papakudioflu
Admin
Kiralık Hacker Grubu:“hidden Lynx”e Dikkat Edin
Son dönemde teknolojinin hayatımızla iyice içime girmesiyle kullandığımız bilgisayarlar da bazı grupların açık hedefi haline geldi. Bu yazımızda sizlere hacker'lığı bir adım daha ileriye taşıyan çok tehlikeli bir gruptan bahsedeceğiz.
Herkesin Gözü Onlarda: “Hidden Lynx”, Çinli Kiralık Hacker Grubu
Symantec Güvenlik Yanıt Merkezi
19 Eylül 2013, Perşembe - Son birkaç yıldır yapılan çalışmalar, internet üzerindeki çeşitli saldırıların ya da APT (Advanced Persistent Threat) adı verilen ileri seviyede inatçı virüslerin arkasındaki aktörleri detaylarıyla ortaya koyuyor. Symantec Security Response (Symantec Güvenlik Yanıt Merkezi) olarak bizim gözümüz, internet saldırıları denilince işin ustası olarak sivrilen Çinli bir hacker grubunun üzerinde. Komuta - kontrol sunucu iletişimlerinde bulunan bir bağlantıdan sonra biz onlara Hidden Lynx adını verdik. Bu grup, internet saldırıları konusunda oldukça agresif ve çoktan APT1/Comment Crew gibi grupların önüne geçmiş durumda. Bu grubun temel karakteristiğini aşağıdaki kelimelerle şöyle özetleyebiliriz:
•Üst düzey teknik yetenek
•Çeviklik
•Çok organize
•Etkin kaynak kullanımı
•Sabır
Grup tüm bu özelliklerini uzun zaman süresince, aynı anda birden çok hedefe karşı yürüttüğü birçok acımasız kampanyada ortaya koydu. “Watering hole” (Sulama deliği) adı verilen bir teknikle kullanıcıları tuzağa düşürmenin öncüsü olan grup, sıfır-gün açıklarına çoktan hızlı erişim kabiliyeti ile ulaşabilen ve kendilerini asıl hedefe ulaştırmak için gereken tedarik zinciriyle uzlaşabilecek kadar akıllı, azimli ve sabırlı avcılardan oluşuyor. Bu tedarik zinciri saldırıları, amaçlanan hedef bir tedarikçinin bilgisayarlarına virüs bulaştırarak, daha sonra bu virüslü bilgisayarların diğerleriyle etkileşime geçmesini sağlayıp, böylece virüsü yaymasını garantiye alarak yürütülüyor. Açıkçası, amatörce planlanan saldırılardan daha “sistemli” bir şekilde hesaplanan eylemlerden bahsediyoruz.
Hidden Lynx adlı bu Çinli grup ayrıca, kendini bir avuç hedefle de sınırlandırmıyor, çeşitli ülkelerden yüzlerce farklı organizasyonu hedef alıyor, hatta bazen birden fazla hedefin üzerine aynı anda yürüyor. İşlerin büyüklüğüne, hedeflerin ve ülkelerin sayısına baktığımızda biz Symantec olarak bu grubun, daha çok müşterilerine bilgi sağlamak için “kiralık hackerlar” şeklinde profesyonel olarak hizmet verdiğini düşünüyoruz. Bu grup, müşterilerinin taleplerine göre bilgileri çalıyor ve çok geniş bir hedef yelpazesinde ilerliyor.
Diğer taraftan, saldırıların büyüklüğüne baktığımızda, grubun emrinde ciddi bir hacking/saldırı uzman kadrosu olduğunu düşünüyoruz. Tahminen bu grup içinde 50 ila 100 arası kişi arasında bir hacker grubu görevli. Bu uzman kadro, farklı türde işleri yapmak için farklı araçlar kullanan ve en az iki farklı ekip halinde organize olan bir yapılanmaya sahip. Bu tarz saldırılar oldukça geniş bir zaman ve uzun uğraşlar gerektiriyor. Bazı saldırıları başlatabilmeleri ve başarı ile sonuçlandırabilmeleri için önceden araştırma ve istihbarat toplamaları gerekli olabiliyor.
