Gazer: Yeni Bir Arka Kapı, Bu Sefer Dünyada Bakanlıkları ve Elçilikleri Hedef Aldı

ESET güvenlik araştırmacıları dünya genelindeki konsolosluklara, bakanlıklara ve elçiliklere yönelik casusluk yapmak için yazılmış yeni bir kötü amaçlı yazılım keşfetti.

Araştırmacılara göre zararlı yazılım dünya çapında birçok hedefe bulaşmayı çoktan başardı ve en çok kurbanını Avrupa’da buldu. Özellikle Güneydoğu Avrupa ve eski Sovyet bloğu siyasi hedefleri üzerine casusluk yapan zararlı yazılımın bu güne kadar dört farklı türünü tespit edildi.

2016’dan bu yana faaliyet gösteren kötü amaçlı yazılım, Gazer olarak adlandırılan yeni bir arka kapıdan yararlanıyor. Bu yazılımın daha önce Rus istihbaratıyla bağlantılı olan Turla gelişmiş kalıcı tehdit (APT) hack grubu tarafından hazırlandığına inanılıyor. C ++ programlama dili ile yazılmış Gazer arka kapısı zararlısı, e-postalar göndererek hedef bilgisayarı iki adımla ele geçiriyor. İlk olarak, kötü amaçlı yazılım daha önce Turla’ya bağlı olan Skipper arka kapısına geçiyor ve daha sonra burası üzerinden Gazer zararlı yazılımın bileşenlerini yüklüyor.

Gazer, uzaktan kontrol edilmekte ve kontrol sunucusundan şifrelenmiş komutlar almaktadır. Daha önce ele geçirilmiş meşru (yasal) web sitelerini (çoğunlukla WordPress CMS’yi kullananları) vekil sunucu olarak kullanarak kendi yerinin tespit edilmesinden kaçmaktadır. Zararlı yazılım, Windows Crypto API’yı kullanmak yerine, veriyi C&C (Kontrol) sunucusuna göndermeden önce şifrelemek için özel 3DES ve RSA şifreleme kitaplıklarını kullanmaktadır. Bu Turla APT grubunun ortak bir taktiğidir.

 

Gazer, bir makinenin kontrolünü ele geçirmek için kod enjeksiyon tekniğini kullanmakta ve bilgiyi çalmak için kendisini uzun süre gizlemektedir. Gazer zararlı yazılımı aynı zamanda, aynı ağdaki virüs bulaşmış diğer makinelere alınan komutları iletme yeteneğine de sahiptir.

ESET tarafından yayınlanan araştırmaya göre, geçmiş zararlılar Gazer ile de benzerlik taşıyor. Daha önceki siber casusluk kampanyalarında, Turla hack grubu Carbon ve Kazuar’ı arka kapılarını ikinci etap zararlı yazılım olarak kullanmışlardı. İlginç bir şekilde, Gazer’in önceki sürümleri “Solid Loop Ltd” için Comodo tarafından yayımlanan geçerli bir sertifika ile imzalanırken, son sürüm “Ultimate Computer Support Ltd.”e verilen bir SSL sertifikasıyla imzalanmıştır.

Bu arada Kaspersky laboratuarı, Gazer arka kapı zararlısı ile ilgili neredeyse benzer ayrıntıları yayınladılar, ancak buna ‘Whitebear’ APT zararlısı adını verdiler.

ESET’in hazırlmış olduğu [PDF] raporuna buradan erişebilirsiniz.