Türkiye’ye yönelik Kasım ayında küresel çapta bir saldırı düzenlediği ileri sürüldü. İddia Proofpoint isimli siber güvenlik şirketine ait. İddiaya göre, Güney Asya kökenli olduğu düşünülen ve Bitter adıyla bilinen bir siber casusluk grubu sözkonusu şirketi hedef aldı. Saldırıda, WmRAT ve MiyaRAT isimli iki farklı zararlı yazılım kullanıldı.
SİBER SALDIRI NASIL GERÇEKLEŞTİ
Saldırı, bir kimlik avı e-postası ile başladı. e-posta, RAR arşiv dosyası içerisinde yer alan LNK uzantılı bir kısayol dosyası içeriyordu. Bu dosya, gönderilen çalışanın bilgisayarına PowerShell komutları yükleyerek iki farklı zararlı yazılımı sisteme sızdırdı.
Ayrıca, saldırı dosyasında gizli NTFS veri akışları (ADS) kullanılarak kötü amaçlı kodların gizlenmesi sağlandı.
Siber güvenlik araştırmacıları Nick Attfield, Konstantin Klinger, Pim Trouerbach ve David Galazin, düzenlendiği iddia edilen saldırıyla ilgili şu açıklamayı yaptı:
İSTİHBARAT TOPLAMA GİRİŞİMİ Mİ?
“Bu kampanyaların neredeyse kesinlikle Güney Asya hükümetinin çıkarlarına hizmet eden istihbarat toplama girişimleri olduğuna inanıyoruz. Saldırganlar, zamanlanmış görevler kullanarak hedef organizasyonların sistemlerine zararlı yazılımlar yerleştiriyor ve kritik bilgilere erişim sağlıyor.”