Küresel Organizasyonları Hedef Kiralık APT Örgütü CostaRicto Mercek Altında

Güvenlik uzmanları, küresel alanda çeşitli hedeflere saldıran ve bu özelliği ile paralı bir siber casusluk örgütü olarak beliren CostaRicta’nın izini sürüyor. CostaRicta‘nın, siber suç faaliyetlerini gizlemek için kendi geliştirdiği kötü amaçlı yazılımın yanı sıra VPN’ler (sana özel ağ), vekil sunucular ve SSH tünel yöntemini kullandıkları belirtiliyor. “SSH tunnelling”, güvenli olmayan ağlarda uzaktan hesap girişlerini ve dosya transferlerini güvenli kılmayı sağlayan bir standart. Bu yöntem ile şifrelenmiş bir SSH bağlantısı kullanarak ağ verileri taşınabiliyor.

Güvenlik uzmanları, APT (gelişmiş sürekli tehditler) hizmeti sunan paralı siber suç örgütlerinin sayılarının giderek arttığını ve kullandıkları taktikler, teknikler ve prosedüler (TTP) kapsamında devlet sponsorluğunda çalışan gelişmiş operasyonlar düzenlediklerini belirtti. Öte yandan, bu örgütlerin seçtikleri hedeflerin bulunduğu coğrafya ve sahip oldukları profiller tek bir siber suç örgütünün motivasyonu ile bağdaşmayacak kadar da çeşitli.

CostaRicta’nın 2017’den bu yana faal olduğu, ancak eylemlerini Ekim 2019’da artırdığı ifade ediliyor. Siber suç örgütünün hedefleri küresel alana yayılmış olsa da özellikle Hindistan, Bangladeş ve Singapur gibi ülkelerle birlikte Doğu Asya’ya odaklandığı dikkat çekiyor. CostaRicta’nın hedefi olan diğer ülkeler arasında Çin, ABD, Bahamalar, Avustralya, Mozambik, Fransa, Hollanda, Avusturya, Portekiz ve Çekya var.

İki trendin kesişimi

Kiralık siber korsanların (hackers-for-hire) son yıllarda beliren iki trendin kesişiminde yer aldığı görülüyor. Bir tanesi, geleneksel olarak siber suç ile haşır neşir olan, ancak devlet sponsorluğu almayan suç örgütlerinin APT tekniklerini benimsemesi. Diğer trend, siber casusluğun yeni bir APT hizmet modeli olarak ticarileştirilmesi.

Saldırı modellerinde yaşanan bu değişimin, kendilerini siber casusluk hedefi olarak görmeyen ve güvenlik altyapılarını buna göre geliştirmemiş durumdaki şirketleri zor durumda bırakabileceği ifade ediliyor. Uzmanlar, 2020’de hukuk firmaları, finansal danışmanlık şirketleri ve 3D modelleme şirketlerine kadar birçok farklı alandaki işletmenin saldırı altında kaldığını ve APT tehdidinin artık göz ardı edilemeyeceğini ifade ediyor.

Araştırmacılar, fidye yazılımların bir hizmet olarak sunulmaya başlanmasının ardından (RaaS), siber suç piyasasının portföyünü genişleterek oltalama ve sanayi casusluğu operasyonlarına da başlamasının şaşırtıcı olmadığını öne sürüyor. Siber saldırıları dışarıdan kaynak ile suç örgütlerine yaptırmanın veya bir kısmını kiralık örgütlere yüklemenin birçok avantajı mevcut. Zaman ve maliyet tasarrufu sağlandığı gibi saldırıların karmaşıklığı da azalıyor. Daha da ötesinde, suç aktörleri eylemlerine fazladan bir etkileşim katmanı yerleştiriyor. Bu sayede, gerçek suçlunun kimliğini tespit etmek zorlaşıyor.

CostaRicta’nın alet çantası 

CostaRicta’nın bilgisayar sistemlerine nasıl erişim sağladığına dair kesin bir bilgi bulunmasa da, suç örgütünün çalıntı hesap bilgileri veya dark web forumlarından satın alınan bilgilerle ağlara erişim sağladığı düşünülüyor. Bilgisayar ağına girildiği anda SSH tünelleri kuruluyor ve HTTP veya ters DNS aracılığıyla kötü amaçlı yazılım yükleyen bir araç iletiyor. Yazılım taşıyıcı, siber suçluların “Sombra” adını verdiği araç, uzaktan erişim trojanını (RAT) aktif ediyor. Bu isim Overwatch oyununda casusluk ve istihbarat görevleriyle tanınan karakterden geliyor.

Araştırmacılar, şu ana kadar trojanı taşımak için PowerSploit açık kaynak projesinin de kullanıldığını, ancak genelde özel olarak geliştirilen CostaBricks adlı taşıyıcının tercih edildiğini belirtti. CostaBricks, belleğe kod enjekte etmek için sanal makine yöntemlerini kullanıyor, böylece bilgisayarda çalışan güvenlik denetleme ürünlerinden kötü amaçlı eylemlerini saklayabiliyor.

Uzmanlar, hedefli saldırılarda bu tür bilinen yöntemlerin sıra dışı olduğuna dikkat çekiyor. Kod sanallaştırma ticari yazılım koruyucularda başarı gösterirken, daha gelişmiş çözümler de tercih ediliyor. Bunlar arasında finansal suç donanımlarında kullanılan ve rafta hazır bekleyen basit sanal makineler yer alıyor. SombRAT yüklerini bırakmak için kullanılan yaklaşım ise benzersiz olarak öne çıkıyor ve siber suçlular tarafından geliştirilen özel bir yöntem olduğu anlaşılıyor.

Tor ağı da kullanılıyor…

C++ programlama diliyle hazırlanan SombRAT arka kapı saldırısı, plugin (eklenti) mimarisine sahip. Kötü amaçlı araç yaklaşık 50 farklı komut barındırıyor. Temel olarak, ek bağımsız yükleri hayata geçirmek veya kendi eklentilerini aktif etmek için kullanılıyor. Ayrıca, bilgisayar işlemlerini durduruyor, sistem bilgileri topluyor, kumanda ve kontrol (C2) sunucusuna dosya yüklüyor ve diğer basit eylemleri gerçekleştiriyor.

Siber suçlular C2 altyapısı ile iletişimi RSA-2048 (açık anahtarlı kriptografi) ve DNS tünelleme ile yaparken, yasal olanlara benzetilen sahe alan adları oluşturuluyor. Örnek olarak bir alan adı, bir harfi yanlış yazılan Hindistan Devlet Bankası web sayfasının kopyasını temsil ediyor.

CostaRicta C2 sunucularını, Tor ağı ve web vekil sunucuları ile oluşturulan bir katman üzerinden çalıştırıyor. Böylece, ortalamanın hayli üzerinde bir güvenlik seviyesi oluşturuluyor. Uzmanlar, Sombra’nın sürekli geliştirilmekte olan bir arka kapı yazılımı olduğuna dikkat çekerek, yetenekli geliştiricilerden çıkan uzun süreli bir projeyi temsil ettiğini ifade ediyor.

Ortaya sunduğu profile bakıldığında CostaRicta’nın özelleşmiş araçları ile gerçekleştirdiği gelişmiş saldırılar için üst düzey müşteriler seçtiği anlaşılıyor. Dahası, siber suç örgütünün kimliklerini ortaya çıkarma riski en düşük müşterileri tercih ettiği anlaşılıyor.