Siber Güvenlikte Yeni Bir Tehdit: Stealth Falcon ve Deadglyph
ESET’in yaptığı kapsamlı araştırmalar sonucunda, Birleşik Arap Emirlikleri (BAE) bağlantılı olduğu düşünülen ve yüksek seviyede gizlilikle çalışan Stealth Falcon adlı siber istihbarat grubunun, sınır komşusu ülkelere yönelik geliştirdiği yeni ve karmaşık bir arka kapı teknolojisi ortaya çıkarıldı. Bu yeni araç, modern siber saldırılar alanında önemli bir gelişmeyi temsil ediyor ve siber güvenlik uzmanlarının dikkatini çekiyor.
Deadglyph: Gelişmiş ve Gizlenmiş Bir Arka Kapı
ESET araştırmacıları tarafından keşfedilen ve Deadglyph olarak adlandırılan bu karmaşık arka kapı, oldukça gelişmiş bir mimariye sahip. Özellikle Komuta ve Kontrol (C2) merkezinden gelen ek modüller aracılığıyla çeşitli yetenekler kazanan bu araç, saldırganların hedef sistemler üzerinde tam kontrol sağlamasına olanak tanıyor. Ayrıca, Deadglyph’in birçok karşı tespit mekanizması içerdiği ve belirli durumlarda kendini otomatik olarak kaldırma özelliği sayesinde tespit edilme riskini minimuma indirmeyi başardığı tespit edildi.
Homoglif Saldırısı ve Tespit Önlemleri
Deadglyph, adını, arka kapı içerisinde bulunan ve karakterleri yanıltıcı biçimde değiştiren homoglif saldırısından alıyor. Bu teknik sayesinde, güvenilir gibi görünen dizilerle sanki meşru bir yazılım gibi davranmak mümkün oluyor. Ayrıca, bu arka kapı Microsoft’un meşhur ürünlerini taklit ederek, saldırganların dikkatini dağıtmayı amaçlıyor. Bu karmaşık yapının ötesinde, Deadglyph’in tespit edilmesini zorlaştırmak için çeşitli önlemler ve gizlilik stratejileri kullanılıyor.
Modüler Mimari ve Dinamik Komutlar
Saldırganlar, geleneksel arka kapı komutlarını kullanmak yerine, arka kapı ikili dosyasına entegre edilmemiş, bunun yerine Komuta ve Kontrol sunucusundan dinamik olarak alınabilen modüller kullanıyor. Bu modüller, süreç oluşturma, dosya okuma ve bilgi toplama gibi çeşitli fonksiyonları yerine getiriyor. Örneğin, bir vakada, kurban bilgisayardan Outlook veri dosyasını almak için kullanılan bilgi toplama modülü dikkat çekiyor. Bu yapı, saldırının tespit edilmesini son derece zorlaştırıyor ve saldırganların faaliyetlerini gizli tutmasına olanak tanıyor.
İleri Seviye Bilgi Toplama ve İzleme Yeteneği
Deadglyph’in sahip olduğu özellikler arasında, sistem süreçlerini sürekli izleme, rastgele ağ modelleri kullanma ve güvenlik yazılımlarını gizleme gibi yetenekler bulunuyor. Ayrıca, sistemin detaylı bilgilerini toplama konusunda oldukça kapsamlı olan Modül, işletim sistemi detayları, yüklü yazılımlar, sürücüler, çalışan işlemler, hizmetler, kullanıcı bilgileri ve güvenlik yazılımı verilerini içeren geniş bir veri yelpazesi elde edebiliyor. Bu sayede, saldırganlar, hedef sistem hakkında detaylı ve hassas bilgilere ulaşabiliyorlar.
Stealth Falcon ve Deadglyph Bağlantısı
ESET, yaptığı analizler sonucunda, Deadglyph’in yüksek olasılıkla, Project Raven veya FruityArmor olarak da bilinen ve MITRE tarafından tanımlanan Stealth Falcon isimli APT grubuyla ilişkili olduğunu belirtti. Bu grup, 2012 yılından beri aktif olup, özellikle Orta Doğu bölgesinde siyasi aktivistleri, gazetecileri ve muhalifleri hedef alan kapsamlı siber casusluk operasyonlarıyla tanınıyor. İlk olarak Citizen Lab tarafından 2016 yılında keşfedilen ve detaylandırılan bu tehdit aktörleri, devlet destekli ve yüksek derecede uzmanlık gerektiren saldırılar gerçekleştiriyor.
Sonuç ve Güvenlik Önerileri
ESET’in yaptığı bu keşif, siber saldırıların karmaşıklığının ve gizlilik seviyesinin ne kadar arttığını gösteriyor. Bu tarz gelişmiş araçların tespiti ve önlenmesi için kurumların sürekli olarak güvenlik altyapılarını güncellemeleri, bilinmeyen tehditlere karşı dikkatli olmaları ve siber güvenlik uzmanlarıyla işbirliği yapmaları büyük önem taşıyor. Ayrıca, homoglif saldırı teknikleri ve modüler yapılar kullanılarak gerçekleştirilen saldırılara karşı, güvenlik politikalarının sıkılaştırılması ve gelişmiş izleme çözümlerinin hayata geçirilmesi gerekiyor.
