Çin kaynaklı olduğu düşünülen tehdit aktörleri tarafından geliştirilen yeni bir siber casusluk zararlısı tespit edildi.
Çin devleti ile bağlantılı olduğu bilinen gelişmiş tehdit grubu APT31 tarafından geliştirildiği iddia edilen zararlı yazılım, 2021 yılının Ocak ve Temmuz ayları arasında aralarında ABD ve Rusya’nın da olduğu 10 hedefe siber espiyonaj amaçlı saldırılarda kullanıldı.
Çeşitli ulus devletlerin veya özel kuruluşların desteğiyle istihdam edilen birtakım gizli hacker grupları artık günümüz bilişim dünyasında çok büyük rol oynuyor. Her şeyin dijital ortamda yürütüldüğü günümüzde istihbari faaliyetler de artık çoğu zaman insanlarla değil, bilişim sistemleri üzerinden sağlanıyor. Siber espiyonaj işte bilişim sistemleri kullanılarak yapılan bilgi casusluğuna verilen isim.
Güvenlik devi FireEye saldırıların arkasındaki APT31‘i şu şekilde tanımlıyor: “Çin hükümeti ve devletine ait işletmelere siyasi, ekonomik ve askeri avantajlar sağlamak için bilgi hırsızlığı yapmaya odaklanan siber casusluk aktörü.”
APT31’in geliştirmiş olduğu söz konusu yeni zararlı ise bir dropper gibi çalışıyor. Komuta kontrol sunucusunun emriyle diğer kötü amaçlı yazılımları indirebiliyor, dosya işlemleri yapabiliyor, hassas verileri sızdırabiliyor, kendisini işi bitince sistemden silebiliyor.
Positive Technologies’in yayınlamış olduğu araştırma raporuna göre Moğolistan’a yönelik yapılan siber saldırılarda kullanılan zararlı varyantı ayrıca geçerli bir dijital imza da içeriyordu. Böylece güvenlik yazılımlarının birçoğunu daha en başından atlatabildi diyebiliriz.
Kötü amaçlı yazılım yine geçen senelerde tespit edilen bir diğer APT31 aracı DropboxAES zararlısına da oldukça benziyor. Komuta kontrol sunucusu olarak DropBox‘u kullanmaya çalışan bu zararlı trafiğini oldukça masum göstermeye çalışıyordu. Araştırmacılara göre 2020 yılında da olduğu gibi saldırganlar yine benzer zararlılar kullanılarak çeşitli çıkarlar elde etmek amacıyla ağırlıklı olarak Rus coğrafyasına saldırmaya devam ediyor.
