2013 yılında “Wild Neutron” adıyla bilinen korsan grubu aralarında Apple, Facebook, Twitter ve Microsoft’un da olduğu, çok sayıda yüksek profilli kuruma saldırdı. Olay duyulduktan sonra, saldırgan neredeyse bir yıl boyunca gözden kayboldu.
2013 sonlarında, 2014 başlarında devam eden saldırılar, 2015 yılında yine ortaya çıktı. Eylemci, çalınmış geçerli bir doğrulama sertifikası ve bilinmeyen bir Flash Player açığını kullanarak dünyanın her yerinde kurum ve özel kişilere saldırarak hassas ticari bilgileri çalıyor.
Kaspersky Lab araştırmacıları aralarında Fransa, Rusya, İsviçre, Almanya, Avusturya, Filistin, Slovenya, Kazakistan, BAE, Cezayir ve Birleşik Devletler’in olduğu 11 ülke ve özerk bölgede Wild Neutron hedeflerini tespit etti. Hedefler arasında hukuk büroları, bitcoin şirketleri, yatırımcılık organizasyonları, BT, sağlık, emlak, Birleşme ve Satın alma işleri yapan büyük şirketler ve bireysel kullanıcılar var.
Saldırının odağı, bu saldırının bir ulus devlet saldırısı olmadığını düşündürüyor. Bununla birlikte, kullanılan sıfır gün saldırılarına, çok platformlu kötü amaçlı yazılımlara ve kullanılan tekniklere baktığında Kaspersky Lab araştırmacıları, saldırganın büyük olasılıkla ekonomik nedenlerle eyleme geçen bir casusluk oluşumu olduğunu düşünüyor.
Son saldırıların ilk bulaşma vektörü hala bilinmiyor, bununla beraber, sızılan internet sitelerindeki bilinmeyen bir Flash Player açığını kullanan bir kitin, kullanıcılara saldırdığını gösteren belirtiler var. Saldırı, kurban sisteme bir kötü amaçlı yazılım teslim paketi bırakıyor.
Kaspersky Lab araştırmacıları saldırı sırasında kullanılan teslim paketinin yasal bir kod doğrulama sertifikası ile imzalanmış olduğunu gözlemledi. Sertifika kullanımı, kötü amaçlı yazılımın bazı koruma çözümleri tarafından fark edilmesini önlüyor. Wild Neutron saldırılarından kullanılan sertifika görünüşe göre, çok bilinen bir tüketici elektroniği üreticisinden çalınmış. Sertifika şimdi iptal edilmekte.
Paket sisteme girdikten sonra, ana arka kapıyı kuruyor
İşlevsellik açısından, ana arka kapının Uzaktan Erişim Araçları’ndan (RAT’ler) hiç bir farkı yok. Sıra dışı olan, saldırganın komut ve kontrol sunucusu (C&C) adresini saklamak için gösterdiği çaba ve bir C&C kapatma işleminden kurtulma yeteneği. Komut ve kontrol sunucusu, kurbanın cihazlarına kurulan kötü amaçlı yazılımlara bir üs gibi hizmet verdiği için, kötü amaçlı yazılım alt yapısının önemli bir parçası. Saldırganlar, saldırı alt yapısını her hangi bir olası C&C kapatma işlemine karşı koruyabilmek için kötü amaçlı yazılım içinde özel önlemler alırlar.
Kökeni gizemli
Saldırganların kökeni hala bir muamma. Bazı örneklerde, şifreli yapılandırma dosyasında C&C iletişimin sonunu işaretlemek için “La revedere” (Rumence’de “Hoşça kal”) dizesi kullanılmış. Buna ek olarak, Kaspersky Lab araştırmacıları, bir başka İngilizce olmayan dize, Rusça “???????” (“uspeshno” -> “başarılı”) sözcüğünün Latince yazılışını buldu.
“Wild Neutron yetenekli ve oldukça çok yönlü bir grup. 2011 yılından beri aktif, en az bir sıfır gün açığı, Windows ve OS X için özel kötü amaçlı yazılımlar ve araçlar kullanıyor. Her ne kadar geçmişte, dünyada en çok tanınan şirketlerin bazılarına saldırmış olsa da, kullandığı güçlü operasyonel güvenlik üzerinden pek çok tanımlama çabasını boşa çıkartıp, göreceli olarak düşük bir profil sürdürmeyi başardı. Grubun büyük BT şirketlerini, casus yazılım üreticilerini (FlexiSPY), Cihatçı forumları (Ensar El-Mücahidin İngilizce Forumu) ve Bitcoin şirketlerini hedef alabilmesi, esnek olduğu kadar az rastlanır bir düşünce yapısı ve ilgi alanlarına sahip olduğunu gösteriyor,” diyor Kaspersky Lab Global Araştırma ve Analiz Ekibi Başkanı Costin Raiu.
Kaspersky Lab ürünleri, Trojan.Win32.WildNeutron.gen, Trojan.Win32.WildNeutron.*, Trojan.Win32.JripBot.*, Trojan.Win32.Generic. isimleri ile Wild Neutron tehdidini başarılı bir şekilde tespit edip engelleyebiliyor.