Kaspersky Lab’ın Global Araştırma ve Analiz Ekibi, Orta Doğu ülkelerindeki çok sayıda üst düzey organizasyonu ve bireyi hedef alan bir siber casusluk grubu olan Çöl Şahinleri’ni ortaya çıkardı. Kaspersky Lab uzmanları, bu aktörü geniş çaplı siber casusluk operasyonları geliştiren ve gerçekleştiren bilinen ilk paralı siber Arap grubu olarak değerlendiriyor.
● Kampanyanın en az iki yıldır aktif olduğu biliniyor. Çalışmalarını 2011 yılında geliştirmeye ve inşa etmeye başlayan Çöl Şahinleri, ana kampanyasını ve gerçek saldırı girişimini 2013 yılında gerçekleştirdi. Faaliyetlerinin zirvesine 2015 yılının başında ulaştıkları bilinmekte;
● Hedeflerinin büyük çoğunluğu Mısır, Filistin, İsrail ve Ürdün’de bulunuyor;
● Öncelikli olarak odaklandıkları Orta Doğu ülkelerinin dışında Çöl Şahinleri, bölgelerinin dışında da saldırı gerçekleştiriyor. Global çapta 50’nin üzerinde ülkede 3.000’den fazla kurbana saldırarak toplamda bir milyondan fazla dosya çaldılar. Saldırganlar, Windows PC’lere ve Android tabanlı cihazlara saldırmak için kötü niyetli özel araçlardan yararlanıyor;
Kaspersky Lab uzmanları, Çöl Şahinleri’nin arkasındaki saldırganların Arapça konuşan yerli kişiler olduğuna inanmak için birden fazla nedene sahip.
Hedeflenen kurban listesinde özellikle kara para aklama ile mücadeleden sorumlu çalışanların yer aldığı Askeri örgütlerin ve Hükümet kuruluşlarının yanı sıra sağlık ve ekonomi kurumları; lider medya kuruluşları; araştırma ve eğitim kurumları; enerji ve altyapı sağlayıcıları; aktivistler ve siyasi liderler; fiziki güvenlik şirketleri ve önemli jeopolitik bilgilere sahip başka hedefler yer alıyor. Kaspersky Lab uzmanları, 50’nin üzerinde ülkede 3000’den fazla mağdura ait toplam bir milyondan fazla dosyanın çalındığına dair ipuçları olduğunu belirtmek. Çöl Şahinleri’nin ana faaliyet odağının Mısır, Filistin, İsrail ve Ürdün gibi ülkeler olduğu düşünülse de Katar, Suudi Arabistan, BAE, Cezayir, Lübnan, Norveç, Türkiye, İsveç, Fransa, Amerika, Rusya ve başka ülkelerde de çok sayıda kurbanları olduğu görülüyor.
Teslim Et, Bulaştır, Gözetle
Zararlı içeriğe sahip yükleri teslim etmek için Şahinler tarafından kullanılan başlıca yöntem, e-postalar, sosyal ağ iletileri ve sohbet mesajları aracılığıyla kullandıkları kimlik avcılığı. Kimlik avcılığı mesajları, meşru belgeler veya uygulamalar gibi davranan kötü amaçlı dosyaları (ya da bu dosyalara giden bir bağlantı) içeriyor. Çöl Şahinleri, kurbanlarını bu zararlı dosyaları çalıştırmaya ikna etmek için çeşitli teknikler kullanmakta. En özel tekniklerden biri, sağdan sola uzantıyı geçersiz kılma diye bilinen bir hile.
Bu yöntem, bir dosya adındaki karakterlerin sırasını tersine çevirmek için özel bir Unicode karakterinden yararlanarak, dosya adının ortasındaki tehlikeli dosya uzantısını gizleyip dosya adının sonuna yakın bir yere zararsız görünümlü sahte
dosya uzantısını yerleştiriyor. Bu teknik kullanıldığında, zararlı dosyalar (.exe, .scr) zararsız bir belge veya pdf dosyası gibi görünür ve iyi bir teknik bilgiye sahip dikkatli kullanıcılar dahi bu dosyaları çalıştırmak üzere kandırılabiliyor. Örneğin, .fdp.scr ile biten bir dosya .rcs.pdf olarak görünüyor.
Bir kurbana başarılı bir şekilde virüs bulaştırdıktan sonra Çöl Şahinleri, iki farklı arka kapıdan birini kullanıyor: her ikisi de sıfırdan geliştirilmiş gibi görünen ve sürekli gelişim içinde olan esas Çöl Şahinleri Truva Atı veya DHS Arka Kapısı. Kaspersky Lab uzmanları, grup tarafından saldırılarda kullanılan toplam 100’den fazla zararlı yazılım örneğini tanımlamayı başarmış.
Kullanılan zararlı araçlar; ekran görüntüleri almak, tuş vuruşlarını kaydetmek, dosya yüklemek/indirmek, kurbanın Sabit Diskinde veya bağlı USB aygıtında bulunan tüm Word ve Excel dosyaları hakkında bilgi toplamak, sistem kayıt defterinde saklanan şifreleri çalmak (Internet Explorer ve canlı Messenger) ve ses kaydı yapmak dahil olmak üzere tam bir arka kapı işlevselliğine sahip. Bununla birlikte Kaspersky Lab uzmanları, mobil aramaları ve SMS günlüklerini çalma yeteneğine sahip bir Android arka kapısı gibi görünen kötü amaçlı bir yazılımın izlerini bulmuş.
Bu araçları kullanarak Çöl Şahinleri, farklı ülkelerdeki farklı kurbanları hedef alan en az üç farklı kötü niyetli kampanyayı hayata geçirmeyi ve yönetmeyi başarmış.
Gizliliklerin peşinde olan bir Şahin Sürüsü
Kaspersky Lab araştırmacıları, üç takım halinde farklı ülkelere yayılmış en az 30 kişinin kötü amaçlı Çöl Şahinleri kampanyalarını yürüttüğünü tahmin ediyor.
Kaspersky Lab Global Araştırma ve Analiz Ekibi güvenlik uzmanı Dmitry Bestuzhev şunları söyledi: “Bu tehdit aktörünün arkasındaki bireylerin son derece kararlı, aktif ve iyi bir teknik, siyasi ve kültürel anlayışa sahip oldukları ortada. Çöl Şahinleri, yalnızca kimlik avı e-postaları, sosyal mühendislik ve ev yapımı araçlar ile arka kapıları kullanarak, kendi bilgisayar sistemleri veya mobil cihazları üzerinden Orta Doğu bölgesindeki yüzlerce kritik ve önemli kurbana saldırmayı ve hassas verileri çalmayı başarmıştır. Biz bu operasyonun daha fazla sayıda Truva Atı geliştireceğini ve daha ileri tekniklerin kullanımı ile devam edeceğini düşünüyoruz. Yeterli finansman ile, saldırılarının verimliliğini artırmak üzere güvenlik açığından yararlanacak programlar elde etmeleri ya da geliştirmeleri mümkün görünüyor.”