Rusya destekli olduğu düşünülen Turla APT grubuna ait gelişmiş düzeyde yeni bir arka kapı yazılımı tespit edildi.
Batı ülkelerine, özellikle de ABD, Almanya ve son zamanlarda karışık durumda olan Afganistan’a yönelik birçok siber saldırının faili olduğu düşünülen Rus APT (Advanced Persistent Threat / Gelişmiş Kalıcı Tehdit) grubu Turla’ya ait yeni bir arka kapı keşfedildi.
Cisco Talos araştırmacılarının telemetri verileri yardımıyla keşfettiği bu yeni arka kapı, daha çok tespit edilmemek için özenle geliştirilmiş gibi duruyor. Zararlı implantlar (saldırganın sistemde işlemler yapmak için kullandığı asli zararlı yazılım) güvenlik yazılımları tarafından tespit edilip silinse bile TinyTurla enfekte olan cihazların halen APT grubu tarafından erişilebilir olmasını sağlıyor.
TinyTurla’nın genel yapısı ise şöyle, temelde .BAT dosyası ve w64time.dll adında bir DLL’den ibaret. BAT dosyası çalıştırıldığında meşru gibi gözüken DLL sisteme yükleniyor. DLL’in yapısı ise tespit edilmemek adına oldukça basit tutulmuş. Cisco Talos araştırmacılarına göre sadece ve sadece birkaç while döngüsünden oluşuyor.
Turla APT Kimdir?
Rusya devleti desteğiyle faaliyet yürüttüğü düşünülen Turla kod adlı Rus bilgisayar korsanları 2000’li yılların başından beri birçok devlete yapılan siber saldırılarda aktif rol oynadı. Daha çok kritik devlet kurumlarına siber casusluk amacıyla saldıran Turla, ABD bakanlıkları ve çeşitli Avrupa ülkelerinde yer alan büyükelçiliklere yapılan siber saldırıların arkasında olduğu düşünülüyor.
Kendi araç setini geliştirme yeteneğine sahip olması, çeşitli bilinen veya bilinmeyen zafiyetlerden faydalanabilmesi, sızdığı sistemlerde uzun bir süre boyunca kalmayı başarabilmesi ve genellikle operasyonlarını başarıyla yürütebilmesi nedeniyle bünyesinde oldukça gelişmiş düzeyde “siber savaşçıların” yer aldığını söyleyebiliriz.
