Hedefleri ikna ediyor
Hükümetlere ve devlet kurumlarına saldıran hackerlar, kötü amaçlı yazılımlara donatılmış bir Microsoft Office dosyasını hedefe göndererek işe koyuluyor. MS Office'in eski bir sürümüyle oluşturulmuş olan dosyalar hedef tarafından açıldığında kötü amaçlı yazılımların aktif hale gelebilmesi için hedefin, makrolara izin vermesi gerekiyor.
Muddy Water bu sorunu aşmak içinse sosyal mühendisliğe dayanan bir yöntem izliyor: Hedef dosyayı açınca ekranda ''Bu dosya Microsoft Word'ün eski bir sürümüyle oluşturuldu. Dosyayı görüntülemek için Düzenlemeyi Etkinleştir ve Belgenin İçeriğini Etkinleştir butonlarına tıklamanız gerekiyor.'' ifadesi yer alıyor. Böylece hedef söz konusu butonlara tıklayarak makrolara izin verirken kötü amaçlı yazılımları da harekete geçirmiş oluyor.
Kötü amaçlı yazılım harekete geçtikten sonra gömülü bir listeden rastgele bir URL seçerek kendi komut sunucusuyla bağlantı kurabiliyor. Daha sonra ise hedef bilgisayardaki güvenlik yazılımlarını denetleyip hedefe bir dizi komut dosyası yerleştiriyor. Ayrıca PowerShell ile bilgisayarda arka kapı yaratırken hackerlara dosyaları silme imkanı da sunuyor. Son olarak PowerShell kodu MS Office dosyaları açıldığında hedefin karşısına çıkan ''Korunan Görünüm'' ve ''Makro Uyarıları'' ifadelerini de devre dışı bırakıyor. Böylece hedef saldırıya uğradığının farkına bile varmıyor.
''Jeopolitik amaçlar için saldırıyorlar''
Bilişim teknolojileri sektörüyle ilgili haberler sunan IT Online'a göre saldırılar açık bir şekilde jeopolitik amaçlar için gerçekleştiriliyor. Kaspersky araştırmacıları ise saldırının arkasında kimin olduğunu öğrenemediklerini ancak Muddy Water'ın Avrupa ve ABD'ye yönelik saldırılarda da bulunduğunu belirtiyor. Saldırganlar kodlarda; Çince yazılar, Leo, PooPak, Vendetta ve Turk gibi ifadeleri kullanarak kimliklerini gizlemeye ve kafa karışıklığı yaratmaya çalışıyor.
Araştırmacılar Muddy Water'ın; hükümetleri, eğitim kurumlarını, telekomünikasyon şirketlerini, silahlı kuvvetleri ve yerel kolluk güçlerini hedef aldığını belirtiyor. Kaspersky'ın yayınladığı raporda da Türkiye'den; Kıyı Emniyeti Genel Müdürlüğü, Emniyet Genel Müdürlüğü, Dış İlişkiler Dairesi Başkanlığı ve İçişleri Bakanlığına saldırı girişiminde bulunulduğu görülüyor.
Bu haberi, mobil uygulamamızı kullanarak indirip,istediğiniz zaman (çevrim dışı bile) okuyabilirsiniz:
Bana çok korkutucu geliyor bunlar.