Ekim 2014’te Kaspersky Lab araştırmacıları, karmaşıklığıyla diğerlerinden ayrılan ve daha önce görülmemiş olan bir zararlı yazılım örneğiyle karşılaştı. Ardından yapılan analizler bu örneğin büyük ve sofistike bir siber casusluk kampanyasının sadece küçük bir parçası olduğunu gösterdi. Hedeflenen sektörler listesinde resmi kurumlar, finans, kimya, uydu, medya, eğitim kurumları, sağlık, gıda endüstrisi gibi sektörler var.
Blue Termite operatörleri kurbanlarına virüs bulaştırmak için farklı tekniklerden faydalanıyor. Temmuz 2015’ten önce genellikle, kurbanın ilgisini çekmesi muhtemel olan bir e-posta içeriğine eklenen zararlı yazılımı göndermek anlamına gelen kimlik avcılığı e-postalarını kullanıyorlardı. Ancak Temmuz ayında operatörler taktiklerini değiştirdi ve zararlı yazılımı açıklardan yararlanma amaçlı sıfır gün Flash kodu yaymaya başladı. Saldırganlar birçok Japon web sitesini hedef aldı. Bu sitelerin ziyaretçileri bir açıklardan yararlanma amaçlı kodu otomatik olarak indirdiklerinde web sitesine giriyor ve virüs bulaştırıyorlardı. Bu, zararlı indirme tekniği olarak biliniyor.
Sıfır gün açıklardan yararlanma amaçlı kodlarının uygulanması, Temmuz ayının ortalarında Kaspersky Lab algılama sistemleri tarafından kaydedilen bulaşma hızında büyük bir artışa neden oldu.
Ayrıca kurbanların profilinin çıkarılmasına yönelik denemeler de vardı. İhlal edilen web sitelerinden biri Japonya hükümetinin önemli üyelerinden birine aitti ve diğeri ise ziyaretçileri, özel bir Japon kurumuna ait olan hariç tüm IP’lerden filtreleyen zararlı bir komut dosyası içeriyordu. Diğer bir ifadeyle sadece seçilen kullanıcılar zararlı yükü alıyordu.
Başarılı bir bulaştırmanın ardından hedeflenen makineye sofistike bir arka kapı gönderiliyor. Arka kapı parolalar çalma, ek yükler indirme ve yürütme, dosyaları geri getirme gibi becerilere sahip. Blue Termite aktörü tarafından kullanılan zararlı yazılım hakkındaki en ilginç şeylerden biri de her kurbana, sadece Blue Termite tarafından hedeflenen belirli bir bilgisayar üzerinde çalıştırılabilecek şekilde yapılmış benzersiz bir zararlı yazılım gönderilmesi. Kaspersky Lab araştırmacılarına göre bu, güvenlik araştırmacılarının zararlı yazılımı analiz etmesini ve algılamasını zorlaştırmak için yapıldı.
Bu saldırının ardında kim olduğu sorusu halen cevapsız. Genel olarak, söz konusu olan sofistike bir siber saldırı olduğunda adlandırma son derece zor bir iştir. Ancak Kaspersky Lab araştırmacıları bazı dil izleri bulmayı başardı. Özellikle, Komuta ve Kontrol sunucusunun grafik kullanıcı arabiriminin yanı sıra Blue Termite’de kullanılan zararlı yazılıma ilişkin bazı teknik belgeler Çince’ydi. Bu, operasyonun ardındaki aktörlerin bu dili konuşuyor olduğu anlamına geliyor olabilir.
Kaspersky Lab araştırmacıları bunun Japonya kurumlarını hedefleyen bir siber casusluk kampanyası olduğunu doğrulamak için yeteri kadar bilgi edindiğinde şirketin temsilcileri, yerel emniyet güçlerini bu bulgular hakkında bilgilendirdi. Kaspersky Lab’ın araştırması devam etmekte.
Siz yazıyorsunuz, hacker kaydediyor
