Rusya'nın askeri istihbarat birimi GRU'ya bağlı en seçkin hacker grubu Sandworm, siber saldırı taktiklerine yeni bir halka ekledi. Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA), Sandworm'un artık 'Clickfix' olarak bilinen bir saldırı tekniğini kullandığını duyurdu. Bu yöntem, özellikle son bir yılda finansal motivasyonlu siber suçlular arasında popüler hale gelmişti. Sandworm gibi devlet destekli bir aktörün bu tekniğe yönelmesi, siber güvenlik dünyasında endişe yarattı.
Clickfix saldırısı, kullanıcıları kandırmak için sahte bir CAPTCHA (robot olmadığını doğrulama testi) kullanıyor. Saldırganların kontrolündeki web sitelerinde görünen bu CAPTCHA, ziyaretçiden bir metni kopyalayıp terminale yapıştırmasını istiyor. Ancak bu metin, aslında kötü amaçlı bir PowerShell komut dosyası içeriyor. Kullanıcı komutu çalıştırdığında, sistemine casus yazılım veya veri sızdırma araçları yükleniyor. CERT-UA'ya göre Sandworm, bu yöntemi bahar aylarından beri kullanıyor ve en az bir kuruluşun ağına sızmış durumda.
Saldırı zinciri, sahte CAPTCHA ile başlıyor. Kullanıcı, 'İnsan olduğunuzu kanıtlamak için bu kodu kopyalayıp çalıştırın' gibi bir mesajla karşılaşıyor. PowerShell komutu çalıştırıldığında, öncelikle bir Visual Basic Script (VBS) dosyası indiriliyor ve sistemde kalıcı hale getiriliyor. CERT-UA, bu ilk aşamada kullanılan bir kötü amaçlı yazılımı 'GhettoVibe' olarak adlandırdı. Ardından, 'ScoutCurl' adlı bir PowerShell betiği devreye giriyor. Bu betik, bilgisayarın donanım özellikleri, yüklü programlar, dosyalar ve tarayıcı verileri gibi hassas bilgileri toplayıp saldırganlara gönderiyor.
Önemli Gelişmeler
Sandworm, yalnızca önemli gördüğü hedeflere ikinci aşama saldırılar düzenliyor. ScoutCurl'ün topladığı bilgileri analiz eden saldırganlar, değerli buldukları cihazlara 'FreakyPoll' adlı özel bir arka kapı yazılımı yüklüyor. FreakyPoll, Sandworm'un kendi geliştirdiği bir malware paketi olarak biliniyor ve sisteme tam erişim sağlıyor. CERT-UA, bu şekilde en az bir kuruluşun ağının tamamen ele geçirildiğini tespit etti.
Ukrayna CERT, saldırıda kullanılan 10 farklı web sitesini tespit etti. Bu siteler, genellikle Ukrayna'daki hassas kurumlarla ilgili konuları ele alan platformlar olarak dikkat çekiyor. Sandworm'un bu siteleri ele geçirerek Clickfix tuzaklarını yerleştirdiği düşünülüyor. Saldırganlar, sahte CAPTCHA'yı o kadar gerçekçi tasarlamış ki, teknik bilgiye sahip kullanıcılar bile tuzağa düşebiliyor. Bu nedenle CERT-UA, tüm kurumları bu tür şüpheli CAPTCHA'lara karşı uyarıyor.
Detaylar ve Etkileri
Clickfix saldırısı, siber güvenlik uzmanları için yeni bir tehdit vektörü oluşturuyor. Geleneksel kimlik avı e-postalarına kıyasla daha etkili olan bu yöntem, kullanıcının kendi elleriyle kötü amaçlı kodu çalıştırmasını sağlıyor. Sandworm gibi devlet destekli bir grubun bu tekniği benimsemesi, diğer siber casusluk gruplarının da benzer yöntemlere yönelebileceği anlamına geliyor. Uzmanlar, kurumların çalışanlarını bu tür sosyal mühendislik saldırılarına karşı eğitmeleri ve PowerShell gibi araçların kullanımını kısıtlamaları gerektiğini vurguluyor.
Kaynak: arstechnica.com