Kaspersky Lab’ın Global Araştırma ve Analiz ekibi belli başlı ve üst düzey oluşumları vurmak üzere malware kullanan yeni, gelişmiş bir siber casus programını inceleyen bir rapor yayınladı.
Kaspersky Lab’ın güvenlik uzmanları CozyDuke’un MiniDuke, CosmicDuke ve OnionDuke gibi diğer siber casus kampanyalarla yapısal benzerlikler göstermesine ek olarak, oldukça güçlü kötücül program fonksiyonunu da ortaya çıkardı. Bazı delillere göre bu operasyonların Rusça konuşan failler tarafından yapıldığına inanılıyor. Kaspersky Lab incelemeleri, MiniDuke ve CosmicDuke’un hala aktif olduğunu ve bazı ülkelerde diplomatik kurumlar/büyükelçilikler, enerji, petrol ve gaz şirketleri, telekomlar, askeriye ve akademik kurumları hedeflemeye devam ettiğini gösteriyor.
Dağıtım Metodu
CozyDuke aktörü genellikle hedefine kişiyi hacklenmiş bir siteye yönlendirecek linkler içeren maillerle ulaşır. Bu linkler güvenli ve meşru görünen, ”diplomasi.pl” gibi üst düzey izlenimi veren ama malware ile dolu ZIP içeren sitelere yönlendirme yaparlar. Diğer durumlarda, aktör e-mail eklentisi şeklinde kötücül virüsler içeren sahte flaş videolar da gönderebilir.
CozyDuke backdoor ve dropper kullanır. Kötücül program, komut ve kontrol server’ına hedef hakkında bilgi gönderir; kurulum dosyalarını ve saldırganların ihtiyaç duyduğu diğer ekstra fonksiyonları da içeren ek modülleri ele geçirir.
Kaspersky Lab Global Araştırma ve Analiz Takımı’nın Baş Güvenlik Araştırmacısı Kurt Baumgartner, “Birkaç yıldır hem MiniDuke hem de CosmicDuke’u inceliyoruz. Kaspersky Lab, başlangıcı 2008’e kadar giden bu siber tehditin bilinen en eski örnekleriyle, 2013’teki MiniDuke saldırıları hakkında uyarıda bulunan ilk kurumdu. CozyDuke, OnionDuke siber casus operasyonuyla olduğu kadar, bu iki kampanyayla da bağlantılı. Bu tehdit aktörlerinin tümü hedeflerinin izini sürmeye devam ediyor ve biz tüm bu casusluk unsurlarının Rusça konuşan kişiler tarafından oluşturulup yönetildiğine inanıyoruz,” şeklinde konuştu.