Antivirüs ESET, Siber Casusluk Yapmak İçin Son Windows İşletim Sisteminin Sıfır Gün Güvenlik Açığını Suistimal Eden Saldırıları Keşfeder
Popüler antivirüs ve dijital güvenlik yazılımlarının üreticileri ESET, yakın zamanda bir Windows işletim sistemi sıfır gün güvenlik açığından yararlanan saldırganları keşfetti. Saldırının arkasındaki hack grubunun siber casusluk yaptığına inanılıyor. İlginç bir şekilde, bu, "Buhtrap" adıyla anılan grubun tipik bir hedefi veya metodolojisi değildir ve bu nedenle istismar, grubun dönmüş olabileceğini kuvvetle gösterir.
Slovak antivirüs üreticisi ESET, Buhtrap olarak bilinen bir bilgisayar korsanı grubunun, vahşi ortamda istismar edilen yeni bir Windows işletim sistemi sıfır gün güvenlik açığının arkasında olduğunu doğruladı. Keşif oldukça ilginç ve endişe verici çünkü grubun faaliyetleri, çekirdek yazılım kod tabanı çevrimiçi sızdırıldığında birkaç yıl önce ciddi şekilde kısıtlanmıştı. Saldırı, siber casusluk yapmak için bildirildiğine göre, Windows işletim sisteminde yeni sıfır gün güvenlik açığı kullandı. Bu kesinlikle endişe verici yeni bir gelişmedir çünkü Buhtrap hiçbir zaman bilgi çıkarmaya ilgi göstermedi. Grubun başlıca faaliyetleri para çalmaktı. Oldukça aktif olduğu zamanlarda, Buhtrap’ın birincil hedefleri finans kurumları ve sunucularıydı. Grup, para çalmak için bankaların veya müşterilerinin güvenliğini tehlikeye atmak için kendi yazılım ve kodlarını kullandı.
Bu arada, Microsoft sıfırıncı gün Windows işletim sistemi güvenlik açığını engellemek için bir yama yayınladı. Şirket hatayı tespit etmiş ve CVE-2019-1132 olarak etiketlemişti. Yama, Temmuz 2019 Salı Yaması paketinin bir parçasıydı.
Buhtrap Pivotları Siber Casusluğa:
ESET geliştiricileri, Buhtrap'ın katılımını doğruladı. Dahası, antivirüs üreticisi, grubun siber casusluk yapmakla ilgilendiğini bile ekledi. Bu, Buhtrap’ın önceki istismarlarına tamamen aykırıdır. Bu arada ESET, grubun en son faaliyetlerinden haberdardır, ancak grubun hedeflerini açıklamamıştır.
İlginç bir şekilde, birkaç güvenlik kurumu Buhtrap'ın devlet destekli normal bir hacker grubu olmadığını defalarca belirtmiştir. Güvenlik araştırmacıları, grubun esas olarak Rusya'dan faaliyet gösterdiğinden emin. Genellikle Turla, Fantezi Ayılar, APT33 ve Denklem Grubu gibi diğer odaklanmış bilgisayar korsanlığı gruplarıyla karşılaştırılır. Ancak, Buhtrap ile diğerleri arasında çok önemli bir fark var. Grup, saldırılarını nadiren açıkça ortaya çıkarır veya sorumluluk alır. Üstelik öncelikli hedefleri her zaman finans kurumları olmuştur ve grup bilgi yerine paranın peşine düşmüştür.
Buhtrap ilk olarak 2014 yılında ortaya çıktı. Grup, birçok Rus şirketinin peşinden gittikten sonra tanındı. Bu işler oldukça küçüktü ve bu nedenle soygunlar çok fazla kazanç sağlamadı. Yine de başarı elde eden grup, daha büyük finans kurumlarını hedef almaya başladı. Buhtrap, nispeten iyi korunan ve dijital olarak güvence altına alınan Rus bankalarının peşinden gitmeye başladı. Group-IB'den bir rapor, Buhtrap grubunun 25 milyon dolardan fazla para kazanmayı başardığını gösteriyor. Güvenlik şirketi Symantec'in iddiasına göre, grup toplamda yaklaşık 13 Rus bankasına başarılı bir şekilde baskın düzenledi. İlginç bir şekilde, dijital soygunların çoğu Ağustos 2015 ile Şubat 2016 arasında başarıyla gerçekleştirildi. Diğer bir deyişle Buhtrap, ayda yaklaşık iki Rus bankasından yararlanmayı başardı.
Buhtrap grubunun faaliyetleri, çevrimiçi olarak ortaya çıkan yazılım araçlarının ustaca geliştirilmiş bir kombinasyonu olan kendi Buhtrap arka kapılarının ardından aniden durdu. Raporlar, grubun birkaç üyesinin yazılımı sızdırmış olabileceğini gösteriyor. Grubun faaliyetleri aniden dururken, güçlü yazılım araçlarına erişim, birkaç küçük bilgisayar korsanlığı grubunun gelişmesine izin verdi. Zaten mükemmel hale getirilmiş yazılımı kullanarak birçok küçük grup saldırılarını gerçekleştirmeye başladı. En büyük dezavantaj, Buhtrap arka kapısını kullanarak gerçekleşen çok sayıda saldırıdır.
