Popüler şifreli mesajlaşma ve gizlilik uygulamalarının sahte sürümleri vahşi doğada dolaşıyor. Whatsapp, Telegram, Signal ve PsiphonVPN'in sahte versiyonlarının, Lübnan hükümeti için çalıştığı iddia edilen bilgisayar korsanları tarafından oluşturulduğuna inanılıyor. Kötü niyetli uygulamalar kullanıcıları mesajlarının şifrelendiğine inanmaya kandırır. Ancak, gerçekte, Lübnanlı bilgisayar korsanları, kullanıcının yazışmalarını gözetlemek için kasıtlı olarak yaratılmış arka kapılar ve kötü amaçlı yazılımlardan yararlanıyor.


Mobil güvenlik şirketi Lookout ve Electronic Frontier Foundation tarafından yayınlanan bir rapora göre, bilgisayar korsanları Lübnan'ın merkezi istihbarat teşkilatıyla bağlantılı. Rapor, 20 ülkedeki kurbanların popüler güvenlik uygulamalarının sahte sürümlerini indirdiğini gösteriyor.

Tehlikeli Truva Atları

Kötü amaçlı uygulamalar, meşru muadilleriyle neredeyse aynı görünecek şekilde yapılabilir. Bu, kullanıcılara, cihazlarında istenmeyen bir şey olduğunu bilmenin gerçek bir yolunu vermez. Bu vesileyle, kurbanlar gayri resmi uygulamaları resmi olmayan çevrimiçi uygulama mağazalarından indirdiler. Yüklendikten sonra, güvenli bir şekilde şifrelenmiş mesajlar sağlamak yerine (Open Whisper’in Sinyal protokolüyle korunur) - uygulama bir Truva atı gibi davranır.

Truva atları, bilgisayar korsanlarının bir cihazın özelliklerini kontrol etmesini sağlayan son derece güçlü bir kötü amaçlı yazılım türüdür. Buna yazışmaların ve SMS mesajlarının okunması, e-postalara erişilmesi, mikrofonun ve fotoğraf makinesinin açılması, kişilerin aranması, GPS'in açılması ve saldırıya uğramış cihazda bulunan fotoğraflara ve diğer verilere erişilmesi dahildir.

Lübnan Bağlantısı

Lookout tarafından yayınlanan rapora çağrı yapılır "Dark Caracal: Küresel Ölçekte Siber Casusluk". Lookout'taki siber güvenlik araştırmacılarına göre, bir devlet aktörünün katılımına işaret eden kanıtları ortaya çıkardılar. Lookout'a göre, bu bağlantı Beyrut'taki Lübnan Genel Güvenlik Genel Müdürlüğü (GDGS) genel merkezinde test cihazlarının keşfi nedeniyle kuruldu:

“Kampanyayı test etmek ve işletmek için kullanılan araçlar, Lübnan istihbarat teşkilatlarından biri olan Lübnan Genel Güvenlik Genel Müdürlüğü'ne (GDGS) ait bir binaya kadar izlendi. Mevcut kanıtlara dayanarak, GDGS'nin Dark Caracal'ın arkasındaki aktörlerle ilişkili veya doğrudan desteklenmesi muhtemeldir. ”

Yayınlanan belgeler, devlet destekli bilgisayar korsanlarının “askeri personel, işletmeler, tıp uzmanları, aktivistler, gazeteciler, avukatlar ve eğitim kurumları” da dahil olmak üzere mağdurlardan hem kişisel olarak tanımlanabilir verileri hem de fikri mülkiyeti çaldığını ortaya koymaktadır.

Operasyon Yönetimi

EFF'ye göre, Dark Caracal, Operasyon Manul adı verilen daha önce ortaya çıkarılan bir hack kampanyasıyla ilgili olabilir. Bu kampanya geçen yıl keşfedildi ve Başkan Nursultan Nazarbayev’in rejiminin eylemlerini eleştiren avukatları, gazetecileri, aktivistleri ve Kazakistanlı muhalifleri hedef aldığı tespit edildi..

Bununla birlikte, Manul Operasyonundan (PDF) farklı olarak, Dark Caracal, küresel hedefleri hedefleyen uluslararası bir hackleme çabasına dönüşüyor gibi görünüyor. Lookout'ta Güvenlik İstihbarat Başkan Yardımcısı Mike Murray şunları söyledi:

“Dark Caracal, geleneksel APT aktörlerinin mobilleri birincil hedef platform olarak kullanmaya doğru gittikleri geçen yıl yükselişte gördüğümüz bir trendin parçası..

