Son yıllarda gerçekleşen en önemli zararlı yazılım kaynaklı siber güvenlik olayları arasında, iki yıl üst üste benzeri görülmemiş bir karanlığa neden olan Ukrayna enerji şebekesine yönelik saldırılar ve yıkıcı (Not)Petya fidye yazılımı saldırısı gösterilebilir.
Aralık 2015’te meydana gelen tarihteki ilk zararlı yazılım kaynaklı karartma, BlackEnergy zararlı yazılım aracı tarafından gerçekleştirildi. ESET araştırmacıları, BlackEnergy’den faydalanan APT grubunun faaliyetlerini bu tarihi olayın öncesinde ve sonrasında izlemekteydi. 2015’deki kararmadan sonra, bu grup aktif BlackEnergy kullanımını sonlandırmış görünerek TeleBots adını verdiğimiz şeye dönüştü.
‘APT gruplarını’ tanımlarken; kod benzerlikleri, paylaşılan C&C (Komuta ve Kontrol) altyapısı, zararlı yazılım yürütme zincirleri ve bunun gibi etkenlerin ifade edildiğini bilmek önemlidir. Genel olarak, zararlı yazılımı kodlayan veya dağıtan kişiler ve bu kişiler arasındaki ilişkilerin araştırılması ve tanımlanması gibi konulara doğrudan dâhil değiliz. Ayrıca, ‘APT grubu’ terimi net bir şekilde tanımlanmamıştır ve genel olarak yukarıda bahsedilen zararlı yazılım göstergelerini bir arada ifade etmek için kullanılmaktadır. Bu aynı zamanda, ulus devletlere atfedilen saldırılarla ilgili spekülasyonlardan kaçınmamızın nedenlerinden biridir.
Bununla birlikte, yalnızca Ukrayna enerji şebekesine yönelik değil; çeşitli sektörler ve yüksek önem teşkil eden hedeflerle birlikte, çoğunlukla Ukrayna finans sektörüne yönelik bir dizi saldırıyla Telebots grubu arasındaki bağlantıları gözlemleyerek belgeledik. Haziran 2017’de, pek çok büyük kuruluş Diskcoder.C zararlı yazılımı (Petya ve (Not)Petya) ile muhtemelen istem dışı olarak saldırıya uğramışken, bu salgının TeleBots arka kapısından etkilenen firmalar üzerinden yayıldığını ve bunun da popüler finans yazılımı M.E.Doc’un bir açığından kaynaklandığını keşfettik.
Peki, Aralık 2016’daki kararmaya sebep olan sofistike zararlı yazılım yapısı Industroyer tüm bunların neresinde? Keşfimizi kamuoyuna duyurduktan hemen sonra, bazı güvenlik şirketleri ve medya kuruluşları, Insutroyer’in de BlackEnergy/Telebots (bazen de yanlış şekilde Sandworm ile ilişkilendirilerek) grubu tarafından dizayn edildiği yönünde spekülasyon yaptılar. Ancak, şimdiye kadar kamuya hiçbir somut kanıt sunulmamıştır.
Nisan 2018’de TeleBots gurubunun yeni bir faaliyetini keşfettik. ESET’in Win32/Exaramel olarak tespit ettiği yeni bir arka kapı dağıtım girişimi. Araştırmalarımız bu TeleBots arka kapısının, ana Industroyer arka kapısının gelişmiş bir versiyonu olduğu ve bulunamayan ilk kanıt olduğu yönünde bulgulara işaret etmektedir.
Anton Cherepanov ve Robert Lipovsky tarafından hazırlanan makalenin tamamını okumak için buradaki bağlantıya tıklayabilirsiniz.
