Rus Hackerların Gmail Kullanıcı Arayüzünü Kullandığı Belirlendi

Siber güvenlik şirketi ESET, ünlü Rus hacker grubu Turla’nın çeşitli devletlerin kurumlarından veri çalmak için kullandıkları ComRAT’a komut göndermek ve çalınan verileri almak için Gmail’i kullandıklarını belirledi.

Siber güvenlik araştırmacıları, çeşitli devletlerin kurumlarına yaptıkları saldırılarla tanınan Rus hacker grubu Turla’nın bilinen yazılım araçlarından ComRAT’ın gelişmiş bir sürümünü ortaya çıkardıklarını açıkladılar.

Siber güvenlik şirketi ESET’ten yapılan açıklamada, Turla’nın ComRAT’a komut göndermek ve elde edilen verilere ulaşmak için Gmail’i kullandığı açıklandı. ESET, Turla’nın siber saldırı için alışılmışın dışında yöntemleri kullandığını, Gmail’in kullanılmasının da bu alışılmamış yöntemlerden olduğu belirtti.

Rus hacker grubu Turla, 2004 yılından beri farklı ülkelerin askeri ve sivil kurumlarına yaptıkları saldırılarla ün kazanmıştı. Hacker grubunun kullandığı araçlarından en etkilisi olan ComRAT’ın geliştirilme tarihi 2007 yılına kadar dayanıyor.

Turla ComRAT

ABD Merkez Komutanlığı’nın Afganistan ve Irak savaş bölgelerini denetlemek için kullandığı bilgisayarlar dahil olmak üzere birçok devlet kurumunun bilgisayarını hedef aldığı belirlenen ComRAT sayesinde Turla’nın önemli bilgilere ulaştığı düşünülüyor.

ComRAT’ın mevcut versiyonu ESET tarafından ilk olarak 2017 yılında tespit edildi. Turla’nın siber saldırı aracı o günden bu yana Doğu Avrupa’daki iki ülkenin dışişleri bakanlığının ve Kafkasya’da bulunan bir parlamentonun bilgisayarlarını hedef aldı.

Turla ComRAT

ESET’in yaptığı yeni araştırmada ComRAT’ın son versiyonunun 2020 başında hala aktif olarak kullanıldığı belirlendi. ESET, Turla’nın ComRAT’a komut göndermek ve kontrol etmek için Gmail’in kullanıcı arayüzünün yanında eski bir HTTP iletişim kanalını kullandığını açıkladı.

Kasım 2019’da derlendiği belirlenen ComRAT’ın yeni versiyonu, Turla operatörleri tarafından diğer e-posta sağlayıcılarından gönderilen şifreli komutları içeren posta eklerini indirmek için Gmail’e bağlanıyor.

Turla’nın özel saldırı aracı ComRAT’ın yeni versiyonunun detayları

Turla ComRAT

ComRAT’ın yeni versiyonu önceki ComRAT sürümlerine kıyasla oldukça karmaşık yeni bir kod yapısına sahip durumda. ESET, son versiyonun eski HTTP C&C protokolüne sahip olduğunu ve Turla’nın başka bir kötü amaçlı yazılımıyla bazı ağ altyapılarını paylaştığını açıkladı.

ComRAT V4 olarak isimlendirilen son versiyon sayesinde çalınan bilgiler, Turla’nın diğer araçlarıyla güvenliği ihlal edilmiş sistemlerine ulaştırıldı. Güvenliği ihlal edilmiş başka bir cihaza gönderilen bilgilerin dışarı aktarılması için ise 4shared ve OneDrive gibi bulut hizmetleri kullanıldığı belirlendi.

ESET, Turla’nın yazılım araçlarını geliştirmek ve güvenlik yazılımlarından kaçınmak için önemli bir çalışma yürüttüğünü de açıkladı. ESET’e göre Turla yazılım örneklerinin algılanıp algılanmadığını anlamak için güvenlikle ilgili dosyalarını düzenli olarak genişletiyor.

ComRAT, güvenlik yazılımlarını atlatmak için özel olarak tasarlandı

Turla ComRAT