Çinli hacker grubu “Blackwood”, NSPX30 adlı bir aracı kullanarak İngiltere, Çin ve Japonya'daki insanları ve şirketleri gözetliyor. Kötü amaçlı yazılım hedef cihazlara resmi uygulama güncellemeleri aracılığıyla ulaşıyor.
Siber suçlular her zaman değerli verileri elde etmenin ustaca yollarını buluyor. ESET araştırmacılarının keşfettiği gibi, Çin'den daha önce bilinmeyen bir hacker grubu, NSPX30 adı verilen yeni bir araç kullanarak veri avlıyor. Bunun özelliği: Kullanıcıya kötü amaçlı e-posta ekleri ve web siteleri aracılığıyla bulaşmak yerine, hedef sistemlerine resmi uygulama güncellemeleri aracılığıyla ulaşıyor. ESET araştırmacısı Facundo Muñoz liderliğindeki ekibin gruba verdiği adla "Blackwood", 2018'den bu yana Birleşik Krallık, Çin ve Japonya'daki insanları ve şirketleri gözetliyor.
NSPX30 ekran görüntülerini ve kayıtlı bilgileri iletir
Kötü amaçlı yazılım yüklendikten sonra hemen veri toplamaya ve bunu arkasındakilere aktarmaya başlar. Buna ekran görüntüleri, cihazda depolanan bilgiler ve tuş vuruşları dahildir. Ancak saldırının kesin şekli ve grubun kimliğini nasıl gizlediği hala bilinmiyor:
NSPX30'u çalıştıran ve Blackwood'un keşfettiği ESET araştırmacısı Facundo Muñoz, "Suçluların başlangıçta hedeflerini tehlikeye atmak için kullandıkları aracı henüz keşfedemediğimizden, saldırganların NSPX30'u kötü amaçlı güncellemeler olarak nasıl sunabildiklerini tam olarak bilmiyoruz" diye açıklıyor. “Ancak saldırganların kötü amaçlı yazılımı yönlendiriciler veya ağ geçitleri gibi savunmasız ağ cihazlarına yükleyerek kurbanlarının ağlarına dağıttıklarından şüpheleniyoruz. Bu, benzer Çinli tehdit aktörleriyle olan deneyimlerimizin yanı sıra başka bir Çinli grup olan MustangPanda'ya atfedilen yönlendirici implantlara yönelik son araştırmalarla da destekleniyor."
Blackwood'un kurbanları kimler?
Yeni bilgisayar korsanlığı grubunun hedefleri arasında Çin ve Japonya'daki kimliği belirsiz kişiler ve Birleşik Krallık'taki prestijli bir kamu araştırma üniversitesinin ağına bağlı, Çince konuşan kimliği belirsiz bir kişi yer alıyor. Çin'deki büyük bir üretim ve ticaret şirketinin yanı sıra orada yerleşik bir Japon üretim şirketinin şubeleri de kendilerini Blackwood'un hedefinde buldu.
ESET araştırmacılarının gözlemlediği gibi, etkilenen kişi ve kuruluşların saldırıları sonunda savuşturması kolay değil: Aktörler, erişim kesildiğinde sürekli olarak kurbanlarının sistemlerini tehlikeye atmaya çalışıyor.
Blackwood Group kalıcı siber implant kullanıyor
Blackwood, Çin devleti tarafından finanse edilen bir Gelişmiş Kalıcı Tehdit (APT) grubudur ve en az 2018'den beri aktiftir. O tarihten bu yana Çinli ve Japon bireylere ve şirketlere karşı öncelikle siber casusluk yoluyla siber casusluk kampanyaları yürütüyor. Ortadaki Düşman (AitM) yöntemini tercih ediyor: Siber suçlular, kullanıcı ile meşru bir hizmet arasındaki iletişime müdahale ediyor ve hatta bunu çok faktörlü kimlik doğrulama gibi güvenlik mekanizmalarını atlatmak için bile kullanabiliyor.
Blackwood grubu saldırılarında NSPX30 adlı şifreli bir araç kullandı. Bu, bilgisayar korsanlarının kurbanlarının sistemlerine kapsamlı erişim sağlamasına olanak tanıyan bir implant, yani kötü amaçlı yazılımdır. Bu aracın temel sürümü ilk olarak 2005 yılında ortaya çıktı. Bu implant, bir damlatıcı, bir yükleyici, bir orkestratör ve bir arka kapı gibi çeşitli özellikler içerir. Son iki işlev, bilgisayar korsanlarının Skype, Telegram gibi uygulamaları ve özellikle Çin'de popüler olan mesajlaşma hizmetleri Tencent QQ ve WeChat'i gözetlemelerine olanak tanıyor. İki işlev implantı özellikle gizli kılar:
- NSPX30, tespit edilmekten kaçınmak için çeşitli Çin kötü amaçlı yazılımdan koruma çözümlerine sızabilir
- Kurulum resmi bir güncelleme yoluyla gerçekleştirilir: Tencent QQ messenger gibi uygulamaları veya Sogou Pinyin ve WPS Office güncellemelerini şifrelenmemiş bir bağlantı yoluyla indirmeye çalışırsanız, implant aynı anda kendi kendine yüklenir. Kurbanların, virüse yakalanmak için güvenliği ihlal edilmiş bir siteye gitmeleri veya bir kimlik avı bağlantısını tıklamaları bile gerekmiyor.
ESET Hakkında ESET, merkezi Bratislava'da (Slovakya) bulunan bir Avrupa şirketidir. 1987'den beri ESET, 100 milyondan fazla kullanıcının güvenli teknolojilerden yararlanmasına yardımcı olan ödüllü güvenlik yazılımı geliştirmektedir. Geniş güvenlik ürünleri portföyü, tüm büyük platformları kapsar ve dünya çapındaki işletmelere ve tüketicilere performans ile proaktif koruma arasında mükemmel bir denge sunar. Şirketin 180'den fazla ülkede küresel bir satış ağı ve Jena, San Diego, Singapur ve Buenos Aires'te ofisleri bulunmaktadır. Daha fazla bilgi için www.eset.de adresini ziyaret edin veya bizi LinkedIn, Facebook ve Twitter'da takip edin.
Konuyla ilgili makaleler