Hintli Hack-for-Hire Grubu 10 Yılı Aşkın Bir Süredir ABD, Çin ve Daha Fazlasını Hedef Aldı
Hintli bir kiralık hack grubu, on yıldan fazla bir süredir geniş kapsamlı bir casusluk, gözetleme ve yıkıcı operasyonun parçası olarak ABD, Çin, Myanmar, Pakistan, Kuveyt ve diğer ülkeleri hedef aldı.
SentinelOne'ın derinlemesine bir analizine göre Appin Software Security (diğer adıyla Appin Security Group), en az 2009'dan beri gizli bilgisayar korsanlığı operasyonları yürütürken, saldırgan güvenlik eğitim programları sunan bir eğitim girişimi olarak başladı.
Mayıs 2013'te ESET, Pakistan'ı bilgi çalan kötü amaçlı yazılımlarla hedef alan bir dizi siber saldırıyı açıkladı. Etkinlik, Hangover (diğer adıyla Patchwork veya Zinc Emerson) olarak izlenen bir kümeye atfedilirken, kanıtlar altyapının Appin'e ait olduğunu ve Appin tarafından kontrol edildiğini gösteriyor.
SentinelOne güvenliği Tom Hegel, geçen hafta yayınlanan kapsamlı bir analizde, "Grup, yüksek değerli bireylere, devlet kurumlarına ve belirli yasal anlaşmazlıklara karışan diğer işletmelere karşı bilgisayar korsanlığı operasyonları gerçekleştirdi" dedi.
"Appin'in bilgisayar korsanlığı operasyonları ve genel organizasyonu çoğu zaman gayri resmi, beceriksiz ve teknik olarak kaba görünüyor; Bununla birlikte, operasyonları müşterileri için son derece başarılı oldu ve dünya meselelerini önemli bir başarıyla etkiledi."
Bulgular, Reuters tarafından elde edilen ve Appin'i siyasi liderlere, uluslararası yöneticilere, spor figürlerine ve diğerlerine karşı endüstriyel ölçekte veri hırsızlığı saldırıları düzenlemekle suçlayan kamuya açık olmayan verilere dayanıyor. Buna karşılık şirket, kiralık hack işiyle olan bağlantısını reddetti.
Appin tarafından sunulan temel hizmetlerden biri, müşterilerinin kampanyaya özgü verileri ve durum güncellemelerini görüntülemek ve indirmek, güvenli bir şekilde iletişim kurmak ve açık kaynaklı araştırmadan sosyal mühendisliğe ve bir truva atı kampanyasına kadar çeşitli görev seçenekleri arasından seçim yapmak için oturum açmasına olanak tanıyan "MyCommando" (diğer adıyla GoldenEye veya Commando) adlı bir araçtı.
Çin ve Pakistan'ın hedef alınması, Hindistan kökenli bir paralı asker grubunun devlet destekli saldırılar düzenlemek için görevlendirildiğinin teyididir. Appin, 2013 yılında KitM olarak bilinen macOS casus yazılımının arkasında da tanımlandı.
Dahası, SentinelOne, Hindistan ve ABD'deki Sihlere ait e-posta hesaplarının oturum açma kimlik bilgilerini çalmak amacıyla yerel hedefleme örneklerini de tespit ettiğini söyledi.
"Grup, ilgisiz bir kampanyada alan hızı hızlandırıcısını da kullandı[.] Kötü amaçlı kimlik avı e-postalarında kullanılan kötü amaçlı yazılımları barındıran bir FTP sunucusu için com, bunlardan biri daha sonra ModifiedElephant APT tarafından hedef alınan Hintli bir bireyde kullanıldı" dedi. Patchwork'ün ModifiedElephant ile olan bağlantılarının daha önce Secureworks tarafından tanımlandığını belirtmekte fayda var.
