iSight Partners araştırmacıları, Rusya kaynaklı olduğu sanılan bir siber casusluk sisteminin, yaklaşık 5 yıldır hükümet liderleri ve kurumlarını hedeflediğini açıkladılar. “Sandworm” adını taşıyan operasyonun 2009’dan bu yana işlem yaptığı ve büyük oranda Windows Vista’dan bu yana gelen tüm Windows versiyonlarının sıfırıncı gün açıklarını kullandığı bildiriliyor.
Araştırmacıların bu operasyona “Sandworm” adını takmalarının nedeni, saldırganların Dune bilim kurgu [1] dizisine bazı referanslar yapması imiş. 1965’de Frank Herbert tarafından yazılan romanda Arrakis adında kumlarla çevrili bir kıtada yer alan kum canavarlarının adı Sandworm idi. Kodun yaratıcısının Dune hayranı olduğu sanılıyor.
iSight’ın araştırmalarına göre, Sandworm Ukrayna ve AB hükümetleri ile Nato yanısıra, savunma, enerji ve telekom firmaları ve ABD’de Ukrayna konusunda çalışma yapan bir akademik kuruluşun saldırıya uğradığı tespit edilmiş. Ayrıca dışişleri bakanları ve benzer yetkililerin katıldığı GlobSec isimli üst düzey konferansın katılımcılarının da hedeflendiği raporlanıyor.
Sandworm’un Ukrayna, Rusya ve bölgedeki diğer konularla ilgili olan casusluk ya da diplomatik bilgi içeren dökümanlarla ilgilendiği tespit edilmiş. Ayrıca SSL anahtarları ve sertifikaları da çalmaya uğraşmışlar.
Sandworm’un saldırıları ilk defa tespit edilmiyor. Daha önce de F-Secure bazı olayları tespit etmişti ama 5 yıllık sürede çeşitli saldırıları birbirine bağlayan iSight oldu. Saldırganların komut-kontrol sunucularına giden URL’lerde Dune romanına atıfta bulunan bazı kavramlar olduğu için iSight bunları birbirine bağladı. URL’lerdeki ifadeler çözümlendiğinde, “arrakis02”, “houseatreides94” ve “epsiloneridani0” gibi Dune romanından gelme ifadelere rastlandı.
Saldırganların hedeflerine sıfırıncı gün açıklarını kullanarak çeşitli virüsler bulaştırdığı, genellikle de PowerPoint dosyaları kullandıkları belirtiliyor. PowerPoint açığını kullanan saldırgan, bilgisayarın kontrolünü eline geçirebiliyor.
Açılan arka kapı ile bilgisayarlara siber suçluların çokca kullandığı “BlackEnergy” isimli araç yüklenmiş. Oleksiuk Dmytr isimli bir Rus tarafından geliştirilen bu araç, ilk kez 2008’de, Rusya ile Gürcistan arasındaki savaş sırasında botnetler ile gerçekleştirilen dDOS saldırısı sırasında tanımlandı. Ama Dmytro ileri versiyonların geliştirilmesinde kendi payı olmadığını iddia ediyor.
iSight, dDos için kullanılan bir aracın saldırıda yer alması nedeniyle, olayın spam sanıldığına, bu nedenle casusluğun uzun süre farkedilmediğine inanıyor. Ama bu aracın kullanılması, saldırganların yeraltı ile de ilişkili olduğu düşüncesi yaratıyor.
Ancak casusluk için kullanılan sistem, yeraltındaki banka vs bilgileri çalmak için kullanılanlara nazaran daha karmaşık. Araştırmacılar, zararlı kodun kurbanın networkünde yer alan proxy sunucuları kullandığını bulmuş. Şirketler genellikle iç sistemlerini korumak ve şirket içinde internet kullanımına yönelik bazı kurallar oluşturmak için iç proxy’ler kuruyor. Dışarı giden haberleşme ise, sunuculara yöneltiliyor. Bu sunucular, dışarıya sunulmayan iç IP adresleri taşıyor. Ama kodun içinde bazı iç proxylere yönelik IPler bulunmuş durumda. Saldırganların veri çalmak istedikleri networkleri araştırdıkları ve bağlantı sistemini çözümledikleri anlaşılıyor.
Ayrıca içine sızdıkları networkteki herşeyle değil, genellikle Nato, Ukrayna ve Polonya ile ilgili güvenlik bilgileri ve diplomatik dökümanlarla ilgilendikleri anlaşılıyor. Ama iSight’ın saldırganları Rus olarak tanımlamasının tek nedeni bu değil; komut ve kontrol sunucularında yer alan dosyaların Rus dilinde yazıldığı belirtiliyor. Sandworm, devlet destekli bir operasyon olarak yorumlanıyor.