Toplu Casus Yazılım Kampanyası, Endüstriyel Kontrol Sistemlerini Hedefliyor

20 Ocak- 10 Kasım 2021 tarihleri arasında 195 ülkede 35 binden fazla bilgisayarı hedef alan yeni bir kötü amaçlı yazılımı temel alan kampanya ortaya çıkarıldı. Gelişmiş kalıcı tehdit (APT) grubu Lazarus’un Manuscrypt kötü amaçlı yazılımıyla benzerlikleri nedeniyle “PseudoManuscrypt” olarak adlandırılan yeni yazılım, gelişmiş casusluk yetenekleri içeriyor ve çok sayıda endüstride hem devlet kuruluşlarını hem de endüstriyel kontrol sistemlerini (ICS) hedef aldığı belirtiliyor.

Endüstriyel kuruluşlar hem finansal kazanç hem de istihbarat toplama açısından siber suçlular için en cazip hedeflerin başında geliyor. 2021 yılı Lazarus ve APT41 gibi tanınmış APT gruplarının endüstriyel kuruluşlara saldırdığına sahne oldu. Uzmanlar, başka bir saldırı dizisini araştırırken, grubun savunma endüstrisine karşı ThreatNeedle kampanyasında kullandığı özel kötü amaçlı yazılım olan ve Lazarus’un “Manuscrypt” ile bazı benzerliklere sahip yeni bir kötü amaçlı yazılım parçasını ortaya çıkardı. Bu nedenle yazılım PseudoManuscrypt olarak adlandırıldı.

Hedeflerin çoğu, askeri-endüstriyel işletmeler ve araştırma laboratuvarları dahil olmak üzere sanayi ve devlet kuruluşlarıydı. Saldırıya uğrayan bilgisayarların %7,2’si endüstriyel kontrol sistemlerinin (ICS) bir parçasıydı. Mühendislik ve bina otomasyonu en çok etkilenen bölümleri temsil ediyordu.

PseudoManuscrypt, başlangıçta bazıları ICS’ye özel sahte korsan yazılım yükleyici arşivleri aracılığıyla hedeflenen sisteme indiriliyor. Bu sahte yükleyicilerin Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) platformu aracılığıyla sunulması muhtemel. İlginç bir şekilde bazı durumlarda PseudoManuscrypt, kötü bir üne sahip olan Glupteba botnet aracılığıyla kuruluyor. İlk bulaşmadan sonra ana kötü amaçlı modülü indiren karmaşık bir enfeksiyon zinciri başlatılıyor. Uzmanlar bu modülün iki çeşidini belirledi. Her ikisi de tuş vuruşlarını günlüğe kaydetme, panodan veri kopyalama, VPN (ve potansiyel olarak RDP) kimlik doğrulama bilgilerini ve bağlantı verilerini çalma, ekran görüntülerini kopyalama dahil olmak üzere gelişmiş casusluk yeteneklerine sahip.

Hedef farkı gözetilmiyor…

Saldırılar belirli endüstrilere dair bir tercih göstermiyor. Ancak saldırıya uğrayan çok sayıda mühendislik bilgisayarı, 3D ve fiziksel modelleme ve dijital ikizler için kullanılan sistemler de dahil olmak üzere, endüstriyel casusluğun tek bir hedef olabileceğini gösteriyor.

Garip bir şekilde kurbanlardan bazıları, ICS CERT’nin daha önce bildirdiği Lazarus kampanyasının kurbanlarıyla bağlantılı görünüyor. Veriler, daha önce yalnızca APT41‘in kötü amaçlı yazılımıyla kullanılan bir kitaplık yardımıyla nadir bir protokol üzerinden saldırganların sunucusuna gönderiliyor.