Grubun başında, pek çok farklı hedefe saldırmak için temel ama etkili yöntemlerle ile birlikte çeşitli saldırı araçları da kullanan bir ön takım yer alıyor. Bu takım gerektiğinde istihbarat toplama görevini de üstleniyor. Kullandıkları Trojan’ın adından yola çıkarak biz bu takıma Moudoor adını verdik. Moudoor’u ekibin güvenlik firmalarına yakalanma endişesi olmadan, özgürce kullanabildiği bir nevi Trojan’ın arka giriş kapısı gibi düşünebilirsiniz. Diğer ekipse, özel operasyonlar birimi gibi daha elit bir çalışan grubundan oluşuyor ve en değerli bilgilere ulaşmak için çalışıyor. Elit ekip Naid adında bir Trojan kullanıyor ve bu nedenle Naid Ekibi olarak adlandırılıyor. Moudoor’un aksine Naid Trojan, “başarısız olma” gibi bir seçenek olmadığı zamanlarda, gizli bir silah gibi, algılamak, önlemek ve yakalamak için oldukça dikkatli ve özel bir operasyonla kullanılıyor.
Gelelim grubun çalışmalarına, Symantec olarak grubun 2011’den beri yürüttüğü 6 önemli kampanyayı araştırdık. Bu kampanyalar arasından en dikkat çeken 2012 Haziran ayında VOHO saldırı kampanyası oldu. Bu saldırının özellikle ilginç olan tarafı, “sulama deliği” tekniğini kullanılırken, Bit9’un çok güvenilen altyapısıyla ‘uzlaşmasıydı’. VOHO kampanyası tamamen, Bit9 güvenlik koruma yazılımını kullanan Amerikan savunma birimlerinin sistemlerini hedefliyordu fakat Hidden Lynx korsanlarının önü bu güçlü güvenlik koruma yazılımıyla kesilince, seçeneklerini tekrar gözden geçirdiler ve sonunda çareyi koruma sisteminin merkezine ulaşıp, sistemle bir nevi ‘uzlaşma’ yapmakta buldular. Aslında sistemin kalbine inerek ona bu şekilde zarar verdiler ve kendi amaçları için kullanabildiler. Tüm dikkatlerini Bit9’a verip, sistemde bir delik açmayı başardıklarında tam olarak yaptıkları buydu. Bir kez delik açıldı mı, siber-saldırganlar Bit9 koruma modelinin alt yapısında kolaylıkla yollarını bulabildiler ve zararlı kod yazılım dosyalarını yaratmak için bu sistemi kullandılar. Sonrasında da yarattıkları dosyalar sayesinde asıl hedefleriyle uzlaştılar.
Hidden Lynx ve bu grubun yürüttüğü kampanyalarla ilgili daha fazla bilgiye erişmek üzere Symantec tarafından yayınlanan
Son dönemde teknolojinin hayatımızla iyice içime girmesiyle kullandığımız bilgisayarlar da bazı grupların açık hedefi haline geldi. Bu yazımızda sizlere hacker'lığı bir adım daha ileriye taşıyan çok tehlikeli bir gruptan bahsedeceğiz.
Herkesin Gözü Onlarda: “Hidden Lynx”, Çinli Kiralık Hacker Grubu
Symantec Güvenlik Yanıt Merkezi
19 Eylül 2013, Perşembe - Son birkaç yıldır yapılan çalışmalar, internet üzerindeki çeşitli saldırıların ya da APT (Advanced Persistent Threat) adı verilen ileri seviyede inatçı virüslerin arkasındaki aktörleri detaylarıyla ortaya koyuyor. Symantec Security Response (Symantec Güvenlik Yanıt Merkezi) olarak bizim gözümüz, internet saldırıları denilince işin ustası olarak sivrilen Çinli bir hacker grubunun üzerinde. Komuta - kontrol sunucu iletişimlerinde bulunan bir bağlantıdan sonra biz onlara Hidden Lynx adını verdik. Bu grup, internet saldırıları konusunda oldukça agresif ve çoktan APT1/Comment Crew gibi grupların önüne geçmiş durumda. Bu grubun temel karakteristiğini aşağıdaki kelimelerle şöyle özetleyebiliriz:
•Üst düzey teknik yetenek
•Çeviklik
•Çok organize
•Etkin kaynak kullanımı
•Sabır
Grup tüm bu özelliklerini uzun zaman süresince, aynı anda birden çok hedefe karşı yürüttüğü birçok acımasız kampanyada ortaya koydu. “Watering hole” (Sulama deliği) adı verilen bir teknikle kullanıcıları tuzağa düşürmenin öncüsü olan grup, sıfır-gün açıklarına çoktan hızlı erişim kabiliyeti ile ulaşabilen ve kendilerini asıl hedefe ulaştırmak için gereken tedarik zinciriyle uzlaşabilecek kadar akıllı, azimli ve sabırlı avcılardan oluşuyor. Bu tedarik zinciri saldırıları, amaçlanan hedef bir tedarikçinin bilgisayarlarına virüs bulaştırarak, daha sonra bu virüslü bilgisayarların diğerleriyle etkileşime geçmesini sağlayıp, böylece virüsü yaymasını garantiye alarak yürütülüyor. Açıkçası, amatörce planlanan saldırılardan daha “sistemli” bir şekilde hesaplanan eylemlerden bahsediyoruz.
