Antivirüs yazılım kuruluşlarından ESET, özellikle Pakistan’da
farklı organizasyonların hassas bilgilerini çalmaya çalışan, hedefe
yönelik dijital saldırılar tespit etti. ESET’in yaptığı
incelemelere göre, tehdidin kökeni Hindistan’da.
Bu saldırıların iki yıldır devam ettiğini gösteren çeşitli ipuçları
bulan ESET’e göre söz konusu kötü amaçlı yazılım, e-postalar
ekindeki belgeler aracılığıyla yayıldı. Belge açılır açılmaz, kötü
amaçlı kod, saldırıya uğrayan bilgisayar kullanıcısının haberi bile
olmadan çalıştırılıyor. Bir başka bulaştırma biçiminde ise yine
e-postayla dağıtılan Word ya da PDF belgeleri gibi görünen
yürütülebilir Windows dosyalarından faydalanılıyor. Her iki durumda
da, kurbanın şüphelenmemesi için kod yürütülürken kullanıcıya sahte
belgeler gösteriliyor.
Hedef Pakistan
ESET Kötü Amaçlı Yazılım Araştırmacısı Jean-Ian Boutin,
“Alıcıları kandırmak için farklı temalara sahip, çok sayıda farklı
belge saptadık. Bu temalardan biri de Hindistan Silahlı
Kuvvetleriydi. Bu dosyalar tarafından özellikle hangi bireyler ve
kurumların hedef alındığına dair elimizde kesin bilgiler yok ama
incelemelerimize dayalı olarak, Pakistan’daki bireylerin ve
kurumların hedef alındığını varsayıyoruz. Örneğin sahte PDF
dosyalarından biri, “pakistandefencetoindiantopmiltrysecreat.exe”
adlı kendi kendine açılan bir arşiv ile gönderildi” dedi. ESET
verileri, başka ülkelerle karşılaştırıldığında Pakistan’ın bu
kampanyadan yüzde 79’luk bulaşma oranı ile ağır şekilde
etkilendiğini gösteriyor.
Çeşitli veri çalma teknikleri kullanıyor
Kötü amaçlı yazılım, virüs bulaşan bilgisayarlardaki hassas
verileri çalıyor ve bu verileri saldırganların sunucularına
gönderiyor. Bu yazılım, tuş kaydedici program, ekran görüntüsü alma
ve belgeleri saldırganların bilgisayarına yükleme gibi çeşitli veri
çalma teknikleri kullanıyor. İlginç olan şey ise, virüs bulaşan bir
bilgisayardan çalınan bilgilerin, saldırganın sunucusuna
şifrelenmeden yükleniyor olmasıydı. Jean-Ian Boutin “Şifreleme
kullanmama kararı kafa karıştırıcıydı. Çünkü temel şifrelemenin
eklenmesi çok kolaydır ve operasyonun daha fazla gizli kalmasını
sağlar" açıklamasını yaptı.
Hedefe yönelik saldırı
ESET’in tespitlerine göre bu hedefe yönelik saldırıda, kötü
amaçlı ikili dosyaları imzalamak ve yayılma olasılıklarını artırmak
için, yasal gibi görünen bir şirkete verilmiş olan kod imzalama
sertifikası kullanıldı. Şirket Yeni Delhi merkezliydi ve sertifika
2011 yılında verilmişti. Kötü amaçlı yazılım, e-postaların ekindeki
belgeler aracılığıyla yayıldı.
Zararlı kodların isimleri
Saldırı kampanyasını “çok parçalı ve çok vektörlü bir tehdit”
olarak değerlendiren ESET, şu zararlı kodları tespit etti:
Win32/Agent.NLD worm
Win32/Spy.Agent.NZD Trojan
Win32/Spy.Agent.OBF Trojan
Win32/Spy.Agent.OBV Trojan
Win32/Spy.KeyLogger.NZL Trojan
Win32/Spy.KeyLogger.NZN Trojan
Win32/Spy.VB.NOF Trojan
Win32/Spy.VB.NRP Trojan
Win32/TrojanDownloader.Agent.RNT Trojan
Win32/TrojanDownloader.Agent.RNV Trojan
Win32/TrojanDownloader.Agent.RNW Trojan
Win32/VB.NTC Trojan
Win32/VB.NVM Trojan
Win32/VB.NWB Trojan
Win32/VB.QPK Trojan
Win32/VB.QTV Trojan
Win32/VB.QTY Trojan
Win32/Spy.Agent.NVL Trojan
Win32/Spy.Agent.OAZ trojan