Microsoft, hukuk firmalarını ve bankaları hedef alan casus yazılımın arkasındaki Avusturyalı firmayı ortaya çıkardı.
Firmadaki güvenlik araştırmacıları, bir Avusturya firmasının en az üç ülkedeki bankalara, hukuk firmalarına ve stratejik danışmanlıklara yönelik bir dizi dijital müdahalenin arkasında olduğunu söyledi.
Microsoft Tehdit İstihbarat Merkezi (MSTIC) ve Microsoft Güvenlik Müdahale Merkezi’nin (MSRC) geçtiğimiz gün yayımladıkları raporda, DSIRF adlı özel sektör paravan tehdit aktörünün hukuk firmaları, bankaları ve strateji danışmanlığı firmalarına Subzero adlı casus yazılımla saldırı gerçekleştirdiği belirtildi.
AVUSTURYALI ŞİRKET SALDIRILARIN ARKASINDA
Microsoft araştırmacılarının yayımladıkları raporda, Viyana merkezli DSIRF veya DSR Decision Supporting Information Research Forensic GmbH adlı şirketin parola veya oturum açma kimlik bilgileri gibi gizli bilgilere erişmek için Windows ve Adobe 0-day’leri kullanan “Subzero” adlı casus yazılım geliştirdiği ifadesine yer verildi
Söz konusu yazılımla Avusturya, İngiltere ve Panama’daki bankalara, hukuk firmalarına ve stratejik danışmanlık firmalarına saldırdığına dair kanıtlar bulduklarını belirten araştırmacılar, KNOTWEED olarak bilinen DSIRF’in aslında bir “özel şirket paravan tehdit aktörü” olduğunu açıkladı.
Söz konusu yazılımla Avusturya, İngiltere ve Panama’daki bankalara, hukuk firmalarına ve stratejik danışmanlık firmalarına saldırdığına dair kanıtlar bulduklarını belirten araştırmacılar, KNOTWEED olarak bilinen DSIRF’in aslında bir “özel şirket paravan tehdit aktörü” olduğunu açıkladı.
“ÖZEL SEKTÖR PARAVAN TEHDİT AKTÖRÜ” NEDİR?
Microsoft’un özel sektör paravan tehdit aktörleri olarak adlandırdığı aktörler, genellikle devlet kurumları olan müşterilerine çeşitli hack hizmetleri sağlıyor.
Söz konusu aktörlerin hizmet olarak erişim ve kiralık bilgisayar korsanlığı hizmetleri sağladıkları bilinirken, müşterilerinin hedeflerinin bilgisayarlarına, telefonlarına, ağ altyapılarına ve diğer cihazlara erişim sağlamak için siber silahlar üretip sattıkları biliniyor.
Söz konusu siber saldırı hizmetlerini satın alan devlet kurumları veya diğer aktörler bu şekilde fiili operasyonlar yürütebiliyor. Şirketler tarafından kullanılan araçlar, taktikler ve prosedürler ise yalnızca saldırıların karmaşıklığı ve ölçeğine katkı sağlıyor.
Söz konusu aktörlerin hizmet olarak erişim ve kiralık bilgisayar korsanlığı hizmetleri sağladıkları bilinirken, müşterilerinin hedeflerinin bilgisayarlarına, telefonlarına, ağ altyapılarına ve diğer cihazlara erişim sağlamak için siber silahlar üretip sattıkları biliniyor.
Söz konusu siber saldırı hizmetlerini satın alan devlet kurumları veya diğer aktörler bu şekilde fiili operasyonlar yürütebiliyor. Şirketler tarafından kullanılan araçlar, taktikler ve prosedürler ise yalnızca saldırıların karmaşıklığı ve ölçeğine katkı sağlıyor.
KNOTWEED ASLINDA DSIRF
DSIRF, internet sitelerinde kendisini “teknoloji, perakende, enerji ve finans sektörlerindeki çok uluslu şirketlere” hizmet veren, “bilgi toplama ve analiz etmede son derece karmaşık tekniklere” sahip olan ve bireyler ve kuruluşlar hakkında derinlemesine fikir sağlamak adına sofistike “kırmızı ekip” hizmeti sağlayan bir şirket olarak tanıtıyor.
Şirketi KNOTWEED ile ilişkilendirmeye yarayan çeşitli kanıtlar bulduklarını belirten Microsoft araştırmacıları, Subzero tarafından kullanılan C2 altyapısının ve şirketin bir istismarı imzalamak için kullandığı kod imzalama sertifikasının ve DSIRF bağlantılı bir GitHub hesabının KNOTWEED’in gerçekleştirdiği operasyonlarda kullanıldığını ortaya koyuyor.
Yayımlanan raporda, KNOTWEED olarak bilinen DSIRF’in, Windows ve Adobe 0-day’lerini kullanarak hedeflerine saldırı gerçekleştirdiğine dair direkt kanıtlar olduğunu ve aynı zamanda Subzero adlı casus yazılımı hedef cihazlara konuşlandırdığı yer alıyor.
