Siber güvenlik araştırmacıları, çeşitli devletlerin kurumlarına yaptıkları saldırılarla tanınan Rus hacker grubu Turla’nın bilinen yazılım araçlarından ComRAT’ın gelişmiş bir sürümünü ortaya çıkardıklarını açıkladılar.
Siber güvenlik şirketi ESET’ten yapılan açıklamada, Turla’nın ComRAT’a komut göndermek ve elde edilen verilere ulaşmak için Gmail’i kullandığı açıklandı. ESET, Turla’nın siber saldırı için alışılmışın dışında yöntemleri kullandığını, Gmail’in kullanılmasının da bu alışılmamış yöntemlerden olduğu belirtti.
Rus hacker grubu Turla, 2004 yılından beri farklı ülkelerin askeri ve sivil kurumlarına yaptıkları saldırılarla ün kazanmıştı. Hacker grubunun kullandığı araçlarından en etkilisi olan ComRAT’ın geliştirilme tarihi 2007 yılına kadar dayanıyor.
ABD Merkez Komutanlığı’nın Afganistan ve Irak savaş bölgelerini denetlemek için kullandığı bilgisayarlar dahil olmak üzere birçok devlet kurumunun bilgisayarını hedef aldığı belirlenen ComRAT sayesinde Turla’nın önemli bilgilere ulaştığı düşünülüyor.
ComRAT’ın mevcut versiyonu ESET tarafından ilk olarak 2017 yılında tespit edildi. Turla’nın siber saldırı aracı o günden bu yana Doğu Avrupa’daki iki ülkenin dışişleri bakanlığının ve Kafkasya’da bulunan bir parlamentonun bilgisayarlarını hedef aldı.
ESET’in yaptığı yeni araştırmada ComRAT’ın son versiyonunun 2020 başında hala aktif olarak kullanıldığı belirlendi. ESET, Turla’nın ComRAT’a komut göndermek ve kontrol etmek için Gmail’in kullanıcı arayüzünün yanında eski bir HTTP iletişim kanalını kullandığını açıkladı.
Kasım 2019’da derlendiği belirlenen ComRAT’ın yeni versiyonu, Turla operatörleri tarafından diğer e-posta sağlayıcılarından gönderilen şifreli komutları içeren posta eklerini indirmek için Gmail’e bağlanıyor.
Turla’nın özel saldırı aracı ComRAT’ın yeni versiyonunun detayları
ComRAT’ın yeni versiyonu önceki ComRAT sürümlerine kıyasla oldukça karmaşık yeni bir kod yapısına sahip durumda. ESET, son versiyonun eski HTTP C&C protokolüne sahip olduğunu ve Turla’nın başka bir kötü amaçlı yazılımıyla bazı ağ altyapılarını paylaştığını açıkladı.
ComRAT V4 olarak isimlendirilen son versiyon sayesinde çalınan bilgiler, Turla’nın diğer araçlarıyla güvenliği ihlal edilmiş sistemlerine ulaştırıldı. Güvenliği ihlal edilmiş başka bir cihaza gönderilen bilgilerin dışarı aktarılması için ise 4shared ve OneDrive gibi bulut hizmetleri kullanıldığı belirlendi.
ESET, Turla’nın yazılım araçlarını geliştirmek ve güvenlik yazılımlarından kaçınmak için önemli bir çalışma yürüttüğünü de açıkladı. ESET’e göre Turla yazılım örneklerinin algılanıp algılanmadığını anlamak için güvenlikle ilgili dosyalarını düzenli olarak genişletiyor.
ComRAT, güvenlik yazılımlarını atlatmak için özel olarak tasarlandı
ESET’te görevli olan kötü amaçlı yazılım araştırmacısı Matthieu Faou, ComRAT’ın son versiyonunun Turla’nın gelişim düzeyini ve girmeyi başardıkları bilgisayarda uzun süre kalmayı düşündüklerini gösterdiğini söyledi.
Faou, ComRAT’ın son versiyonunun Gmail’in web sürümünün kullanıcı arayüzünü kullanması nedeniyle güvenlik yazılımlarının kontrollerinden kaçabildiğini söyledi. Faou, saldırıya uğrayan bilgisayarlarda yaptıkları inceleme sonucunda ComRAT’ın Turla tarafından kullanıldığını belirlediklerini söyledi.
ComRAT’ın son versiyonunun ESET tarafından belirlenmesinin yanında bu ayın başında Kaspersky de bir Turla yazılımı tespit etti. Kaspersky’den yapılan açıklamada COMpfun ismi verilen aracın Avrupa’daki diplomatik kurumlara yönelik saldırılarda kullanıldığı açıklandı.