“Dark Caracal tarafından kullanıldığı gibi tespit ettiğimiz Android tehdidi, herkese açık olarak konuştuğumuz ilk küresel olarak aktif mobil APT'lerden biri.”

Aslında, Lookout’un raporuna göre, Dark Caracal 2012 yılından bu yana aktiftir. Bu, Lübnan sponsorlu bilgisayar korsanlarının bir süredir deneyim ve uzmanlık içinde büyüdüğü anlamına gelir. Rapor ayrıca, Dark Caracal'ın hala oldukça aktif olduğunu ve yakın zamanda istifa edemeyeceğini açıkça ortaya koyuyor.

Bu nedenle, bu saldırı olayı, emrinde küresel siber savaş yeteneklerine sahip olan yalnızca ABD, İngiltere, Rusya ve Çin gibi büyük devlet aktörleri olmadığını hatırlatıyor..

Saldırı Vektörü

Lookout'ta araştırmacılar tarafından yapılan çalışmalar, mağdurların başlangıçta sosyal mühendislik ve kimlik avı saldırıları ile hedeflendiğini ortaya koyuyor. Başarılı mızrak kimlik avı, Pallas adında bir kötü amaçlı yazılım yükü ve daha önce görülmemiş bir FinFisher değişikliği sağlamak için kullanılır. Dark Caracal’ın kimlik avı altyapısı, Facebook ve Twitter gibi popüler web siteleri için sahte portallar içeriyor.

Kimlik avı teknikleri, mağdurları popüler güvenlik ve gizlilik uygulamalarının virüslü sürümlerinin cihazlarına yayıldığı bir “sulama deliği” sunucusuna yönlendirmek için kullanılır. Sahte Facebook profillerinin, Whatsapp ve diğer habercilerin virüslü sürümlerine kötü niyetli bağlantıların yayılmasına yardımcı olduğu da keşfedildi.

Pallas içeren trojanlaştırılmış uygulama ile enfekte olduktan sonra, bilgisayar korsanları bir Komuta ve Kontrolden (C&C) sunucusu. Araştırmacılar tarafından ortaya çıkarılan virüslü uygulamalar arasında PsiphonVPN'in sahte bir sürümü ve Orbot: TOR proxy'sinin virüslü bir sürümü vardı.

Araştırmacılar ayrıca Pallas'ın “Adobe Flash Player ve Android için Google Play Push olduğunu iddia eden çeşitli uygulamalarda gizlendiğini” buldular..

Sofistike Olmayan ama Etkili

Günün sonunda, Dark Caracal tarafından kullanılan teknikler oldukça yaygındır ve özellikle sofistike olarak kabul edilemez. Buna rağmen, bu hackleme kampanyası 2018'de siber savaşın hem son derece üretken hem de küresel bir tehdit olacağına dair kesin bir hatırlatma görevi görüyor. Bu tür bir hacklemeyi gerçekleştiren araçlar, bir devlet aktöründen diğerine çapraz tozlaştı ve bilgisayar korsanlarına verdiği korkutucu yetenekler, iki faktörlü kimlik doğrulamanın bile kullanıcıları karşı koruyamayacağı ciddi bir nüfuzla sonuçlanıyor.

Her zaman olduğu gibi, mesajları açarken çok dikkatli olmanızı öneririz. Sosyal olarak tasarlanmış kimlik avı sizi cezbetmek için tasarlanmıştır - bir bağlantıyı tıklamadan önce iki kez düşünün. Buna ek olarak, bir uygulamaya ihtiyacınız varsa, her zaman resmi bir uygulama mağazasına gittiğinizden emin olun çünkü bu, virüslü bir uygulama ile bitirme şansınızı büyük ölçüde azaltacaktır. Son olarak, Sanal Özel Ağ (VPN) kullanıcılarına VPN yazılımlarını nereden aldıkları konusunda son derece dikkatli olmaları hatırlatılır ve her zaman yasal bir kaynaktan alınmasını sağlar.

Görüşler yazarın kendi.

Başlık resim kredisi: Ink Drop / Shutterstock.com

Fotoğraf: anastasiaromb / Shutterstock.com, wk1003mike / Shutterstock.com, smolaw / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me