ve Maliye Bakanlığı, hükümet kurumlarına ilişkin web siteleri de ihlale uğradı. Bu web sitelerinin yanı sıra Yemen’deki ve Suriye’deki internet hizmet sağlayıcıların, İtalya’daki ve Güney Afrika’daki havacılık/askeri teknoloji şirketlerinin web siteleri de hücuma uğradı. Saldırganlar, Almanya’daki bir medikal fuarı taklit eden bir web sitesi de oluşturdu.

Su kaynağı atakları

Watering hole – su kaynağı- saldırısı, ilgili gayeler tarafından ziyaret edilmesi mümkün web sitelerine sızar ve bu sayede web sitesini ziyaret edenlerin makinesine girmek için fırsat elde eder. Bu amaçlı hücumda, bu web sitelerinin makul ziyaretçileri tarayıcının suistimal edilmesi yoluyla hücuma uğramış olabilir. Lakin, ESET araştırmacıları suistimal yahut son yükle ilgili bilgiye ulaşamadı. Bu durum, tehdit aktörlerinin operasyonlarının odağını daraltmayı tercih ettiğini ve sıfır gün suistimallerine ziyan vermek istemediğini göstermenin yanı sıra atakların ne kadar yüksek düzeyde amaca yönelik olduğunu da gözler önüne seriyor. İhlale uğrayan web siteleri, kesin maksatlara ulaşmak için sadece bir zıplama tahtası olarak kullanılıyor.

Su kaynağı akınlarını gün yüzüne çıkaran ESET araştırmacısı Matthieu Faou bu mevzuda şunları söyledi: “2018 yılında, yüksek profilli web sitelerindeki su kaynağı akınlarını açığa çıkarmak için özel bir şirket içi sistem geliştirdik. 11 Temmuz 2020 tarihinde sistemimiz, Abu Dabi’deki İran elçiliğinin web sitesinin berbat maksatlı JavaScript kodundan etkilendiğiyle ilgili ikaz verdi. Amaç alınan web sitesi yüksek bir profile sahip olduğundan bu bahis ilgimizi çekti ve sonraki haftalarda Orta Doğu’yla ilgisi olan öbür web sitelerinin de gaye alındığını fark ettik.”

Matthieu Faou kelamlarına şöyle devam etti: “Tehdit kümesi 2021 yılının Ocak ayına kadar sessizliğini korudu ve Ocak 2021’de yeni bir ihlal dalgası gözlemledik. Bu ikinci dalga Ağustos 2021’e kadar devam etti. Lakin bu tarihte, birebir 2020’de olduğu üzere tüm web siteleri, büyük ihtimalle failler tarafından temizlendi. Ayrıyeten saldırganlar Almanya Düsseldorf’da düzenlenen Tıp Alanındaki Dünya Forumu’nun MEDICA Ticaret Fuarı’na ilişkin bir web sitesini de taklit etti. Operatörler, özgün web sitesini klonlayarak web sitesine küçük bir JavaScript kodu modülü ekledi. Büyük ihtimalle saldırganlar, yasal web sitesine sızmayı başaramadı ve makus emelli kodu yerleştirmek için geçersiz bir web sitesi oluşturmak zorunda kaldı.”

2020 saldırısı sırasında berbat emelli yazılım, işletim sistemini ve web tarayıcısını denetim ediyordu. Seçim süreci, bilgisayar yazılımına dayalı olduğundan ataklar taşınabilir aygıtları maksat almadı. Daha tesirli olmak için ikinci dalgada saldırganlar, zati ihlale uğramış web sitelerindeki komut belgelerini değiştirmeye başladı.

Faou, taarruzların Candiru’yla kontağına dikkate çekerek, durumu şöyle açıkladı: “Toronto Üniversitesi’nde Citizen Lab tarafından yayınlanan Candiru hakkındaki blog yazısının ‘Suudi İlişkili bir Küme mi? (A Saudi-Linked Cluster?) isimli kısmına nazaran, VirusTotal’a ve çeşitli alan isimlerine yüklenen bir kimlik avı dolandırıcılığı evrakı saldırganlar tarafından kullanıldı. Alan isimleri eşsiz URL kısaltmalarının ve web tahlili web sitelerinin varyasyonlarından oluşuyor. Bu teknik su kaynağı ataklarındaki alan isimleri için kullanılan teknikle birebirdir.”

Bu nedenle su kaynağı ataklarının operatörlerinin Candiru’nun müşterileri olması büyük bir olasılıktır. Evrakları oluşturanlar ve su kaynağı operatörleri de tıpkı olabilir. Candiru, geçtiğimiz günlerde ABD Ticaret Bakanlığı’nın Ticaret Kısıtlama Listesi’ne eklenen İsrailli özel bir casus yazılım şirketidir. Bu nedenle ABD merkezli bir kuruluş, birinci olarak Ticaret Bakanlığı’ndan lisans almadan Candiru ile iş yapamaz.

Citizen Lab, Google ve Microsoft’un yayınladığı, Candiru’nun aktiflikleri ilgili bilgilere yer veren blog yazılarının yayınlandığı tarihten kısa bir müddet sonra, yani Temmuz 2021 sonrasında ESET bu operasyonla ilgili daha fazla aktifliğe rastlamadı. Operatörler, büyük ihtimalle araçlarını yenilemek ve kampanyayı daha tesirli hale getirmek için orta verdi. ESET Research, önümüzdeki aylarda tekrar aktifliklerine başlayacaklarını düşünüyor.

Kaynak: (BHA) – Beyaz Haber Ajansı

Beyaz Haber Ajansı