Siber casusluk dünyasına yeni bir oyuncu katıldı: “LostKeys” adı verilen sinsi bir zararlı yazılım. Google’a göre, Rusya devletine bağlı bir siber saldırı grubu olan COLDRIVER, yılın başından beri LostKeys’i, Batı hükümetleri, gazeteciler, düşünce kuruluşları ve sivil toplum kuruluşlarına casusluk yapmak için kullanıyor.
COLDRIVER: Yeni Bir Tehdit
COLDRIVER, aslında pek de yeni bir grup değil. Geçtiğimiz Aralık ayında, Birleşik Krallık ve “Beş Göz” istihbarat müttefikleri bu grubu hedef almıştı. Hacking grubunun, Rusya’nın Federal Güvenlik Servisi (FSB) ile doğrudan bağlantılı olduğu ortaya çıktı. FSB, Rusya’nın iç güvenliğinden ve karşı istihbarattan sorumlu ana kuruluşu.
LostKeys ve Kullanım Yöntemleri
Google’ın Tehdit İstihbarat Grubu (GTIG), LostKeys’i Ocak ayında fark etti. COLDRIVER, bu yazılımı hedefli “ClickFix” saldırılarıyla yayıyor. Bu saldırılar, kişileri şüpheli PowerShell betikleri çalıştırmaya ikna eden dijital dolandırıcılık yöntemlerine dayanıyor. ClickFix saldırıları, klasik sosyal mühendislik yöntemlerine dayandırılıyor.
Bu betikler çalıştırıldığında, daha fazla PowerShell zararlısı indirilip çalıştırılabiliyor. LostKeys’in kurulması, esas hedef olarak belirleniyor. Google’a göre, LostKeys bir Visual Basic Script (VBS) veri hırsızlığı yazılımı. GTIG’nin raporuna göre, LostKeys, spesifik dosyaları ve dizinleri “silinecek” şekilde toplayan bir “dijital elektrik süpürgesi” işlevi görüyor. Ayrıca sistem bilgisi gönderip, prosesleri saldırganlara geri iletiyor.
COLDRIVER’ın genel planı, e-posta ve iletişim bilgilerini çalmak için giriş bilgilerini ele geçirmek. Ancak başka bir zararlı yazılım olarak bilinen SPICA’yı kullanarak belgeler ve dosyalar da çaldıkları biliniyor. LostKeys bu tür kullanımlar için yalnızca “son derece seçici durumlarda” devreye giriyor. Bu da, onun COLDRIVER’ın casusluk aletleri arasında daha özel bir araç olduğunu gösteriyor.
COLDRIVER’ın Tarihçesi ve Etkisi
COLDRIVER, Star Blizzard ve Callisto Grubu gibi diğer takma adlarla da biliniyor. 2017 yılından beri sosyal mühendislik ve açık kaynak istihbaratı becerilerini geliştirerek hedeflerini kandırmaya çalışıyorlar. Amaçları, savunma ve hükümet kuruluşlarından sivil toplum kuruluşlarına ve politikacılara kadar geniş bir yelpazedeki hedefleri ele geçirmek.
Rusya’nın Ukrayna’yı işgali sonrası COLDRIVER’ın saldırıları arttı ve hatta savunma sanayisi ile ABD Enerji Bakanlığı gibi stratejik tesislere kadar genişledi. ABD Dışişleri Bakanlığı, COLDRIVER operatiflerinden birine (rapor edilen bir FSB yetkilisi) yaptırım uyguladı. Şu anda, ABD otoriteleri, diğer üyeleri tespit edebilmek için 10 milyon dolarlık ödül sunuyor. Bu durum, grubun tehdit seviyesinin ciddiyetini gösteriyor.
