Trend Micro, Çin dışında faaliyet gösterdiğine inanılan bir hackerın -USBferry ile- Tayvan ve Filipinler’deki fiziksel olarak yalıtılmış askeri ağları hedeflediğini bildirdi.
Hackerlar, Tropic Trooper ve KeyBoy olarak biliniyor ve en az 2011’den beri aktif hâlde. Hacker Tayvan, Filipinler ve Hong Kong’daki hükümet, askeri, sağlık, ulaşım ve yüksek teknoloji endüstrilerini hedefliyor.
Daha önce grubun, CVE-2017-0199 gibi bilinen güvenlik açıklarından yararlanmak için tasarlanmış kötü amaçlı ekler içeren kimlik avı e-postaları olan kurbanları hedeflediği gözlendi.
Trend Micro, Aralık 2014’ten bu yana, hackerın askeri / donanma ajansları, devlet kurumları, askeri hastaneler ve hatta bir ulusal banka gibi hedefleri hedeflemek için USBferry olarak adlandırılan bir kötü amaçlı yazılımdan yararlandığını ortaya koyuyor.
Çinli Hackerların Kullandığı USBferry Nedir ?
USBferry, belirli hedeflerde çeşitli komutları yürütebiliyor. Bu sayede USB depolama yoluyla kritik verileri çalmak için tasarlanmış gizli bir USB kötü amaçlı yazılım parçasıdır.
Saldırganlar, saldırılarının başarılı olmasını sağlamak için önce askeri veya hükümetle ilgili olan ve daha az sağlam güvenlik sağlayabilecek organizasyonları hedefleyecek ve bunları saldırılar için sıçrama noktası olarak kullanacaklardır. Bir örnekte, grup bir askeri hastaneyi tehlikeye attı ve ordunun fiziksel olarak yalıtılmış ağına geçmek için kullandı.
USBferry ilk olarak 2017 Pricewaterhouse Coopers raporunda belirtildi, ancak teknik analiz yapılmadı. Trend Micro’nun kötü amaçlı yazılımla ilgili araştırması, her biri farklı varyantlara ve bileşenlere sahip en az üç sürümün kullanıldığını ortaya koydu.
Kötü amaçlı yazılımın güvenliği ihlal edilmiş sistemlerde gerçekleştirdiği etkinlikler bir ortamdan diğerine farklılık gösterir: komutları, kaynak hedef dosyalarını veya klasör listelerini yürütebilir. Dosyaları makinelerden güvenliği ihlal edilmiş ana bilgisayarlara kopyalayabilir.
Ne Şekilde Kullanılabilir ?
Trend Micro, “Grup, USB solucan bulaşma stratejisini kullanarak ve kötü amaçlı yazılım yükleyiciyi USB yoluyla bir ana makineye bulaştıracak,” diyor.
Kötü amaçlı yazılım ağ bağlantısını kontrol eder ve bulunmazsa, makineden bilgi toplamaya ve verileri USB sürücüsüne kopyalamaya devam eder.
Bilgisayar korsanlarının saldırılarında kullandığı diğer araçlar arasında komut satırı uzaktan kumanda dinleyici / bağlantı noktası röle aracı, arka kapı yükü / steganografi yükü yürütme yükleyicileri ve Internet’te bulunan bağlantı noktası tarama araçları bulunur.
Grup ayrıca arka kapı rutinlerini maskelemek, kötü amaçlı yazılımdan koruma ve ağ çevre algılamalarından kaçınmak için steganografi kullanarak da gözlemlendi. Bu teknik, faydalı yüklerin yanı sıra komuta ve kontrol sunucusuna bilgi göndermek için kullanıldı.
Trend Micro “Tropic Trooper son altı yıldır hava boşluklu ortamları hedefliyor gibi görünüyor; grup özellikle ilk hastaneler olarak askeri hastaneleri ve ulusal bankaları hedeflemeyi tercih ediyor. Bazı askeri ve devlet dairelerinin yeterli güvenlik kontrollerine sahip olması zor olabilir; korumaya meydan okunabilir ve bu nedenle olay yanıtını daha karmaşık hale getirebilir, ”diyor.