Şirketi KNOTWEED ile ilişkilendirmeye yarayan çeşitli kanıtlar bulduklarını belirten Microsoft araştırmacıları, Subzero tarafından kullanılan C2 altyapısının ve şirketin bir istismarı imzalamak için kullandığı kod imzalama sertifikasının ve DSIRF bağlantılı bir GitHub hesabının KNOTWEED’in gerçekleştirdiği operasyonlarda kullanıldığını ortaya koyuyor.
Yayımlanan raporda, KNOTWEED olarak bilinen DSIRF’in, Windows ve Adobe 0-day’lerini kullanarak hedeflerine saldırı gerçekleştirdiğine dair direkt kanıtlar olduğunu ve aynı zamanda Subzero adlı casus yazılımı hedef cihazlara konuşlandırdığı yer alıyor.
DSIRF SUBZERO’YU GELİŞTİRDİĞİNİ KABUL ETTİ
Microsoft, en az üç ülkede kendi müşterilerinin bilgisayar sistemlerinde casus yazılımın tespit edildiğini açıklarken Avusturyalı şirketten açıklama geldi.
Casus yazılım Subzero’yu geliştirdiğini kabul eden şirket, söz konusu casus yazılımın resmî olarak yalnızca Avrupa Birliği ülkelerinde kullanıldığını ve üçüncü taraflara satılmadığını söyledi.
Avusturyalı şirketin yaptığı açıklamada, “Subzero, DSIRF GmbH Austria’nın Avrupa Birliği ülkelerinde resmî kullanım için özel olarak geliştirilmiş bir yazılımdır. SubZero, ticari kullanım için teklif edilmez, satılmaz veya kullanıma sunulmaz.” ifadeleri yer aldı.
Ayrıca şirket, “Subzero yazılımının kötüye kullanıldığı izlenimini reddeder.” açıklamasını yaptı.
Bunun yanı sıra şirket, hâlihazırda hangi Avrupa Birliği ülkelerinde Subzero yazılımının kullanıldığına yönelik soruları yanıtsız bıraktı.
DSIRF, Microsoft tarafından gündeme getirilen sorunları araştırmak için bağımsız bir uzman görevlendirdiklerini ve “sorunla ilgili işbirliği” için ABD teknoloji devine ulaştıklarını söyledi.
Avusturya İçişleri Bakanlığının yaptığı açıklamadaysa Microsoft’un iddialarının araştırılacağı belirtildi.
Casus yazılım Subzero’yu geliştirdiğini kabul eden şirket, söz konusu casus yazılımın resmî olarak yalnızca Avrupa Birliği ülkelerinde kullanıldığını ve üçüncü taraflara satılmadığını söyledi.
Avusturyalı şirketin yaptığı açıklamada, “Subzero, DSIRF GmbH Austria’nın Avrupa Birliği ülkelerinde resmî kullanım için özel olarak geliştirilmiş bir yazılımdır. SubZero, ticari kullanım için teklif edilmez, satılmaz veya kullanıma sunulmaz.” ifadeleri yer aldı.
Ayrıca şirket, “Subzero yazılımının kötüye kullanıldığı izlenimini reddeder.” açıklamasını yaptı.
Bunun yanı sıra şirket, hâlihazırda hangi Avrupa Birliği ülkelerinde Subzero yazılımının kullanıldığına yönelik soruları yanıtsız bıraktı.
DSIRF, Microsoft tarafından gündeme getirilen sorunları araştırmak için bağımsız bir uzman görevlendirdiklerini ve “sorunla ilgili işbirliği” için ABD teknoloji devine ulaştıklarını söyledi.
Avusturya İçişleri Bakanlığının yaptığı açıklamadaysa Microsoft’un iddialarının araştırılacağı belirtildi.
DSIRF’E REFERANS OLMAYI KABUL ETMEDİLER
Alman haber sitesi Netzpolitik tarafından geçen yıl yayımlanan Avusturyalı şirketin bir sunumun bir kopyasına göre, DSIRF, Subzero’yu bir hedefin bilgisayarının tam kontrolünü ele geçirebilen, şifreleri çalabilen ve yerini ortaya çıkarabilen “yeni nesil bir siber savaş” aracı olarak tanıtmıştı.
Söz konusu sunumda DSIRF, referans olarak birkaç ticari müşterisini listelemişti. Bu sunumda adı geçen şirketlerden ikisi, SIGNA Retail ve Dentons, casus yazılımı kullanmadıklarını ve şirket için referans olmayı kabul etmediklerini söyledi.
Söz konusu sunumda DSIRF, referans olarak birkaç ticari müşterisini listelemişti. Bu sunumda adı geçen şirketlerden ikisi, SIGNA Retail ve Dentons, casus yazılımı kullanmadıklarını ve şirket için referans olmayı kabul etmediklerini söyledi.
