Siber Suçluların Güç Savaşı

Siber Suçluların Güç Savaşı

Küçük bir siber casusluk grubu olan Hellsing, 2014 yılında başka bir tehdit aktörü tarafından bir kimlik avı e-posta saldırısına uğradı ve misilleme yapmaya karar verdi.

Bu durum, yine Asya-Pasifik bölgesindeki kuruluşları hedef alan bir siber casusluk grubu olan Naikon’un faaliyetleri ile ilgili bir araştırma sırasında Kaspersky Lab uzmanları tarafından ortaya çıkarıldı. Uzmanlar, Naikon’un hedeflediği taraflardan birinin zararlı ek içeren bir kimlik avı e-postası ile sistemlerine virüs bulaştırma girişimi olduğunu belirlediklerini fark ettiler.

Hedef taraf, göndereni e-postanın özgünlüğü konusunda sorguladıktan sonra aldığı yanıttan memnun kalmadığı için eki açmadı. Kısa bir süre sonra hedef taraf, gönderene kendi zararlı yazılımını içeren bir e-posta iletti. Bu hareket, Kaspersky Lab’ın soruşturmasını tetikleyerek Hellsing APT grubunun ortaya çıkarılmasına yol açtı.

hacker2

Bu karşı atak yöntemi, Hellsing‘in Naikon grubunun kim olduğunu ortaya çıkarmak ve grupla ilgili istihbarat toplamak istediğini gösteriyor.

Hellsing tehdit aktörü ile ilgili Kaspersky Lab tarafından yapılan daha derin analizler, casusluk amaçlı zararlı yazılımları birçok kurum içinde yaymak amacıyla tasarlanan zararlı ekler içeren kimlik avı e-postaları kullandıklarını ortaya koyuyor. Kurban zararlı eki açtığında sisteme, dosya indirme ve yükleme, kendisini güncelleme ve kaldırma yeteneğine sahip özel bir arka kapı ile virüs bulaşmış oluyor. Kaspersky Lab’ın gözlemlerini göre, Hellsing tarafından hedeflenen kuruluşların sayısı 20’ye yakın.

Bir çeşit vampir avcılığı

Şirketin Hellsing kötü amaçlı yazılımını tespit ederek engellediği ülkeler Malezya, Filipinler, Hindistan, Endonezya ve ABD; kurbanların çoğunun Malezya ve Filipinler’de olduğu tespit edilmiş. Saldırganların aynı zamanda hedefledikleri kuruluşların türü açısından da oldukça seçici olduğu ve çoğunlukla hükümet kuruluşları ve diplomatik kurumlara saldırdıkları görülmüş.

Kaspersky Lab analizine göre Hellsing tehdit aktörü, en azından 2012 yılından itibaren aktif bir şekilde faaliyetlerine devam etmekte.

Trend Micro Güvenlik Evangelisti Udo Schneider Röportaj