Uzun zamandır ortalıkta dolaşan, Rusça konuşan, Snake veya Uroborus adlarıyla da bilinen Turla saldırısının izlerini takip eden Kaspersky Lab araştırmacıları, saldırının son varyasyonu olan KopiLuwak’ın zararlı kodlarını kurbanlarına bulaştırmak için bir ay önce Sofacy’in (diğer isimleri Fancy Bear ve APT28) bir varyasyonu olan ve yine Rusça konuşan Zebrocy ile aynı yolu kullandığını ortaya koydu.
Asya’yı hedef alıyor
Araştırmacılar her iki tehdidin merkez Asya bölgesindeki kamu ve askeri kurumlar gibi jeopolitik hedeflere odaklandığına ve aynı hedefler üzerinde sıkça çakıştığına dikkat çekti. Bulgular, Kaspersky Lab Küresel Araştırma ve Analiz ekibinin Turla ile ilişkili dört aktif kümenin gelişimine ve faaliyetlerine odaklanan raporunda yer aldı.
İlk kez Kasım 2016’da keşfedilen ve adını ender bulunan bir kahve türünden alan KopiLuwak, aktif makro içeren dokümanlar aracılığıyla yayılarak, cihaz ve ağları gözetlemek üzere tasarlanmış Javascript tabanlı inatçı bir zararlı yazılımın sistemlere bulaşmasını sağlıyor.
Araştırmacılar tarafından 2018 yılı ortalarında keşfedilen KopiLuwak’ın son varyasyonu özellikle Suriye ve Afganistan’ı hedef alıyor. Turla, Windows kısayol (.LNK) dosyaları aracılığıyla yeni bir spear-phishing bulaşma vektörünü kullanıyor. Analizlere göre söz konusu LNK dosyaları, içerdiği PowerShell sayesinde KopiLuwak dosyalarını deşifre ederek sisteme yüklüyor. Söz konusu PowerShell geçtiğimiz ay Zebrocy’de kullanılanla neredeyse aynı.
Araştırmacılar her iki tehdidin özellikle merkez Asya’daki kamu araştırma ve güvenlik birimleri, diplomatik birimler ve askeri tesisler gibi hassas niteliğe sahip politik hedefler üzerinde çakıştığını tespit etti. 2018 yılında araştırmacılar tarafından takip edilen diğer Turla kümeleri arasında Carbon ve Mosquito da bulunuyor.
Yapılan çalışmalardan elde edilen diğer bulgular, Turla tarafından istismar edilen Wi-Fi ağlarının sistemlere Mosquito zararlı yazılımını bulaştırmak için kullanıldığına dair iddiaları destekliyor. Ayrıca halihazırda olgunlaşmış ve güçlü bir siber casusluk ağı olan Carbon frameworkün detaylı bir modifikasyondan geçtiğine ve 2019 yılında hedefli saldırılarda kullanılmak üzere daha da geliştirileceğine dikkat çekiliyor. Turla’nın 2018 yılındaki hedefleri arasında Orta Doğu ve Kuzey Afrika, Batı ve Doğu Avrupa, Merkez ve Doğu Asya ile Amerika bölgesi yer alıyor.