"Dtrack" casus yazılımı neden tehlikelidir
Uzaktan yönetim aracı (RAT) olarak kullanılabilen "Dtrack", tehdit gruplarının sızdıkları cihazlar üzerinde tam kontrol sahibi olmasını sağlıyor
25.09.2019 00:00:00
"Dtrack" casus yazılımı, finans kuruluşlarını hedef alıyor
Lazarus grubu tarafından geliştirilen ve "Dtrack" olarak adlandırılan bu casusluk yazılımı, kurbanların sistemlerine dosya indirmek, basılan tuşları kaydetmek ve zararlı uzaktan yönetim araçlarının diğer tipik işlevlerini uygulamak için kullanılıyor
Kaspersky Global Araştırma ve Analiz Ekibi, Hindistan merkezli finans kurumları ve araştırma merkezlerinde "Dtrack" olarak adlandırılan casusluk yazılımı tespit etti.
Kaspersky'dan yapılan açıklamaya göre, Kaspersky araştırmacıları, "ATMDtrack" adlı bir zararlı yazılım keşfetti. Bu yazılım, Hindistan'da ATM'lerden müşterilerin kart verilerini çalmak için kullanılıyordu
Kaspersky Atıf Motoru ve diğer araçlarla yapılan derinlemesine inceleme sonrasında araştırmacılar, ATMDtrack ile kod benzerlikleri bulunan 180'den fazla yeni zararlı yazılım örneği buldu. Ancak bunların ATM'leri hedef almadığı görüldü.
Yazılımların işlevlerine bakıldığında casusluk aracı olarak kullanıldıkları belirlendi ve bunlara "Dtrack" adı verildi. Ayrıca, çok sayıda siber casusluk ve siber sabotaj operasyonuna karışan ünlü gelişmiş kalıcı tehdit grubu Lazarus'a (APT) atfedilen 2013 DarkSeoul saldırısıyla da benzerlikler tespit edildi.
Uzaktan yönetim aracı (RAT) olarak kullanılabilen "Dtrack", tehdit gruplarının sızdıkları cihazlar üzerinde tam kontrol sahibi olmasını sağlıyor. Suçlular dosya indirmek ve yüklemek, temel işlemler başlatmak gibi farklı şeyler yapabiliyor.
"Dtrack" kullanan tehdit gruplarının hedefleri genellikle zayıf ağ güvenlik politikalarına ve parola standartlarına sahip, iç trafiği izleyemeyen kurumlar oluyor.
Yazılım başarılı bir şekilde kurulduğunda mevcut tüm dosyaları ve çalışan süreçleri listeleyebiliyor, basılan tuşları kaydedebiliyor, tarayıcı geçmişini ve ana makinenin IP adresini görebiliyor. Mevcut ağlar ve etkin bağlantılar hakkındaki bilgiler de toplanabiliyor.
Yeni keşfedilen zararlı yazılım, Kaspersky ölçümlerine göre siber saldırılarda halen kullanılıyor.
"Saldırılara karşı hazırlıklı olmanız gerekiyor"
Açıklamada görüşlerine yer verilen Kaspersky Global Araştırma ve Analiz Ekibi Güvenlik Araştırmacısı Konstantin Zykov, Lazarus'un çok sıra dışı bir grup olduğunu belirterek, şunları kaydetti:
"Diğer gruplara benzer bir şekilde bu grup da siber casusluk veya sabotaj operasyonlarına katılıyor. Ancak öte yandan, para çalma hedefli saldırılara da ilgi gösteriyor.
Bu derece yüksek profilli tehdit grupları için bu pek görülen bir durum değil. Diğer grupların saldırılarında finansal amaçlar olmuyor. Bulduğumuz inanılmaz sayıda Dtrack örneği, Lazarus'un en etkin APT gruplarından biri olduğunu gösteriyor.
Lazarus, geniş ölçekli sektörleri etkileyen tehditler geliştirmeyi sürdürüyor. Dtrack RAT ile ulaştıkları başarı, tehdit şimdilik kaybolmuş gibi görünse de yeni hedeflere saldırmak için farklı bir şekilde yeniden karşımıza çıkabileceklerini kanıtlıyor.
Araştırma merkezleri veya devletle hiçbir bağlantısı olmadan faaliyet gösteren bir finans kuruluşu olsanız da bir gelişmiş tehdit grubunun saldırısına uğrama olasılığına karşı hazırlıklı olmanız gerekiyor."
"Dtrack" zararlı yazılımı başarılı bir şekilde tespit edip engelleyen Kaspersky, bu gibi zararlı yazılımlardan etkilenmemek için şu önerilerde bulunuyor:
"Kaspersky Anti Targeted Attack Platform (KATA) gibi bir trafik izleme yazılımı kullanın. Kaspersky Endpoint Security for Business gibi davranış tabanlı tespit teknolojilerine sahip, başarısı kanıtlanmış bir güvenlik çözümü kullanın.
Kurumun BT altyapısına düzenli olarak güvenlik denetimleri yapın. Çalışanlarınıza düzenlik güvenlik eğitimleri verin."
