Eset’in RoundPress adını verdiği operasyonun arkasında büyük olasılıkla Rusya’ya bağlı Sednit (Fancy Bear veya APT28 olarak da biliniyor) siber casusluk grubu bulunuyor. Amaçları belirli e-posta hesaplarından gizli verileri çalmak olan siber casusluk grubunun hedeflerinin çoğu Ukrayna’daki mevcut savaşla ilgili. Hedefler ya Ukrayna devlet kurumları ya da Bulgaristan ve Romanya’daki savunma şirketleri. Bu savunma şirketlerinden bazılarının Ukrayna’ya gönderilmek üzere Sovyet döneminden kalma silahlar üretiyor olması dikkat çekici olarak nitelendiriliyor. Diğer hedefler arasında Afrika, AB ve Güney Amerika hükümetleri de yer alıyor.
RoundPress Operasyonu’nu keşfeden ve araştıran Eset araştırmacısı Matthieu Faou yaptığı açıklamada şunları söyledi:
“Geçen yıl, Horde, MDaemon ve Zimbra gibi ek webmail yazılımlarını hedef almak için farklı XSS güvenlik açıklarının kullanıldığını gözlemledik. Sednit ayrıca Roundcube’deki daha yeni bir güvenlik açığı olan CVE-2023-43770’i kullanmaya başladı. MDaemon açığı (CVE-2024-11182, şimdi yamalandı) büyük olasılıkla Sednit tarafından keşfedilen bir sıfır gündü, Horde, Roundcube ve Zimbra için olanlar ise zaten biliniyordu ve yamalanmıştı. Sednit bu XSS açıklarını e-posta ile gönderir; açıklar, bir tarayıcı penceresinde çalışan webmail istemcisi web sayfası bağlamında kötü amaçlı JavaScript kodunun yürütülmesine yol açar. Bu nedenle, yalnızca hedefin hesabından erişilebilen veriler okunabilir ve dışarı sızdırılabilir. İstismarın işe yaraması için hedefin savunmasız webmail portalındaki e-posta mesajını açmaya ikna edilmesi gerekir. Bu da e-postanın herhangi bir spam filtrelemesini aşması ve konu satırının e-posta mesajını okumaya teşvik edecek kadar ikna edici olması gerektiği anlamına gelir. Bu amaçla Ukrayna haber kaynağı Kyiv Post veya Bulgar haber portalı News.bg gibi iyi bilinen haber medyası kötüye kullanılır. Spearphishing olarak kullanılan başlıklar arasında şunlar yer almaktadır: “SBU, Kharkiv’de düşman askeri istihbaratı için çalışan bir bankacıyı tutukladı” ve “Putin, Trump’ın ikili ilişkilerde Rus koşullarını kabul etmesini istiyor”.
Saldırganlar hedeflerin üzerine SpyPress.HORDE, SpyPress.MDAEMON, SpyPress.ROUNDCUBE ve SpyPress.ZIMBRA JavaScript yüklerini salarlar. Bunlar kimlik bilgilerini çalma; adres defterine, kişilere ve oturum açma geçmişine sızma ve e-posta mesajlarına sızma yeteneğine sahiptir. SpyPress.MDAEMON iki faktörlü kimlik doğrulama koruması için bir baypas oluşturabilir; iki faktörlü kimlik doğrulama sırrını sızdırır ve saldırganların posta kutusuna bir posta uygulamasından erişmesini sağlayan bir uygulama parolası oluşturur.
Faou açıklamasına şöyle devam etti :
“Son iki yılda Roundcube ve Zimbra gibi webmail sunucuları Sednit, GreenCube ve Winter Vivern gibi çeşitli casusluk gruplarının ana hedefi oldu. Birçok kuruluş webmail sunucularını güncel tutmadığından ve güvenlik açıkları bir e-posta mesajı gönderilerek uzaktan tetiklenebildiğinden saldırganlar için e-posta hırsızlığı için bu tür sunucuları hedef almak çok uygun.”
APT28, Fancy Bear, Forest Blizzard ya da Sofacy olarak da bilinen Sednit grubu en az 2004 yılından beri faaliyet göstermektedir. ABD Adalet Bakanlığı, grubu 2016 ABD seçimlerinden hemen önce Demokratik Ulusal Komite’nin (DNC) hacklenmesinden sorumlu olanlardan biri olarak adlandırdı ve grubu GRU ile ilişkilendirdi. Grubun ayrıca küresel televizyon ağı TV5Monde’un hacklenmesi, Dünya Anti-Doping Ajansı (WADA) e-posta sızıntısı ve diğer pek çok olayın arkasında olduğu tahmin ediliyor.
Kaynak : 