Amerikan siber güvenlik firması Symantec bugün itibariyle yapmış olduğu uyarıda ulusal çapta hacker şebekesinin birkaç Amerikan ve Avrupa Enerji firmasının sistemlerini girmeyi başardıklarını ve bugün itibariyle istedikleri an kritik alt yapıyı sabote edebilecek riskte bir pozisyona sahip olduklarını bildirdi.
Bu saldırıların arkasındaki grup, siber güvenlik topluluğuna düşmanlığıyla bilinen daha önce Dragonfly adı altında faaliyet göstermekle birlikte aynı zamanda Energetic Bear, Crouching Yeti ve Iron Liberty adlarıyla da tanınan bir hacker grubu.
Dragonfly 2010 yılından beri aktif bir grup fakat, 2014 yılında Symantec grubun o zamana kadarki faaliyetleriyle ilgili rapor yayınlayınca, ortadan kaybolmuştu.
Dragonfly taktiklerini yenileyerek zararlı yazılım cephanesini revize etti
Grubun faaliyeti ile ilgili olarak bugün yayınlanan yeni rapora göre Dragonfly faaliyetlerini durdurmak şöyle kalsın, bilakis operasyon modunu bütünüyle modernize etmek için çalışmalar yapmış.
Symantec araştırmacıları geçmişte edinilen verilere bakılarak grubun 2015 yılı Aralık ayına kadar giden yeni saldırı tekniklerini ortaya çıkarmayı başardıklarını belirtiyorlar.
Hacker grubu tipik olarak yazılan zararlı yazılımları terk ederek, PowerShell, PsExec ve Bitsadmin gibi bir çok Windows istasyonunda bulunan işletim sistemi yönetim araçlarını kullanmaya dayalı yeni ‘araziden geçinme’ yöntemini benimsemiş.
Grup aynı zamanda klasik zararlı yazılım kullanımına geçiş yaparak, GitHub’da bulunan ve bir çeşit kimlik bilgisi çalma araç seti olan, açık kaynak kodlu ‘Phisery’ adlı yazılımı piyasaya sürmüş.
Hackerlar ikinci aşamaya geçiyor
Uzmanlar aynı zamanda hedef değişimine yönelik bir gözlemde de bulunuyorlar. 2014 yılına kadar tespit edilen ilk saldırılarında enerji tesislerinin nasıl çalıştığını anlamaya odaklanırlarken, son zamanlarda yapılan saldırılar ise operasyonel sistemlere erişim sağlamaya dönük. Öyle ki grup şimdi istediği zaman bu sistemleri sabote edebilecek ya da kontrol sağlayabilecek konumda.
Çok sayıda saldırının tespit edildiği Dragonfly 2.0 adı altında izi sürülen son saldırı, ilkine oranla çok daha aktif özellikte.
Symantec’e göre Dragonfly 2.0 saldırıları Amerika, İsveç ve Türkiye’de uygulanmış. Symantec’in raporunda “Amerika ve Türkiye’ de grubun önceki saldırılarında hedef alınan ülkeler arasında yer alıyorlardı fakat Türkiye’deki kurumlara yönelik saldırılar en son düzenlenen kampanya sırasında ciddi şekilde artmış gibi görünüyor” şeklinde bir açıklama bulunuyor.
DHS ve FBI Temmuz ayında enerji sektöründeki firmaları saldırılarla ilgili olarak uyarıda bulunmuş. Bu saldırı esnasında Dragonfly bir çeşit Word açığını zekice kullanarak, Word şablon dosyalarında gizli olan sahte SMB istekleri üzerinden dahili ağlarda kayıtlı bulunan hesap bilgilerini çalmış.
