Posted on November 5th, 2014
Virtual tanks attacking computer data

APT (Advanced Persistent Threat)  tanımı şüphesiz son günlerde siber güvenlik dünyasının en popüler ve önemli konularından biri. APT ‘ yi kısaca hedef odaklı ,  kalıcı ve profesyonel bir ekip tarafından desteklenen siber saldırılar olarak tanımlayabiliriz.

Son zamanlarda , APT saldırılarının hedef seçtiği kurumlara ve saldırıların izine bakıldığında,   APT’yi besleyen “profesyonel ekip” in  %90 ihtimalle devlet destekli olduğu görülüyor.Devlet destekli  APT saldırıları genel anlamda hedef ülkelerin kritik kurumlarına siber istihbarat  amacı ile gerçekleştiriliyor. Rusya, Çin gibi siber güvenliğe önem veren ülkeler , siber istihbarat operasyonu düzenleyen ülkeler arasında ilk sırada yer alıyor. Bu yazımızda son günlerde , Rusya tarafından düzenlendiği düşünülen Sednit saldırılarının analizini sizlerle paylaşacağız. Sednit grubunun düzenlediği saldırılarda hedef aldığı bazı ülkeler ve kurumlar;

  • - Ukrayna ve Gürcistan Bakanlıkları,
  • - Çeçenistan Direnişinin Medyası KavkazCenter,
  • - Çeçen Konusunda Yazan Gazeteciler,
  • - NATO kurumları
  • - AMAC (Ankara Military Attache Community)
  • - Bazı konsolosluk ve elçilikler

Hedef kurumlara bakıldığında bu saldırılarının arkasında Rusya Devletinin olduğu tezi güçleniyor.

email2

Sednit saldırıları bir çok APT saldırısında olduğu gibi ilk etapta hedef kişi ve kurumların ilgisini çekecek spear phishing emailleri ile başlıyor. Gönderilen bu emailler , yine hedef kişinin ilgisini çekecek bir attachment  içeriyor. Bu attachmentlar aslında zero-day ve public bir zafiyeti sömüren Word , Excel, Powerpoint exploiti oluyor.

attack-overview

Eğer hedef kişi maildeki DOC/RTF/XLS dosyasını açarsa,  exploit  Office yazılımındaki bir zafiyeti sömürerek  sisteme “saver.scr” isimli PE dosyasını drop edip çalıştırıyor. “saver.scr” ise  sisteme istihbarat faaliyetlerini gerçekleştirecek zararlı yazılımı (“install.exe”) bulaştırıyor. Exploit çalıştıktan sonra -genelde- Word veya Excel processi sonlanacağı için ,  saver.scr aynı zamanda  kullanıcının şüphelenmemesi için sahte bir Excel ve Word dosyası da drop edip çalıştırıyor.

dropped-files

Exploitin ve saver.src ‘ nin sisteme drop ettiği dosyalar

decoy-process-saver

IDF-Spokesperson

“saver.scr” nin şüphe uyandırmamak için çalıştırdığı sahte Word dosyası.

Sednit R