Veri hırsızlığı, komuta ve kontrol (C2), kimlik avı ve sahte siteler kurmak için üçüncü taraf kaynaklı büyük bir altyapıdan yararlanmanın yanı sıra, gölgeli özel sektör saldırgan aktörünün (PSOA) Vervata, Vupen ve Core Security gibi özel satıcılar tarafından sağlanan casus yazılım ve istismar hizmetlerine güvendiği söyleniyor.
Dikkate değer bir başka taktikte, Appin'in harici yazılım geliştiricilerinden kötü amaçlı yazılım satın almak için Elance (şimdi Upwork olarak adlandırılıyor) olarak adlandırılan Kaliforniya merkezli bir serbest çalışma platformundan yararlandığı ve aynı zamanda şirket içi çalışanlarını özel bir bilgisayar korsanlığı araçları koleksiyonu geliştirmek için kullandığı tespit edildi.
Hegel, "Araştırma bulguları, grubun dikkate değer azminin ve çeşitli müşteriler adına başarılı bir şekilde saldırılar gerçekleştirme konusunda kanıtlanmış bir sicilin altını çiziyor" dedi.
Gelişme, İsrailli bir özel dedektif olan Aviram Azari'nin ABD'de Kasım 2014 ile Eylül 2019 arasında küresel bir kiralık hack planıyla bağlantılı olarak bilgisayar izinsiz girişi, elektronik dolandırıcılık ve ağırlaştırılmış kimlik hırsızlığı suçlamalarıyla federal hapishanede yaklaşık yedi yıl hapis cezasına çarptırılmasının ardından geldi. Azari, Eylül 2019'da tutuklandı.
Adalet Bakanlığı (DoJ) geçen hafta yaptığı açıklamada, "Azari bir İsrail istihbarat firmasının sahibi ve işletmecisiydi" dedi. "Müşteriler, istihbarat toplama çabaları olarak tanımlanan, ancak aslında özellikle belirli kurban gruplarını hedef alan bilgisayar korsanlığı kampanyaları olan 'Projeleri' yönetmesi için Azari'yi işe aldı."
Aviram ayrıca, müşterilerin hedef odaklı kimlik avı saldırıları yoluyla mahkeme savaşlarında avantaj elde etmelerine ve nihayetinde kurbanların hesaplarına erişmelerine ve bilgi çalmalarına yardımcı olmak için Hindistan'da BellTroX Infotech (diğer adıyla Amanda veya Dark Basin) adlı bir şirket olan paralı bilgisayar korsanlarını kullanmakla suçlanıyor.
BellTrox, Mayıs 2013'te Sumit Gupta tarafından kuruldu. Reuters, Haziran 2022'de Gupta'nın şirketi kurmadan önce Appin için çalıştığını açıkladı.
Benzer Haberler
Dört REvil Ransomware Üyesi Nadir Rus Siber Suç Mahkumiyetlerinde Mahkum Edildi
Yeni Qilin.B Ransomware Varyantı, Geliştirilmiş Şifreleme ve Kaçınma Taktikleriyle Ortaya Çıkıyor
Yeni Grandoreiro Bankacılık Kötü Amaçlı Yazılım Varyantları, Tespit Edilmekten Kaçınmak İçin Gelişmiş Taktiklerle Ortaya Çıkıyor
ABD, iki Sudanlı kardeşi 35.000 DDoS saldırısı için suçladı
Yeni Kötü Amaçlı Yazılım Kampanyası, DarkVision RAT Sunmak için PureCrypter Loader'ı Kullanıyor
FBI, Yaygın Kripto Piyasası Manipülasyonunu Ortaya Çıkarmak İçin Sahte Kripto Para Birimi Oluşturuyor
OpenAI, Siber Suç ve Dezenformasyon için Yapay Zekayı Kullanan 20 Küresel Kötü Amaçlı Kampanyayı Engelliyor
Oyuncular, sahte hile komut dosyası motorları aracılığıyla Lua tabanlı kötü amaçlı yazılımları indirmeleri için kandırıldı