Yeni Linux Zararlı Yazılımı Kullanılan Siber Casusluk Kampanyası

ESET, Çin’in Gelsemium grubuna bağlı Linux zararlı yazılımını ortaya çıkardı, WolfsBane ve FireWood arka kapıları, siber casusluk için hassas verileri hedef alıyor.

ESET siber güvenlik araştırmacıları, Linux sistemleri için tasarlanmış yeni bir tür zararlı yazılım keşfetti. Bu zararlı yazılıma “WolfsBane” adı verildi ve araştırmacılar, bu yazılımın Gelsemium adlı Çinli bir hacker grubu ile bağlantılı olduğuna inanıyor.

Bu grup, sofistike saldırılarıyla tanınan ve 2014’ten beri aktif olan bir grup olup, öncelikli olarak Windows sistemlerini hedef alıyor. ESET’e göre, bu yeni kötü amaçlı yazılım, Gelsemium’un Linux ile ilişkilendirildiği ilk zamanı işaret ediyor. Linux, hackerlar tarafından giderek daha fazla hedef alınan bir platform.

ESET, WolfsBane arka kapısının, Gelsemium’un sistemlere izinsiz erişim sağlamak için kullandığı daha önceki bir kötü amaçlı yazılım olan Gelsevirine’ye benzer olduğunu rapor ediyor.

Her iki araç da, hacker kontrollü sunucularla iletişim kurma, komutları çalıştırma ve enfekte olmuş sistemlerde varlıklarını gizleme gibi anahtar özelliklere sahip.

WolfsBane, tespit edilmekten kaçınmak için özel bir kütüphane ve şifreleme yöntemleri kullanır, bu da hackerların kurbanın sistemini izlemesini ve belirli bir süre boyunca fark edilmeden hassas bilgileri çalmasını sağlar, diyor ESET.

WolfsBane ile birlikte, araştırmacılar “FireWood” adında başka bir arka kapı buldular, bu da Gelsemium ile bağlantılı olabilir, ancak bu bağlantı daha az kesin.

FireWood, grubun geçmişteki siber saldırılarında kullanılan zararlı yazılımlarla, yapısı ve şifreleme yöntemleri bakımından benzerlikler taşır. Ancak, farklı hacker grupları arasında ortak araçların olabileceği potansiyeli nedeniyle, Gelsemium ile bağlantı doğrulanmamıştır, diyor ESET.

ESET, bu kötü amaçlı yazılım araçlarının siber casusluk amacıyla tasarlandığını ve saldırganların sistem verilerini, kimlik bilgilerini ve dosyaları çalmasına izin verdiğini açıklıyor.

Windows sistemlerindeki artan güvenlik önlemleri, örneğin uç nokta tespit araçları ve Microsoft’un e-posta güvenliği değişikliklerinin ardından hacker’lar yeni saldırı vektörleri arıyorlar. Bu durum Linux kötü amaçlı yazılıma doğru bir kaymaya neden oluyor. ESET, birçok internete açık sistemin Linux üzerinde çalıştığını ve bu durumun onları siber suçlular için cazip bir hedef haline getirdiğini belirtiyor.

Yazılım virüsü, güvenlik uzmanlarının şüpheli dosyaları analiz etmek için kullandığı VirusTotal’a yüklenen arşivlerde bulundu ve görünüşe göre Tayvan, Filipinler ve Singapur’daki sunucularda kullanılmış. Soruşturma, hackerların bu sunuculara web uygulamalarındaki açıklıklar üzerinden erişim sağlamış olabileceğini öne sürüyor.

ESET araştırmacıları, yazılım virüsünü analiz etmeye devam ederken, saldırganların, uzun süreli erişim sağlamak için gelişmiş teknikler kullandıklarını ve bu durumun onları algılamayı ve kaldırmayı zorlaştırdığını doğruladılar.

WolfsBane ve FireWood’un keşfi, Linux hedefli siber saldırıların artan tehdidini vurgulayarak, tüm platformlarda daha güçlü güvenlik önlemlerinin gerekliliğini altını çiziyor.