Daha önce bilinmeyen ama en az 2015 yılından beri faaliyette bulunduğu tespit edilen ve “SOWBUG” ismini taşıyan bir hack ve siber casusluk grubu tespit edildi. Bu grubun Arjantin, Brezilya, Peru gibi Güney Amerika ve Malezya gibi Güneydoğu Asya’ya yönelik diplomatik veri çalmaya yönelik siber saldırılar düzenlediği kaydediliyor.
Sowbug saldırı grubunun, “Felismus” adını taşıyan bir kötücül kod ile, çeşitli ülkelerdeki dış politika kurumlarına, hükümet organlarına ve diplomatik hedeflere karşı gizli saldırılar gerçekleştirdiği ortaya çıktı. Felismus’un varlığı ilk olarak bu yılın mart ayında tespit edildi. Bu kötücül yazılım, kendisini iyi saklayan ve modüler yapıdaki bir trojanı yönetiyor.
Felismus’u analiz eden araştırmacılar, daha önceki bazı saldırılarla bağlantı tespit etti. Buna göre en az 2015 başından bu yana aktif olduğu kaydediliyor. Symantec konuyla ilgili raporunda “Grup, aynı anda birden fazla hedefe sızma yeteneğine sahip, iyi kaynak buluyor ve çoğu zaman hedeflenen kuruluşların mesai saatleri dışında çalışıyor” bilgisi verdi.
Sowbug’un sistemlere nasıl sızdığı henüz tespit edilemedi ama Windows veya Adobe Reader’ın sahte linkleri üzerinden güncelleme ile bulaşmış olduğu düşünülüyor. Symantec araştırmacıları, Starloader dosyalarının diğerleri arasında AdobeUpdate.exe, AcrobatUpdate.exe ve INTELUPDATE.EXE başlıklı yazılım güncellemeleri olarak yayılmasına dair kanıt buldu. Araştırmacılar ayrıca, grubun, mağdurların ağlarında, kimlik bilgisi belge alıcısı ve keylogger gibi ek malware’leri ve araçları dağıtmak için Starloader adlı bir aracı kullandığını ve bulaştığı bilgisayarda kullanılan yazılımlara benzer adlar kullanarak yerleştiği dosya sistemlerinde farkedilemediğini tespit etti.
Sovbug korsanlarının, hedeflenen şebekelerde varlığını korumak için casus operasyonlarını, aylarca standart mesai saatleri dışında gerçekleştirdiği görülmüş.
Kaynak : 