Kürtlere yönelik mobil casusluk kampanyası deşifre oldu

10-09-2021
Etiketler ESET Casus Yazılım 888 RAT Kürtl Facebook SpyNote BladeHawk
A+ A-

Erbil (Rûdaw) – ESET Antivirüs Yazılım Şirketi, Kürt kullanıcılara ve özellikle de Başkan Mesud Barzani’nin destekçilerine yönelik bir buçuk yıldır devam eden mobil casusluk kampanyasını ortaya çıkardı. ESET uzmanları, Mart 2020’den beri bu kampanyayı sürdüren 6 hesabı deşifre edilp Facebook’a bildirdiğini ve kapatıldığını da açıkladı.

ESET Antivürüs Yazılım şirketi araştırmacıları ve siber güvenlik uzmanları, Mart 2020’den beri mobil üzerinden özellikle Kürt kullanıcılara yönelik uygulanan casusluk kampanyasını deşifre etti.

Kampanyanın daha eski bir tarihten beri beri aktif olduğu tahmin ediliyor. Buna göre saldırganlar 888 RAT (Remote Access Trojan) ve SpyNote olarak bilinen iki Android arka kapısı aracılığı ile (özel Facebook profilleri kullanılarak) meşru uygulamalar olarak gizlenmiş şekilde dağıtıldı.

ESET araştırmacısı Lukás Stefanko, "Bu casusluk kampanyasını yürüten 6 profili Facebook'ta yayınladık ve hepsi kaldırıldı. Profillerden ikisi teknoloji kullanıcılarına yönelikken, diğer dördü Kürt destekçisi gibi davranıyor. Tüm bu profiller 2020'de oluşturuldu ve oluşturulduktan kısa bir süre sonra bu sahte uygulamaları yayınlamaya başladılar. Bu hesaplar, biri hariç, meşru uygulamalar gibi görünen Android RAT'ları dışında başka bir içerik yayınlamadı” dedi.

Çoğunlukla Başkan Barzani’nin destekçileri hedef alındı

Bu sahte casus Facebook profilleri Kürtçe Android haberleri ve Kürtler için haber sağlıyor gibi görünüyor. Profillerden bazıları, Kürt yanlısı içeriğe sahip Facebook genel gruplarına kasıtlı olarak casusluk uygulamaları yayıyor. Yalnızca birkaç Facebook gönderisi ile yayılan URL'lerden en az 1.481 indirme olduğu ortaya çıktı.

Bu profiller, çoğu Başkan Mesud Barzani'nin destekçileri olan Facebook kamu gruplarını hedef alarak casusluk uygulamaları paylaşıyor.

Yazılımın truva atı gibi sızdığı profiller, Facebook'taki herkese açık gruplarla paylaşıldı. Hedeflenen tüm Facebook gruplarının 11.000'den fazla takipçisi olduğu belirlendi.

BladeHawk Android casusluğu

ESET Antivürüs Yazılım uzmanı Lukás Stefanko imzası ile yayımlanan raporda çözetle şu tespitler var:

Yeni keşfedilen Android 888 RAT, Kasablanka grubu ve BladeHawk tarafından kullanılıyor. Her iki grup da Android RAT - LodaRAT ve Gazze007'ye atıfta bulunmak için alternatif isimler kullandı.

Burada bildirilen casusluk faaliyeti, 2020'de yayınlanan kamuya açık iki davayla doğrudan bağlantılı. QiAnXin Tehdit İstihbarat Merkezi, bu saldırıların arkasındaki gruba BladeHawk adını vermişti. Her iki kampanya da, ticari, otomatik araçlarla (888 RAT ve SpyNote) oluşturulan kötü amaçlı yazılımlar ve aynı C&C sunucuları kullanılarak Facebook üzerinden dağıtıldı.

Telefonunuza hakim olabilir

Çok platformlu 888 RAT, 2018'den beri karaborsada mevcut olan bir casuz yazılım.

888 RAT, makineye eklendikten sonra komut ve kontrol (C&C) sunucusundan alınan 42 komutu yürütebilir. Bir cihazdan dosyaları çalabilir ve silebilir, ekran görüntüleri alabilir, cihazın konumunu alabilir, Facebook kimlik bilgilerini avlayabilir, yüklü uygulamaların bir listesini alabilir, kullanıcı fotoğraflarını çalabilir.

RAT, mahremiyet için potansiyel bir tehlike oluşturur

Uzaktan erişim Truva Atı veya basitçe ve daha yaygın olarak RAT olarak kullanılan, hedef bilgisayar üzerinde idari kontrol için bir arka kapı içeren bir kötü amaçlı yazılım programıdır. RAT'ler genellikle, oyun gibi kullanıcı tarafından istenen bir programla görünmez bir şekilde indirilir veya bir e-posta eki olarak gönderilir.

RAT, ana sisteme ulaştığında, hızla tehlikeye girer ve davetsiz misafir, RAT'leri diğer savunmasız bilgisayarlara dağıtmak ve bir botnet kurmak için kullanabilir. Bu tür kötü amaçlı yazılım tehditleri ile aktörler virüsleri dağıtabilir ve biçimlendirilmiş sürücüleri etkileyebilir, dosyaları silebilir, indirebilir veya değiştirebilir.

RAT'leri tespit etmek zor olabilir çünkü genellikle çalışan programların listelerinde görünmezler. Sisteminizi RAT'lerden korumak için virüsten koruma yazılımını güncel tutun ve güvenilir bir kaynaktan olmayan programları indirmekten veya ekleri açmaktan kaçının.

Sonuç

Bu casusluk kampanyası Mart 2020'den beri aktif ve sadece Android cihazları hedefliyor.

Kürt etnik gruplarını hedef alarak, potansiyel kurbanların Android 888 RAT veya SpyNote'ı indirmesine yol açacak en az 28 kötü amaçlı Facebook gönderisi yaydı. 

Bu Facebook gönderilerinin çoğu, 2018'den beri karaborsada bulunan ticari, çok platformlu 888 RAT'ın indirilmesine yol açtı. 2019'da, 888 RAT oluşturucunun Pro sürümünün kırılmış bir kopyası birkaç web sitesinden kullanıma sunuldu ve o zamandan beri Android 888 RAT'ı kullanan yüzlerce vaka tespit ettik.”

Yorumlar

Misafir olarak yorum yazın ya da daha etkili bir deneyim için oturum açın

Yorum yazın

Gerekli
Gerekli