MuddyWater tehlikesi başladı!

Ortadoğu kaynaklı siber casusluk grubu MuddyWater tarafından kullanılan siber silahlarda, suçun Çinli, Rus, Türk ve Suudi Arap tehdit gruplarına atılması için çeşitli sahte ipuçları olduğu tespit edildi. Güvenlik araştırmacıları ve yetkililerinin kafalarını karıştırma amacı taşıyan bu sahte ipuçları, Kaspersky Lab'ın yaptığı derinlemesine analizle ortaya çıktı.

MuddyWater tehlikesi başladı!

Gelişmiş bir tehdit grubu olan MuddyWater, yüzünü ilk olarak 2017'de göstermişti. Kaspersky Lab, Ekim 2018'de MuddyWater tarafından düzenlenen geniş çaplı bir operasyonu raporlamıştı.

Yapılan saldırıda Suudi Arabistan, Irak, Ürdün, Lübnan ve Türkiye'deki devlet kurumları ve telekomünikasyon kuruluşlarının yanı sıra Azerbaycan, Afganistan ve Pakistan gibi ülkelerdeki çeşitli yerler de hedef alınmıştı.

Bu saldırı üzerinde yapılan araştırmada tehdit grubunun kullandığı kötü amaçlı araçlar ve altyapılar tespit edildi. Bu araçlar incelendiğinde, MuddyWater'ın güvenlik sektörünü ve araştırmacıları nasıl kandırmaya çalıştığı fakat bir dizi operasyonel hata nedeniyle bu yaklaşımında başarısız olduğu görüldü.

MuddyWater'ın zararlı yazılımını yükleyen kurbanların başına neler geldiğini açıklayan ilk raporda Kaspersky Lab araştırmacıları, saldırganların kullandığı kandırma yöntemlerini özetledi. Bunlar arasında zararlı yazılım kodlarında Çince ve Rusça kelime gruplarına yer vermek, dosyaya "Turk" adını vermek ve Suudi Arabistan kaynaklı siber suçlu grubu RXR'yi taklit etmeye çalışmak yer alıyor.

Saldırganların hedeflerine ulaşmak için yeterli donanıma da sahip olduğu görüldü.

Belirlenen zararlı araçların çoğunun Python ve PowerShell tabanlı basit ve tek kullanımlık araçlar olduğu ve genel olarak grubun kendisi tarafından geliştirildiği keşfedildi. Böylece saldırganlar araçları kurbana göre uyarlayabiliyor ve özelleştirebiliyorlardı.