Israrlı tehditler ve politik hedefleri olan gruplar söz konusu olduğunda Latin Amerika genellikle göz ardı edilir.
Ancak, dikkatleri üstüne çekmeyi başaran, yüksek profilli kuruluşlara karşı devam eden bir siber casusluk vakası var. Bu saldırıların arkasındaki grup, çoğunlukla Venezuela’nın devlet kuruluşlarından gigabaytlarca gizli belge çaldı. Bu yazı yayımlanırken hâlâ çok aktif olan bu grup, zararlı yazılımlarının yapısını sürekli olarak güncelliyor.
ESET, ilk olarak Nisan 2018’de görülen yeni bir Machete (grubun Python tabanlı araç seti) sürümünü takip ediyordu. Arka kapı zararlısının ana işlevselliği önceki sürümlerle aynı kalırken, bir yıl boyunca yeni özelliklerle genişletilmiştir.
ESET araştırmacıları, Mart ayının sonundan Mayıs 2019 sonuna kadar C&C sunucusu ile aktif olarak iletişim kuran 50’den fazla mağdur bilgisayarın bulunduğunu gözlemlediler. Bu, her hafta yüklenen gigabaytlarca veri anlamına gelir. Tehlikedeki bilgisayarların %75’inden fazlası, askeri güçler, eğitim, polis ve dışişleri sektörleri de dahil olmak üzere Venezuela devlet kuruluşlarının bir parçasıydı. Bu durum, Machete zararlı yazılımının Ekvador ordusunu hedef almasıyla Latin Amerika’daki diğer ülkelere de uzanıyor.
Zararlı yazılım şebekesi
Machete şebekesi etkili hedefli oltalama teknikleri kullanır Latin Amerika ülkelerine odaklanan uzun süren saldırılar, yıllarca istihbarat toplamalarına ve taktiklerini geliştirmelerine olanak sağladı. Hedeflerini, düzenli iletişimlere nasıl karışacaklarını ve çalınacak hangi belgelerin en değerli olduğunu biliyorlar. Machete sadece ortak ofis paketi belgelerini değil, aynı zamanda coğrafi bilgi sistemleri (CBS) yazılımı tarafından kullanılan özel dosya türlerini de çeker. Grup, navigasyon rotalarını ve askeri şebekeleri kullanarak konumlandırmayı tanımlayan dosyalarla ilgileniyor.
Machete grubu kurbanlarına özel hazırlanan e-postalar gönderir ve bu e-postalar hedeften hedefe değişir. Bu e-postalar, zararlı yazılımı çalıştıran ve yem olarak sunulan sıkıştırılmış bir çalıştırılabilir dosya eki veya bu dosyaya link içerir.
Hedeflerin durumdan şüphelenmemeleri için Machete şebekesi, daha önce çaldığı gerçek belgeleri kullanır. ESET, belirli bir günde çalıntı belgelerin kötü amaçlı yazılımlarla birlikte paketlendiği ve aynı gün yeni kurbanları yemlemek için kullanıldığı bunun gibi daha fazla vaka görmüştü.
Yem olarak kullanılan belgeler grubun hedefleri tarafından günde birkaç kez meşru olarak gönderilir ve alınır. Örneğin Radiogramalar Venezuela askeri kuvvetlerinde iletişim için kullanılmış belgelerdir. Saldırganlar, çok ikna edici oltalama e-postaları üretmek için askeriye jargonu ve davranışı bilgilerinden yararlanırlar.
Konu hakkındaki ESET araştırma makalesinin tamamını buradaki bağlantıdan okuyabilirsiniz.