Hidden Lynx adlı bu Çinli grup ayrıca, kendini bir avuç hedefle de sınırlandırmıyor, çeşitli ülkelerden yüzlerce farklı organizasyonu hedef alıyor, hatta bazen birden fazla hedefin üzerine aynı anda yürüyor. İşlerin büyüklüğüne, hedeflerin ve ülkelerin sayısına baktığımızda biz Symantec olarak bu grubun, daha çok müşterilerine bilgi sağlamak için “kiralık hackerlar” şeklinde profesyonel olarak hizmet verdiğini düşünüyoruz. Bu grup, müşterilerinin taleplerine göre bilgileri çalıyor ve çok geniş bir hedef yelpazesinde ilerliyor.
Diğer taraftan, saldırıların büyüklüğüne baktığımızda, grubun emrinde ciddi bir hacking/saldırı uzman kadrosu olduğunu düşünüyoruz. Tahminen bu grup içinde 50 ila 100 arası kişi arasında bir hacker grubu görevli. Bu uzman kadro, farklı türde işleri yapmak için farklı araçlar kullanan ve en az iki farklı ekip halinde organize olan bir yapılanmaya sahip. Bu tarz saldırılar oldukça geniş bir zaman ve uzun uğraşlar gerektiriyor. Bazı saldırıları başlatabilmeleri ve başarı ile sonuçlandırabilmeleri için önceden araştırma ve istihbarat toplamaları gerekli olabiliyor.
Grubun başında, pek çok farklı hedefe saldırmak için temel ama etkili yöntemlerle ile birlikte çeşitli saldırı araçları da kullanan bir ön takım yer alıyor. Bu takım gerektiğinde istihbarat toplama görevini de üstleniyor. Kullandıkları Trojan’ın adından yola çıkarak biz bu takıma Moudoor adını verdik. Moudoor’u ekibin güvenlik firmalarına yakalanma endişesi olmadan, özgürce kullanabildiği bir nevi Trojan’ın arka giriş kapısı gibi düşünebilirsiniz. Diğer ekipse, özel operasyonlar birimi gibi daha elit bir çalışan grubundan oluşuyor ve en değerli bilgilere ulaşmak için çalışıyor. Elit ekip Naid adında bir Trojan kullanıyor ve bu nedenle Naid Ekibi olarak adlandırılıyor. Moudoor’un aksine Naid Trojan, “başarısız olma” gibi bir seçenek olmadığı zamanlarda, gizli bir silah gibi, algılamak, önlemek ve yakalamak için oldukça dikkatli ve özel bir operasyonla kullanılıyor.
Gelelim grubun çalışmalarına, Symantec olarak grubun 2011’den beri yürüttüğü 6 önemli kampanyayı araştırdık. Bu kampanyalar arasından en dikkat çeken 2012 Haziran ayında VOHO saldırı kampanyası oldu. Bu saldırının özellikle ilginç olan tarafı, “sulama deliği” tekniğini kullanılırken, Bit9’un çok güvenilen altyapısıyla ‘uzlaşmasıydı’. VOHO kampanyası tamamen, Bit9 güvenlik koruma yazılımını kullanan Amerikan savunma birimlerinin sistemlerini hedefliyordu fakat Hidden Lynx korsanlarının önü bu güçlü güvenlik koruma yazılımıyla kesilince, seçeneklerini tekrar gözden geçirdiler ve sonunda çareyi koruma sisteminin merkezine ulaşıp, sistemle bir nevi ‘uzlaşma’ yapmakta buldular. Aslında sistemin kalbine inerek ona bu şekilde zarar verdiler ve kendi amaçları için kullanabildiler. Tüm dikkatlerini Bit9’a verip, sistemde bir delik açmayı başardıklarında tam olarak yaptıkları buydu. Bir kez delik açıldı mı, siber-saldırganlar Bit9 koruma modelinin alt yapısında kolaylıkla yollarını bulabildiler ve zararlı kod yazılım dosyalarını yaratmak için bu sistemi kullandılar. Sonrasında da yarattıkları dosyalar sayesinde asıl hedefleriyle uzlaştılar.
Hidden Lynx ve bu grubun yürüttüğü kampanyalarla ilgili daha fazla bilgiye erişmek üzere Symantec tarafından yayınlanan
Linkleri görüntülemek için kayıt olmalısınız
okuyabilirsiniz.
kimse eseti sevmiyor 
