Kısa süre önce, genellikle Tayland, Hindistan ve ABD’deki küçük ve orta ölçekli işletmelerden yaklaşık 10.000 dosya çalmayı başaran, Grabit adı verilen yeni bir iş odaklı siber casusluk kampanyası keşfedildi. Hedef sektörler arasında kimyasal, nanoteknoloji, eğitim, tarım, medya ve inşaat gibi pek çok sektör bulunmaktadır.
Bu kampanyadan etkilenen diğer ülkeler arasında BAE, Almanya, İsrail, Kanada, Fransa, Avusturya, Sri Lanka, Şili ve Belçika bulunmaktadır.
Bulaşma, herhangi bir kurumdaki bir kullanıcının, Microsoft Office Word (.doc) dosyası gibi görünen bir ek içeren bir e-posta almasıyla başlar. Kullanıcı indirmek için tıklattığında, grup tarafından ele geçirilmiş ve bir zararlı yazılım merkezi olarak kullanılan uzak sunucudaki casus program makineye aktarılır. Saldırganlar kurbanlarını, ticari bir HawkEyeProducts casusluk aracı olan HawkEye tuş kaydedicisini ve bir dizi Uzak Yönetim Aracı (RAT) içeren bir yapılandırma modülünü kullanarak kontrol eder.
Operasyonun ölçeğini betimlemek adına Kaspersky Lab, bir tuş kaydedicisinin, Outlook, Facebook, Skype, Google mail, Pinterest, Yahoo, LinkedIn ve Twitter’in yanı sıra banka hesapları gibi 4928 farklı ana kaynak ve diğer kaynaklardan, dahili ve harici olarak 2887 Parola, 1053 E-posta ve 3023 Kullanıcı adı çalma becerisine sahip komut ve kontrol sunucularından sadece bir tanesi olduğunu bildirmektedir.
Bir taraftan Grabit tehdit aktörü bu etkinliği gizlemek için fazladan bir çaba sarf etmiyor: bazı zararlı yazılım örnekleri aynı ana sunucuyu, hatta aynı kimlik bilgilerini kullanarak kendi güvenliğini zayıflatıyor. Diğer taraftan saldırganlar, kodlarını analistlerin gözlerinden saklamak için güçlü gizleme teknikleri kullanıyor. Uzman analistler, zararlı yazılımı her kim programladıysa bütün bir kodu sıfırdan yazmadığını düşünüyor.
Grabit’ten korunmak için aşağıdaki kurallara uymanız tavsiye ediliyor:
- Şu konuma bakın: C:\Users\<PC-NAME>\AppData\Roaming\Microsoft; yürütülebilir dosyalar içeriyorsa zararlı yazılım bulaşmış olabilir. Bu, göz ardı etmemeniz gereken bir uyarıdır.
- Windows Sistem Yapılandırmaları, başlangıç tablosunda bir grabit1.exe dosyası içermiyor olmalıdır. “msconfig” komutunu yürütün ve grabit1.exe kayıtlarının bulunmadığından emin olun.
- Tanımadığınız kişilerden gelen eklentileri ve bağlantıları açmayın. Eğer açamıyorsanız, kimseye iletmeyin; bir BT yöneticisinden destek alın.
- Gelişmiş ve güncel bir zararlı yazılım önleme çözümü kullanın ve AV görev listesini her şüpheli sürece karşı mutlaka takip edin.