Güvenlik 19 EYLÜL 2013 / 14:08

Kiralık korsanlar sistematik çalışıyor

Organize çalışan Hidden Lynx grubu dünyanın pek çok yerinden farklı çaplarda ve alanlarda organize işler yapıyor.


Son birkaç yıldır yapılan çalışmalar, internet üzerindeki çeşitli saldırıların ya da APT (Advanced Persistent Threat) adı verilen ileri seviyede inatçı virüslerin arkasındaki aktörleri detaylarıyla ortaya koyuyor. Symantec Security Response (Symantec Güvenlik Yanıt Merkezi) olarak bizim gözümüz, internet saldırıları denilince işin ustası olarak sivrilen Çinli bir hacker grubunun üzerinde. Komuta - kontrol sunucu iletişimlerinde bulunan bir bağlantıdan sonra biz onlara Hidden Lynx adını verdik. Bu grup, internet saldırıları konusunda oldukça agresif ve çoktan APT1/Comment Crew gibi grupların önüne geçmiş durumda. Hidden Lynx adlı grupla ilgili önemli tespitlerde bulunuyor.

Korsanlar kiralık mı?

Çinli grup, üst düzey teknik yetenek, çevik, etkin kaynak kullanımına sahip, sabırlı,iyi organize olan grup tüm bu özelliklerini uzun kullanıcıları tuzağa “Watering hole” (Sulama deliği) tekniğiyle düşürüyor. Aynı zamanda çeşitli ülkelerden farklı organizasyonu hedef alıyor.

Elit ve Moudoor ekip

İşlerin büyüklüğü ve çeşitliliği açısından değerlendirildiğinde Symantec'in yorumu Hidden Lynx'in kiralık bir korsan grup olabileceği yönünde. Müşterilerin istekleri doğrultusunda ilerleyen hacker bir grup olması bu kadar geniş yelpazede eylemlerde bulunmalarını açıklayabilir. Uzmanlar yaklaşık 50-100 kişilik organize korsan gruba kullandıkları Trojan’ın adından yola çıkarak Moudoor adını veriyor. Elit ekip Naid adında bir Trojan kullanıyor ve bu nedenle Naid Ekibi olarak adlandırılıyor. Moudoor’un aksine Naid Trojan, “başarısız olma” gibi bir seçenek olmadığı zamanlarda, gizli bir silah gibi, algılamak, önlemek ve yakalamak için oldukça dikkatli ve özel bir operasyonla kullanılıyor.

Eylemler

Symantec'in korsanlar üzerinde yaptığı detaylı  incelemeye göre, 2012 Haziran ayında VOHO saldırı kampanyası oldu. Bu saldırının özellikle ilginç olan tarafı, “sulama deliği” tekniğini kullanılırken, Bit9’un çok güvenilen altyapısıyla ‘uzlaşmasıydı’.

VOHO kampanyası tamamen, Bit9 güvenlik koruma yazılımını kullanan Amerikan savunma birimlerinin sistemlerini hedefliyordu fakat Hidden Lynx korsanlarının önü bu güçlü güvenlik koruma yazılımıyla kesilince, seçeneklerini tekrar gözden geçirdiler ve sonunda çareyi koruma sisteminin merkezine ulaşıp, sistemle bir nevi ‘uzlaşma’ yapmakta buldular. Aslında sistemin kalbine inerek ona bu şekilde zarar verdiler ve kendi amaçları için kullanabildiler. Tüm dikkatlerini Bit9’a verip, sistemde bir delik açmayı başardıklarında tam olarak yaptıkları buydu. Bir kez delik açıldı mı, siber-saldırganlar Bit9 koruma modelinin alt yapısında kolaylıkla yollarını bulabildiler ve zararlı kod yazılım dosyalarını yaratmak için bu sistemi kullandılar. Sonrasında da yarattıkları dosyalar sayesinde asıl hedefleriyle uzlaştılar.