Microsoft, Rusya'dan faaliyet gösteren ve "Secret Blizzard" olarak bilinen devlet destekli hacker grubunun, Moskova'daki yabancı elçilikleri hedef aldığını duyurdu. Saldırganlar, İnternet Servis Sağlayıcıları (İSS) aracılığıyla gerçekleştirilen ve "ortadaki saldırgan" (adversary-in-the-middle - AitM) olarak adlandırılan yöntemlerle elçiliklere özel kötü amaçlı yazılım bulaştırıyor.
Geçtiğimiz yıldan bu yana devam eden bu kampanya, Rus hükümetine çalışma zorunluluğu olan yerel İSS'leri kullanıyor. Tehdit grubu, İSS ağlarını kontrol ederek hedef alınan elçilik ile bağlandıkları uç noktalar arasına giriyor. Bu sayede, kullanıcıların güvendiği bilinen web siteleri gibi görünen zararlı sitelere yönlendirme yaparak saldırıyı gerçekleştiriyorlar.
Ana Hedef: ApolloShadow Zararlı Yazılımı
Microsoft'un Tehdit İstihbaratı ekibinden yapılan açıklamada, grubun Rusya içinde siber casusluk faaliyetleri yürüttüğüne dair daha önceki düşük güvenilirlikteki değerlendirmelerin aksine, ilk kez İSS seviyesinde bu tür bir yeteneğe sahip olduklarının doğrulandığı belirtildi. Bu durum, Rusya'daki yerel İSS veya telekomünikasyon hizmetlerini kullanan diplomatik personelin, Secret Blizzard'ın bu hizmetler içindeki AiTM konumunun yüksek hedefi haline geldiği anlamına geliyor.
Secret Blizzard, en aktif ve sofistike devlet destekli hacker gruplarından biri olarak biliniyor. 1996 yılından beri aktif olan grubun, Rus Federal Güvenlik Servisi'nin bir birimi olduğu değerlendiriliyor. Grup ayrıca Turla, Venomous Bear, Uroburos, Snake, Blue Python, Wraith, ATG26 ve Waterbug gibi farklı isimlerle de takip ediliyor.
Kampanyanın temel amacı, hedeflerin ApolloShadow adlı özel bir kötü amaçlı yazılımı yüklemesini sağlamak. ApolloShadow, daha sonra bir TLS kök sertifikası yükleyerek, grubun enfekte olmuş sistemdeki elçilikler tarafından ziyaret edilen güvenilir web sitelerinin kriptografik kimliğine bürünmesine olanak tanıyor.
Microsoft tarafından Şubat ayında gözlemlenen bir AitM saldırısı, kullanıcıları bir "captive portal" (esir portal) arkasına alarak başladı. Bu portallar, oteller ve havaalanları gibi yerlerde yeni bağlanan kullanıcıların kimliklerini doğrulamalarını, ödeme bilgilerini sağlamalarını veya hizmet şartlarını kabul etmelerini isteyerek internet erişimini yönetmek için yaygın olarak kullanılıyor.
Captive portalın ardından, sayfa bir cihazın internet erişimine sahip olup olmadığını belirleyen ve hxxp://www.msftconnecttest[.]com/redirect adresine bir HTTP GET isteği gönderen meşru bir hizmet olan Windows Test Bağlantı Durumu Göstergesi'ni (Windows Test Connectivity Status Indicator) başlatıyor. Bu site de tarayıcıyı msn[.]com'a yönlendiriyor. Dünkü yayında açıklandığı üzere, enfeksiyon zinciri şu şekilde işliyor:
ApolloShadow, kök sertifikayı yüklemek için yeterli sistem haklarına sahip olup olmadığını kontrol etmek üzere GetTokenInformationType API'sini çağırıyor. Eğer yeterli haklara sahip değilse, zararlı yazılım, hxxp://timestamp.digicert[.]com/registered adresinde bir sayfa taklidi yapan sofistike bir işlem kullanarak sisteme VBScript biçiminde ikinci aşama bir yük gönderiyor.
Çözümlendikten sonra ApolloShadow kendini yeniden başlatıyor ve kullanıcıya sistem erişimini yükseltmek için bir Kullanıcı Erişim Denetimi penceresi sunuyor.
Eğer ApolloShadow zaten yeterli sistem haklarına sahipse, zararlı yazılım ana bilgisayarın bağlandığı tüm ağları özel olarak yapılandırıyor. Bu değişiklikler arasında cihazın keşfedilebilir hale gelmesi ve dosya paylaşımını etkinleştirmek için güvenlik duvarı kurallarının gevşetilmesi yer alıyor. Doğrudan yanal hareket denemeleri görülmese de, bu değişikliklerin asıl amacının ağdaki yanal hareketin zorluğunu azaltmak olduğu tahmin ediliyor.
Microsoft, enfekte olmuş cihazların zararlı siteleri güvenilir olarak kabul etmesini sağlamanın, tehdit aktörünün istihbarat toplama amacıyla kalıcılığı sürdürmesine olanak tanıdığını belirtti. Şirket, Moskova'da faaliyet gösteren tüm müşterilere, özellikle hassas kuruluşlara, trafiği güvenilir bir İSS'ye bağlanan şifreli tüneller aracılığıyla yönlendirmelerini tavsiye ediyor.
