Bu Siber Çete Yurtdışına İş Gezisine Çıkan İş İnsanlarını Hedefliyor

Kaspersky Lab22

Kaspersky Lab’ın Global Araştırma ve Analiz Ekibinden uzmanlar, yurtdışında iş gezilerine çıkan seçkin iş insanarının hassas bilgilerini çalan ve dört yıldır gölgelerde ustaca gizlenen “Dark Hotel” casusluk kampanyasını araştırdı. “Dark Hotel”, lüks otellerde kalan hedefleri avlıyor. Çete asla aynı hedefin ardından iki kez gitmiyor, operasyonlarını cerrahi titizlikle uygularken alabildikleri tüm kıymetli bilgileri ilk elden alıyor, çalışmalarının izlerini siliyor ve bir sonraki yüksek profilli hedefi beklerken yeraltına çekiliyor.

En yakın zamandaki hedefler arasında, Asya-Pasifik bölgesinde iş yapan ve yatırımlarda bulunan ABD ve Asyalı iş insanları bulunuyor: CEO’lar, kıdemli başkan yardımcıları, satış ve pazarlama direktörleri ve üst düzey Ar-Ge personeli bu hedefler arasında. Bir sonraki kurban kim olacak? Kaspersky Lab, bu tehdidin halen aktif olduğu konusunda iş insanlarını uyarıyor.

Peki bu saldırı nasıl gerçekleşiyor

Dark Hotel casusu, özel ve gizli olduğu düşünülen sistemlerine bile yıllarca birçok kez erişim sağlamış olduğu otel ağlarına etkili bir şekilde sızıyor. Kurbanın otele giriş yapmasının ardından otelin Wi-Fi ağına bağlanmasını ve oturum açarken oda numarası ve soyadını girmesini bekliyor. Saldırganlar kurbanı güvenliğini ihlal ettikleri ağda görüyor ve Google Araç Çubuğu, Adobe Flash veya Windows Messenger benzeri bir yasal yazılımın güncellemesi gibi görünen bir arka kapıyı indirmesi ve kurması için ikna ediyor. Durumdan şüphelenmeyen işadamı, otelin “hoş geldiniz paketini” indirerek Dark Hotel’in casusluk yazılımı olan arka kapıyı bilgisayarına bulaştırıyor.

Sisteme giren arka kapı daha gelişmiş hırsızlık araçlarını indirmek için kullanılıyor: dijital imzalı gelişmiş bir tuş kaydedici, ‘Karba’ Trojanı ve bir bilgi çalma modülü. Bu araçlar sistem ve üzerinde kurulu zararlı yazılım önleme yazılımı hakkında bilgi toplar, tüm tuş darbelerini kaydediyor ve Firefox, Chrome ve Internet Explorer’da ön belleğe alınan şifreleri; Gmail Notifier, Twitter, Facebook, Yahoo! ve Google oturum açma bilgilerini ve diğer gizli bilgileri çalıyor. Kurbanlar, temsil ettikleri kurumların fikri mülkiyetleri de dahil olmak üzere hassas bilgilerini kaybeder. Operasyonun ardından ise saldırganlar, araçlarının izlerini otel ağından özenle siler ve saklanmaya devam eder.

Dark Hotel hakkında yorumlarda bulunan Kaspersky Lab Baş Güvenlik Araştırmacısı Kurt Baumgartner şunları söyledi: Geçtiğimiz birkaç yıl içinde Dark Hotel adı verilen güçlü bir aktör, tipik siber saldırı davranışın çok ötesinde yöntemler ve teknikler uygulayarak yüksek profilli işadamlarına karşı bir dizi başarılı saldırı gerçekleştirdi. Bu tehdit aktörü operasyonel yetkinliğe, matematik ve kriptanalitik saldırı becerilerine ve güvenli ticari ağları ihlal etmek ve stratejik hassasiyetle belirli kurban kategorilerini hedeflemek için yeterli kaynağa sahiptir.”

Bazı zararlı yazılım dağıtım vektörleri hakkında daha fazla bilgiyi burada bulabilirsiniz.

Kurt Baumgartner sözlerine şöyle devam ediyor: “Hedefli saldırıların yüksek profilli kurbanlara karşı kullanıldığı ve botnet tarzı operasyonların toplu gözetim veya DDoSing saldırıları veya sadece ilgi çekici kurbanların daha karmaşık casusluk araçlarına yükseltilmesi gibi görevlerde kullanıldığı hedefli saldırılar ve rastgele saldırıların karışımı, APT sahnesinde git gide daha sık görülmektedir.”

Kaspersky Lab araştırmacıları saldırganların bir dize üzerinde, Korece konuşan bir aktöre işaret eden bir iz bıraktığını bildirdi. Kaspersky Lab’ın ürünleri Dark Hotel tarafından kullanılan zararlı programları ve değişkenlerini tespit ediyor ve etkisiz hale getiriyor. Kaspersky Lab şu anda, sorunu en iyi şekilde çözmek için ilgili kurumlarla birlikte çalışmakta.

Dark Hotel’in sinsi numaralarını nasıl zekice alt edebilirsiniz?

Seyahat sırasında herhangi bir ağ, hatta yarı özel olanlar üzerinde bile potansiyel bir tehlike olarak görmelisiniz. Dark Hotel gelişen bir saldırı vektörü sergiler: değerli bilgilere sahip bireyler, hala aktif olan Dark Hotel veya benzeri bir saldırının kurbanı olabilir. Kaspersky Lab, bunu önlemek için aşağıdaki ipuçlarını değerlendirmenizi tavsiye eder:

  • Bir Sanal Özel Ağ (VPN) sağlayıcısı seçtiğinizde ortak veya yarı ortak Wi-Fi’ye erişim sağladığınızda şifreli bir iletişim kanalı edineceksiniz;
  • Seyahat sırasında yazılım güncellemelerinin hepsinden şüphe edin. Teklif edilen güncelleme kurulumcusunun ilgili tedarikçi tarafından imzalandığını onaylayın.
  • İnternet güvenliği çözümünüzün temel antivirüs korumasından daha çok yeni tehditlere karşı koruyucu savunma içerdiğinden emin olun
  • Gizlilik ipuçları hakkında daha fazla bilgi için ziyaret edin: kaspersky.com/privacy

Dark Hotel APT aktörü ile ilgili raporun tamamını okumak için Securelist‘i ziyaret ettiğinizde ek olarak ilgili video‘yu da izleyebilirsiniz.

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir