Kaspersky Lab kısa süre önce, genellikle Tayland, Hindistan ve ABD’deki küçük ve orta ölçekli işletmelerden yaklaşık 10.000 dosya çalmayı başaran, Grabit adı verilen yeni bir iş odaklı siber casusluk kampanyası keşfetti. Hedef sektörler arasında kimyasal, nanoteknoloji, eğitim, tarım, medya ve inşaat gibi pek çok sektör bulunmaktadır.
Bu kampanyadan etkilenen diğer ülkeler arasında BAE, Almanya, İsrail, Kanada, Fransa, Avusturya, Sri Lanka, Şili ve Belçika bulunmaktadır.
Global Araştırma ve Analiz Ekibinden Kıdemli Güvenlik Araştırmacısı Ido Noar şunları söylemiştir: “Kurumsal şirketler, kamu kuruluşları ve diğer yüksek profilli kuruluşlara odaklanmış bir çok casusluk kampanyası görürüz ancak küçük ve orta ölçekli işletmelerin bu hedef listelerinde yer aldığına nadiren şahit oluruz. Ancak Grabit, bize bunun sadece bir “büyük balık” oyunu olmadığını gösterdi; siber dünyada para, bilgi veya politik güç sahibi olan her kurum, kötü niyetli aktörlerden biri için potansiyel bir ilgi nesnesi olabilir. Grabit halen aktif olduğundan güvende olduğunuzdan emin olabilmeniz için ağınızı kontrol etmeniz kritik önemdedir. 15 Mayıs günü, basit bir Grabit tuş kaydedicinin yüzlerce virüslü sistemden binlerce kurbanın hesap bilgilerini depoladığı tespit edilmiştir. Bu tehdit hafife alınmamalıdır.”
Bulaşma, herhangi bir kurumdaki bir kullanıcının, Microsoft Office Word (.doc) dosyası gibi görünen bir ek içeren bir e-posta almasıyla başlar. Kullanıcı indirmek için tıklattığında, grup tarafından ele geçirilmiş ve bir zararlı yazılım merkezi olarak kullanılan uzak sunucudaki casus program makineye aktarılır. Saldırganlar kurbanlarını, ticari bir HawkEyeProducts casusluk aracı olan HawkEye tuş kaydedicisini ve bir dizi Uzak Yönetim Aracı (RAT) içeren bir yapılandırma modülünü kullanarak kontrol eder.
Operasyonun ölçeğini betimlemek adına Kaspersky Lab, bir tuş kaydedicisinin, Outlook, Facebook, Skype, Google mail, Pinterest, Yahoo, LinkedIn ve Twitter’in yanı sıra banka hesapları gibi 4928 farklı ana kaynak ve diğer kaynaklardan, dahili ve harici olarak 2887 Parola, 1053 E-posta ve 3023 Kullanıcı adı çalma becerisine sahip komut ve kontrol sunucularından sadece bir tanesi olduğunu bildirmektedir.
Dengesiz bir Suçlu Grubu
Bir taraftan Grabit tehdit aktörü bu etkinliği gizlemek için fazladan bir çaba sarf etmiyor: bazı zararlı yazılım örnekleri aynı ana sunucuyu, hatta aynı kimlik bilgilerini kullanarak kendi güvenliğini zayıflatıyor. Diğer taraftan saldırganlar, kodlarını analistlerin gözlerinden saklamak için güçlü gizleme teknikleri kullanıyor. Bu, Kaspersky Lab’ın, bu operasyonun arkasında bazı üyelerinin izlerini silmek konusunda diğerlerinden daha teknik, odaklı ve başarılı olduğu dengesiz bir grubun olduğunu inanmasına neden oluyor. Uzman analistler, zararlı yazılımı her kim programladıysa bütün bir kodu sıfırdan yazmadığını düşünüyor.
Grabit’ten korunmak için Kaspersky Lab, aşağıdaki kurallara uymanızı tavsiye ediyor:
· Şu konuma bakın: C:\Users\<PC-NAME>\AppData\Roaming\Microsoft; yürütülebilir dosyalar içeriyorsa zararlı yazılım bulaşmış olabilir. Bu, göz ardı etmemeniz gereken bir uyarıdır.
· Windows Sistem Yapılandırmaları, başlangıç tablosunda bir grabit1.exe dosyası içermiyor olmalıdır. “msconfig” komutunu yürütün ve grabit1.exe kayıtlarının bulunmadığından emin olun.
· Tanımadığınız kişilerden gelen eklentileri ve bağlantıları açmayın. Eğer açamıyorsanız, kimseye iletmeyin; bir BT yöneticisinden destek alın.
· Gelişmiş ve güncel bir zararlı yazılım önleme çözümü kullanın ve AV görev listesini her şüpheli sürece karşı mutlaka takip edin.