Oilrig adıyla tanınan İranlı bir hacker grubu gerçekleştirdikleri saldırılara HTTPS üzerinden DNS (DoH) protokolünü dahil etmeyi başarabilen ilk grup oldu.
Antivirüs üreticisi Kaspersky’ın malware (kötü amaçlı yazılım) analisti Vincente Diaz geçen hafta bir web seminerinde konuşurken bu değişikliğin bu yıl mayıs ayında Oilrig adlı grubun bilgisayar korsanlığı sektörüne yeni bir araç eklediğinde gerçekleştiğini belirtti.
Diaz, Oilrig operatörlerinin hacklenmiş ağlara müdahalelerinin bir parçası olarak DNSExfiltrator adlı yeni bir yardımcı programı kullanmaya başladığını açıkladı.
DNSExfiltrator GitHub’da mevcut olan ve verileri yönlendirip standart olmayan protokollerde gizlenmelerini sağlayarak gizli iletişim kanalları oluşturan açık kaynaklı bir proje olarak biliniyor.
Adından da anlaşılacağı üzere bu araç klasik DNS taleplerini kullanarak iki nokta arasındaki veri aktarımları için kullanılabiliyor ancak uygulama daha yeni DoH protokolünü de kullanabilecek durumda.
Diaz APT34 olarak da bilinen Oilrig’in, verileri dahili ağlarda yan uygulamalar şeklinde taşımak ve daha sonra da bir dış noktaya aktarmak için DNSExfiltrator kullandığını söyledi.
Oilrig büyük olasılıkla çalıntı verileri taşırken faaliyetlerinin algılanmasını veya izlenmesini önlemek için DoH’yi bir özel sızma kanalı olarak kullanıyor.
Bunun nedeni olarak da DoH protokolünün şu anda iki ana sebepten dolayı ideal bir sızma kanalı olması gösteriliyor. Birincisi bu alanın şimdiye kadar bilinen hiçbir güvenlik ürününün izleyemediği yeni bir protokol olması. İkincisi ise DNS şifresiz metin olarak şifrelenirken, DoH kendiliğinden otomatik olarak şifreleniyor.
OILRIG’in DNS kullanarak dışarı bilgi aktarma konusunda yeteri kadar ünü var
Oilrig’in DoH’yi kullanan ilk APT’lerden (İleri Kalıcı Tehditler – hükümet destekli saldırı gruplarını tanımlamak için kullanılan bir terim) olması da şaşırtıcı değil.
Geçmişlerine bakıldığında grup, DNS tabanlı sızma tekniklerini sıkça kullanmış olarak biliniyor. Mayıs ayında açık kaynaklı DNSExfiltrator araç setini kullanmadan önce grup Talos, NSFOCUS ve Palo Alto Networks’ün raporlarına göre 2018’den beri DNSpionage adlı özel olarak oluşturulmuş bir uygulama kullanıyordu.
Mayıs ayında Kaspersky, Oilrig’in DoH üzerinden COVID-19 ile ilgili alanlar vasıtasıyla dışarıya veri aktardığını rapor etmişti.
Aynı ay Reuters bu olaydan bağımsız bir şekilde COVID-19 virüsü için bir tedavi üzerinde çalışmaya başladığını açıklayan ilaç devi Gilead’i hedefleyen kimliği belirsiz İranlı bilgisayar korsanları tarafından düzenlenen bir yüksek düzeyli hack saldırısını haberleştirmişti. Ancak bunların aynı gruplar tarafından yapılıp yapılmadığı belirsiz durumda.
Önceki raporlar İran menşeli APT’lerin çoğunun İran’ın çatı askeri kuruluşu olan İslam Devrim Muhafız Ordusu’nun emrinde veya onlarla ilişkili olduğunu ortaya çıkarmıştı.
Editör : SavunmaTR Haber Merkezi
