ESET Araştırması: Lunar Araç Seti ve Turla Siber Casusluk Grubu

ESET, Lunar araç setinin en az 2020’den beri kullanıldığına inanıyor. Siber casusluk grubu Turla’ya atfedilen bu tehlikeler, geçmiş faaliyetlerle benzerlikler göstermektedir. Taktikler, teknikler ve prosedürler incelendiğinde, bu kampanyanın kötü şöhretli Rusya’ya bağlı bir grup tarafından yürütüldüğü düşünülmektedir.

Araştırma Bulguları

• LunarWeb ve LunarMail: ESET araştırmacıları, LunarWeb ve LunarMail adı verilen arka kapıları keşfetmiştir. Bu araçlar, farklı iletişim yöntemleri kullanarak diplomatik misyonlarda konuşlandırılmış ve gelişmiş steganografi teknikleriyle gizlenmiştir.
• Tehlike Analizi: Kurtarılan kurulum ve saldırgan etkinliği incelendiğinde, spearphishing ve ağ izleme yazılımı Zabbix’in kötüye kullanılmasıyla gerçekleşen tehlikeler tespit edilmiştir. Saldırganlar, ağ erişimine sahip olup yanal hareket için çalıntı kimlik bilgilerini kullanmıştır.

ESET araştırmacısı Filip Jurčacko, ele geçirilen sunucuların dikkatli bir şekilde kurulduğunu ve arka kapıların farklı kodlama stilleriyle oluşturulduğunu belirtmiştir. Bu durum, araçların geliştirilmesinde birden fazla kişinin yer aldığını göstermektedir.

Snake olarak da bilinen Turla grubu en az 2004 yılından beri faaliyet göstermektedir. Avrupa, Orta Asya ve Orta Doğu’daki hükümetler ve diplomatik kuruluşları hedefleyen grup, Rus FSB’siyle ilişkilendirilmektedir. Büyük kuruluşlara sızma konusunda uzmanlaşmış olan grup, geçmişte ABD Savunma Bakanlığı ve İsviçreli savunma şirketi RUAG gibi kuruluşlara saldırmıştır.