Stuff

Hindistan – Pakistan gerilimi siber savaşa dönüştü

Bu iki ülkenin geçmişine dair söylenebilecek her şey ağır siyaset içerikli olduğundan, istemeyerek de olsa Gandhi’nin hayatını okumanızı veye izlemenizi tavsiye ederek direkt olarak habere geçmek durumundayız.

ESET, özellikle Pakistan’da farklı organizasyonların hassas bilgilerini çalmaya çalışan, hedefe yönelik dijital saldırılar tespit etti. Yapılan incelemelere göre, tehdidin kökeni Hindistan’da.

Bu saldırıların iki yıldır devam ettiğini gösteren çeşitli ipuçları bulan ESET’e göre söz konusu kötü amaçlı yazılım, e-postalar ekindeki belgeler aracılığıyla yayıldı. Belge açılır açılmaz, kötü amaçlı kod, saldırıya uğrayan bilgisayar kullanıcısının haberi bile olmadan çalıştırılıyor. Bir başka bulaştırma biçiminde ise yine e-postayla dağıtılan Word ya da PDF belgeleri gibi görünen yürütülebilir Windows dosyalarından faydalanılıyor. Her iki durumda da, kurbanın şüphelenmemesi için kod yürütülürken kullanıcıya sahte belgeler gösteriliyor.

Hedef Pakistan
ESET Kötü Amaçlı Yazılım Araştırmacısı Jean-Ian Boutin, “Alıcıları kandırmak için farklı temalara sahip, çok sayıda farklı belge saptadık. Bu temalardan biri de Hindistan Silahlı Kuvvetleriydi. Bu dosyalar tarafından özellikle hangi bireyler ve kurumların hedef alındığına dair elimizde kesin bilgiler yok ama incelemelerimize dayalı olarak, Pakistan’daki bireylerin ve kurumların hedef alındığını varsayıyoruz. Örneğin sahte PDF dosyalarından biri, “pakistandefencetoindiantopmiltrysecreat.exe” adlı kendi kendine açılan bir arşiv ile gönderildi” dedi. ESET verileri, başka ülkelerle karşılaştırıldığında Pakistan’ın bu kampanyadan yüzde 79’luk bulaşma oranı ile ağır şekilde etkilendiğini gösteriyor.

Çeşitli veri çalma teknikleri kullanıyor
Kötü amaçlı yazılım, virüs bulaşan bilgisayarlardaki hassas verileri çalıyor ve bu verileri saldırganların sunucularına gönderiyor. Bu yazılım, tuş kaydedici program, ekran görüntüsü alma ve belgeleri saldırganların bilgisayarına yükleme gibi çeşitli veri çalma teknikleri kullanıyor. İlginç olan şey ise, virüs bulaşan bir bilgisayardan çalınan bilgilerin, saldırganın sunucusuna şifrelenmeden yükleniyor olmasıydı. Jean-Ian Boutin “Şifreleme kullanmama kararı kafa karıştırıcıydı. Çünkü temel şifrelemenin eklenmesi çok kolaydır ve operasyonun daha fazla gizli kalmasını sağlar” açıklamasını yaptı.

Hedefe yönelik saldırı
ESET’in tespitlerine göre bu hedefe yönelik saldırıda, kötü amaçlı ikili dosyaları imzalamak ve yayılma olasılıklarını artırmak için, yasal gibi görünen bir şirkete verilmiş olan kod imzalama sertifikası kullanıldı. Şirket Yeni Delhi merkezliydi ve sertifika 2011 yılında verilmişti. Kötü amaçlı yazılım, e-postaların ekindeki belgeler aracılığıyla yayıldı.

Zararlı kodların isimleri
Saldırı kampanyasını “çok parçalı ve çok vektörlü bir tehdit” olarak değerlendiren ESET, şu zararlı kodları tespit etti:

Win32/Agent.NLD worm
Win32/Spy.Agent.NZD Trojan
Win32/Spy.Agent.OBF Trojan
Win32/Spy.Agent.OBV Trojan
Win32/Spy.KeyLogger.NZL Trojan
Win32/Spy.KeyLogger.NZN Trojan
Win32/Spy.VB.NOF Trojan
Win32/Spy.VB.NRP Trojan
Win32/TrojanDownloader.Agent.RNT Trojan
Win32/TrojanDownloader.Agent.RNV Trojan
Win32/TrojanDownloader.Agent.RNW Trojan
Win32/VB.NTC Trojan
Win32/VB.NVM Trojan
Win32/VB.NWB Trojan
Win32/VB.QPK Trojan
Win32/VB.QTV Trojan
Win32/VB.QTY Trojan
Win32/Spy.Agent.NVL Trojan
Win32/Spy.Agent.OAZ trojan