Rusça konuşan bireylerden oluşan yüksek profilli tehdit kümesi Çeşitle, devlet kurumları ve diplomatik kuruluşları maksat alan siber casusluk faaliyetleriyle biliniyor. Yenilikçi prosedürleriyle tanınan kümenin KopiLuwak isimli ünlü ziyanlı yazılımı birinci olarak 2016 sonlarında gözlemlenmişti. 2019’da Kaspersky araştırmacıları bu tehdit kümesinin yeni araçlar ve teknikler kullanarak tespit edilme ihtimalini daha da azalttığını belirledi.
Turla tarafından kullanılan Topinambour (adını yer elması sebzesinden alıyor), JavaScript KopiLuwak ziyanlı yazılımını dağıtmaya yarayan bir .NET belgesi. Bu evrak, internet sensörünü aşmada kullanılan VPN üzere yasal programların heyetim paketlerine bulaşarak kurbanlara ulaşıyor.
Siber casusluk hedefiyle tasarlanan KopiLuwak, Turla’nın yeni bulaştırma sistemleri sayesinde tespit edilmekten kurtulabiliyor.Örneğin, ziyanlı yazılımın komut ve denetim altyapısında sıradan LAN adreslerini taklit eden IP’ler bulunuyor. Bunun yanı sıra ziyanlı yazılım neredeyse büsbütün “dosyasız” bir yapıda. Bulaşma sürecinin son kademesinde uzaktan idare için kullanılan şifreli bir Truva atı, bilgisayarın kayıt defterine ziyanlı yazılım hazır olduğunda erişebilmesi için ekleniyor.
KopiLuwak’ın iki sürümü .NET RocketMan Trojan ve PowerShell MiamiBeach Trojan da siber casusluk için tasarlandı.Araştırmacılar bu sürümlerin, KopiLuwak’ı tespit edebilen güvenlik yazılımlarına sahip amaçlara yönelik hazırlandığına inanıyorlar. Bu üç sürüm de kurulduktan sonra şunları yapabiliyor:
Ne çeşit bir bilgisayara erişebildiğini anlamak için maksadı detaylı formda inceleme
Sistem ve ağ adaptörleri hakkında bilgi toplama
Dosya çalma
Başka ziyanlı yazılımlar indirip çalıştırma
MiamiBeach sürümü ayrıyeten ekran imgesi de alabiliyor
Kaspersky Baş Güvenlik Araştırmacısı Kurt Baumgartner, “Turla 2019’da yenilenmiş bir araç setiyle karşımıza çıktı. Yeni özellikler muhtemelen güvenlik tahlilleri ve araştırmacılardan kaçınmak için eklendi. Bu özellikler ve teknikler ortasında ziyanlı yazılımın dijital izini küçültmek ve yeterli bilinen KopiLuwak ziyanlı yazılımının birbirine misal ancak başka iki sürümünü çıkarmak yer alıyor. İnternet sensörünü aşabilen VPN yazılımlarının heyetim paketlerinin kullanılması, saldırganların bu araçları birer siber casusluk aracı olarak kabul ettiğini gösteriyor. Bu gelişmeler, APT’lerin kullandığı en yeni araçlar ve tekniklere karşı muhafaza sağlayan güvenlik yazılımları ve tehdit istihbaratına duyulan gereksinimi hatırlatıyor. Örneğin, uç nokta müdafaası ve suram yazılımını indirdikten sonra belge kodlarını denetim etme üzere metotlar Topinambour üzere tehditlere karşı müdafaa sağlıyor” dedi.