Rusya bağlantılı hackerlardan Ukraynalılara siber saldırı: “Darksword” alarmı

Google araştırmacıları ile siber güvenlik şirketleri iVerify ve Lookout, Ukrayna’daki iPhone kullanıcılarını hedef alan yeni bir siber saldırı kampanyasını ortaya çıkardı. Araştırmacılar, UNC6353 olarak tanımlanan ve Kremlin rejimi ile bağlantılı olduğu değerlendirilen hacker grubunun, “Darksword” adlı yeni bir casus yazılım kullandığını açıkladı.

TechCrunch’ın aktardığına göre Darksword, özellikle Ukraynalı kullanıcıları hedef alacak şekilde geliştirildi. Yazılımın; şifreler, fotoğraflar, WhatsApp ve Telegram mesajları ile tarayıcı geçmişi gibi kişisel verileri ele geçirmek amacıyla tasarlandığı belirtildi.

Uzmanlara göre bu saldırı yöntemi, klasik sürekli izleme tekniklerinden farklı olarak çalışıyor. Darksword, hedef cihazlara sızdıktan sonra kısa süre içinde veri toplayarak sistemden iz bırakmadan ayrılıyor. Tüm sürecin, ele geçirilmek istenen veri miktarına bağlı olarak yalnızca birkaç dakika sürdüğü ifade ediliyor.

Araştırmada, yazılımın ayrıca popüler kripto para cüzdanlarından varlık çalabilecek şekilde tasarlandığına dikkat çekildi. Ancak şu ana kadar hacker grubunun kripto para hırsızlığı gerçekleştirdiğine dair somut bir kanıt bulunmadığı vurgulandı.

İLK VAKA DEĞİL

Öte yandan mart ayı başında Google ve iVerify, “Coruna” adlı başka bir iPhone hackleme aracını da kamuoyuna duyurmuştu. İlk olarak Amerika Birleşik Devletleri (ABD) hükûmeti adına kullanıldığı belirtilen bu aracın, daha sonra Rus istihbarat unsurları tarafından Ukraynalılara karşı ve Çinli siber suçlular tarafından kripto para hırsızlığı girişimlerinde kullanıldığı ifade edilmişti. Apple’ın söz konusu güvenlik açığını daha sonra kapattığı bildirildi.

UZMANLARDAN UYARI

Uzmanlar, Darksword’ün modüler yapısına dikkat çekerek yazılıma yeni özelliklerin kolayca eklenebildiğini ve bunun profesyonel bir geliştirme sürecine işaret ettiğini belirtiyor. Araştırmacılar ayrıca, Coruna aracını Kremlin rejimiyle bağlantılı gruplara satan kişilerin, Darksword’ü de aynı çevrelere sağlamış olabileceğini değerlendiriyor.

Yeni yazılımın, aynı hacker grubu tarafından yalnızca Ukrayna’daki kullanıcıları ve belirli Ukrayna merkezli internet sitelerini hedef alması ise operasyonun dar ve stratejik bir odakla yürütüldüğünü ortaya koyuyor.