Gündemde daima devlet dayanaklı tehdit kümeleri ve gelişmiş hücumlar olsa da şirketler günümüzde birçok farklı tehditle her an karşı karşıya. Fidye yazılımlarından data sızıntılarına ve ticari casusluğa kadar uzanan bu tehditler şirketlerin çalışmalarına ve prestijine ziyan verebiliyor. Bu çeşit ataklar orta seviye ziyanlı yazılım yöneticileri ve bazen de uzmanların 2018’den beri takip ettiği DeathStalker üzere kiralık kümeler tarafından düzenleniyor.
DeathStalker, hukuk şirketleri ve finans kuruluşlarına yönelik siber casusluk ataklarına ağırlaşmasıyla başka tehdit kümelerinden ayrılıyor. Yeniliklere çok süratli ahenk sağlayabilen ve yazılım dizaynında süratle çoğaltmaya yönelik bir yaklaşım sergileyen küme, tesirli ataklar düzenleyebiliyor.
Kaspersky yaptığı araştırmalarla Powersing, Evilnum ve Janicab ziyanlı yazılım aileleri ile DeathStalker’ın faaliyetleri ortasında bir temas kurabildi. Bu da kümenin en az 2012’den bu yana ne kadar geniş bir yelpazede faaliyet gösterdiğini gözler önüne seriyor. Powersing, 2018’den bu yana izlenirken öteki iki ziyanlı yazılım ailesi ise öteki siber güvenlik markaları tarafından raporlandı. Bu üç ziyanlı yazılım ailesinin kodlarındaki ve kurbanlarındaki benzerlik, araştırmacıların bunlar ortasında bir ilgi olduğunu düşünmesini sağladı.
Yıllardır birebir taktik, teknik ve prosedürleri kullanan bu tehdit kümesi, ziyanlı evraklar içeren arşivleri dağıtmak için amaçlı kimlik avı e-postalarından yararlanıyor. Kullanıcı kısayola tıkladığında ziyanlı kod çalışmaya başlıyor ve internet üzerinden ek bileşenler indiriyor. Böylelikle saldırganlar kurbanın makinesinin denetimini ele geçiriyor.
Bu tehdit kümesinden tespit edilen birinci ziyanlı yazılım olan Powersing, Power-Shell tabanlı bir sızma programıydı. Yazılım kurbanın aygıtına yüklendikten sonra belli aralıklarla ekran imgesi alıp istediği Powershell kodunu çalıştırabiliyordu. Sızılan aygıttaki güvenlik tahliline nazaran alternatif usuller kullanarak kendini gizleyen bu ziyanlı yazılım, tespit edilmekten kaçınabiliyor, her taarruz öncesinde kümeye sinyal göndererek tespit testleri yapılmasını sağlıyor ve elde edilen sonuçlara bağlı olarak kodlarını güncelleyebiliyor.
DeathStalker, Powersing yazılımını kullandığı taarruzlarda birinci art kapı bağlantılarını olağan ağ trafiğine gizlemek için tanınmış bir servisten yararlanıyordu. Bu da güvenlik tahlillerinin operasyonlarını zorlaştırıyordu. Çeşitli toplumsal medya ağları, blog ve iletileşme servislerine yerleştirilen ve ek komut ve denetim altyapısına yönlendiren büyük ölçüde data sayesinde hatalılar tespit edilmeden saldırıyı tamamlayabiliyordu. Atağa uğrayan kurbanlar diğer yerlere erişmek istediklerinde bu bilgiler tarafından yönlendiriliyordu. Bu da irtibatın bâtın kalmasını sağlıyordu.
DeathStalker’ın dünyanın her yerinde faaliyet göstermesi kümenin operasyonlarının boyutunu ortaya koyuyor. Powersing kullanılan olaylara Arjantin, Çin, Kıbrıs, İsrail, Lübnan, İsviçre, Tayvan, Türkiye, Birleşik Krallık ve Birleşik Arap Emirlikleri’nde rastlandı. Kaspersky ayrıyeten Kıbrıs, Hindistan, Lübnan, Rusya ve Birleşik Arap Emirlikleri’nde Evilnum’un maksadı olan kullanıcılar tespit etti.
“DeathStalker, özel daldaki kurumların kendilerini müdafaası gereken tehdit kümelerinin en kıymetli örneklerinden biri. APT kümelerinin faaliyetlerini izlerken, DeathStalker bize güvenliğe kıymet vermediği bilinen kurumların maksat olabileceğini hatırlattı. Son faaliyetlerine bakarak DeathStalker’ın bir tehdit olarak kalmayı sürdüreceğini ve yeni araçlarla kurumları amaç alacağını iddia ediyoruz. Bu küme, küçük ve orta uzunluk şirketlerin de güvenliğe ve güvenlik farkındalığı eğitimine yatırım yapması gerektiğini gösteriyor.” diyen Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Ivan Kwiatkowski, kelamlarını şöyle sürdürdü: “DeathStalker’dan korunmak isteyen kurumlara, powershell.exe ve script.exe üzere kodlama lisanlarını kullanma özelliğini devre dışı bırakmalarını tavsiye ediyoruz. Ayrıyeten, düzenlenecek farkındalık eğitimleri ve güvenlik eseri değerlendirmelerinde kısayol belgelerinin kullanıldığı akınlara da yer verilmesini öneriyoruz.”