Buhtrap arka kapısının sızdırılmasından bu yana, grup aktif olarak tamamen farklı bir niyetle siber saldırılar gerçekleştirmeye başladı. Bununla birlikte, ESET araştırmacıları, Aralık 2015'ten beri grup değiştirme taktiklerini gördüklerini iddia ediyorlar. Görünüşe göre, grup devlet kurumlarını ve kurumlarını hedef almaya başladı, ESET, "Araçları kullanırken belirli bir aktöre bir kampanya atfetmek her zaman zordur kaynak kodu internette ücretsiz olarak mevcuttur. Bununla birlikte, hedeflerdeki değişim kaynak kodu sızıntısından önce meydana geldiğinden, işletmelere ve bankalara yönelik ilk Buhtrap kötü amaçlı yazılım saldırılarının arkasındaki aynı kişilerin de devlet kurumlarını hedeflemeye dahil olduğunu büyük bir güvenle değerlendiriyoruz. "
ESET araştırmacıları, bu saldırılarda Buhtrap'ın elini hak ettiğini iddia edebildiler çünkü saldırıların gerçekleştirilme biçimindeki kalıpları belirleyebildiler ve çeşitli benzerlikler keşfettiler. "Cephaneliklerine yeni araçlar eklenmiş ve eski araçlara güncellemeler uygulanmış olsa da, farklı Buhtrap kampanyalarında kullanılan Taktikler, Teknikler ve Prosedürler (TTP) tüm bu yıllar boyunca önemli ölçüde değişmedi."
Buhtrap, Karanlık Web'de Satın Alınabilen Bir Windows İşletim Sistemi Sıfır Gün Güvenlik Açığı Kullanıyor mu?
Buhtrap grubunun Windows işletim sistemi içinde oldukça yeni bir güvenlik açığı kullandığını not etmek ilginçtir. Başka bir deyişle, grup genellikle "sıfır gün" olarak etiketlenen bir güvenlik açığı uyguladı. Bu kusurlar genellikle düzeltilmez ve kolayca bulunmaz. Bu arada, grup daha önce Windows işletim sistemindeki güvenlik açıklarını kullanmıştı. Ancak, genellikle diğer hacker gruplarına güvenmişlerdir. Dahası, istismarların çoğu Microsoft tarafından yayınlanan yamalara sahipti. Grubun, sızmak için yamalanmamış Windows makinelerini arayan aramalar yapması oldukça muhtemeldir.
Bu, Buhtrap operatörlerinin yamalanmamış bir güvenlik açığını kullandığı bilinen ilk örnektir. Başka bir deyişle, grup Windows işletim sistemi içinde gerçek sıfır gün güvenlik açığını kullandı. Grup, güvenlik açıklarını keşfetmek için gerekli becerilere sahip olmadığı için, araştırmacılar grubun aynı şeyi satın almış olabileceğine kuvvetle inanıyor. Kaspersky Küresel Araştırma ve Analiz Ekibi'nin başında bulunan Costin Raiu, sıfırıncı gün güvenlik açığının aslında Volodya olarak bilinen bir güvenlik açığından yararlanma komisyoncusu tarafından satılan bir "ayrıcalık yükselmesi" hatası olduğuna inanıyor. Bu grubun hem siber suç hem de ulus devlet gruplarına sıfır gün istismarlarını satan bir geçmişi var.
Buhtrap’ın siber casusluk ekseninin Rus istihbaratı tarafından yönetilmiş olabileceğine dair söylentiler var. Kanıtlanmamış olsa da teori doğru olabilir. Rus istihbarat servisinin, onlar için casusluk yapması için Buhtrap'ı tutması mümkün olabilir. Pivot, hassas şirket veya hükümet verileri yerine grubun geçmişteki ihlallerini affetmeye yönelik bir anlaşmanın parçası olabilir. Rusya'nın istihbarat departmanının geçmişte üçüncü taraf bilgisayar korsanlığı grupları aracılığıyla bu kadar büyük ölçekli düzenleme yaptığına inanılıyordu. Güvenlik araştırmacıları, Rusya'nın diğer ülkelerin güvenliğini denemek ve sızmak için yetenekli kişileri düzenli olarak ancak gayri resmi olarak işe aldığını iddia ettiler.
İlginç bir şekilde, 2015'te Buhtrap'ın hükümetlere karşı siber casusluk operasyonlarında yer aldığına inanılıyordu. Doğu Avrupa ve Orta Asya ülkelerinin hükümetleri rutin olarak Rus bilgisayar korsanlarının çeşitli durumlarda güvenliklerine sızmaya çalıştıklarını iddia ettiler.