Siber güvenlik firması Kaspersky Lab, kısa süre önce, genellikle Tayland, Hindistan ve ABD'deki küçük ve orta ölçekli işletmelerden yaklaşık 10 bin dosya çalmayı başaran, Grabit adı verilen yeni bir iş odaklı siber casusluk kampanyası keşfetti. Hedef sektörler arasında kimyasal, nanoteknoloji, eğitim, tarım, medya ve inşaat gibi pek çok sektör bulunuyor.
Bu kampanyadan etkilenen diğer ülkeler arasında BAE, Almanya,
İsrail, Kanada, Fransa, Avusturya, Sri Lanka, Şili ve Belçika yer
alıyor.
Global Araştırma ve Analiz Ekibinden Kıdemli Güvenlik
Araştırmacısı Ido Noar konuyla ilgili yaptığı açıklamada
şunları söyledi: "Kurumsal şirketler, kamu kuruluşları ve diğer
yüksek profilli kuruluşlara odaklanmış bir çok casusluk kampanyası
görürüz ancak küçük ve orta ölçekli işletmelerin bu hedef
listelerinde yer aldığına nadiren şahit oluruz. Ancak Grabit, bize
bunun sadece bir 'büyük balık' oyunu olmadığını gösterdi: siber
dünyada para, bilgi veya politik güç sahibi olan her kurum, kötü
niyetli aktörlerden biri için potansiyel bir ilgi nesnesi olabilir.
Grabit halen aktif olduğundan güvende olduğunuzdan emin olabilmeniz
için ağınızı kontrol etmeniz kritik önemdedir. 15 Mayıs günü, basit
bir Grabit tuş kaydedicinin yüzlerce virüslü sistemden binlerce
kurbanın hesap bilgilerini depoladığı tespit edilmiştir. Bu tehdit
hafife alınmamalıdır."
Bulaşma, herhangi bir kurumdaki bir kullanıcının, Microsoft Office Word (.doc) dosyası gibi görünen bir ek içeren bir e-posta almasıyla başlıyor. Kullanıcı, dosyayı indirmek için tıklattığında, grup tarafından ele geçirilmiş ve bir zararlı yazılım merkezi olarak kullanılan uzak sunucudaki casus program makineye aktarılıyor. Saldırganlar kurbanlarını, ticari bir HawkEyeProducts casusluk aracı olan HawkEye tuş kaydedicisini ve bir dizi Uzak Yönetim Aracı (RAT) içeren bir yapılandırma modülünü kullanarak kontrol ediyor.
Operasyonun ölçeğini betimlemek adına Kaspersky Lab, bir tuş kaydedicisinin, Outlook, Facebook, Skype, Google mail, Pinterest, Yahoo, LinkedIn ve Twitter'in yanı sıra banka hesapları gibi 4928 farklı ana kaynak ve diğer kaynaklardan, dahili ve harici olarak 2887 Parola, 1053 E-posta ve 3023 Kullanıcı adı çalma becerisine sahip komut ve kontrol sunucularından sadece bir tanesi olduğunu bildiriyor.
Dengesiz bir Suçlu Grubu
Grabit, bu etkinliği gizlemek için fazladan bir çaba sarf etmiyor: bazı zararlı yazılım örnekleri aynı ana sunucuyu, hatta aynı kimlik bilgilerini kullanarak kendi güvenliğini zayıflatıyor. Diğer taraftan saldırganlar, kodlarını analistlerin gözlerinden saklamak için güçlü gizleme teknikleri kullanıyor. Bu, Kaspersky Lab'ın, bu operasyonun arkasında bazı üyelerinin izlerini silmek konusunda diğerlerinden daha teknik, odaklı ve başarılı olduğu dengesiz bir grubun olduğunu inanmasına neden oluyor. Uzman analistler, zararlı yazılımı her kim programladıysa bütün bir kodu sıfırdan yazmadığını düşünüyor.