İnceleme
( Kullanıcı Oyu)Kaspersky’nin son yayınladığı rapora nazaran, Tomiris isimli art kapı (backdoor) zararlısını geliştiren hacker kümesi, Orta Asya’da istihbarat toplamak gayesiyle yeni siber hücumlar düzenliyor.
Tomiris bilhassa hükümetleri ve diplomatik kuruluşları amaç alarak, iç yazışmaları ve bâtın dokümanları çalmayı hedefliyor. Küme 2021’de birinci kere ortaya çıktığında, SolarWinds saldırısının faili olarak bilinen Rus devlet takviyeli hacker kümesi Nobelium (APT29) ile alakalı olduğu düşünülüyordu.
Tomiris backdoor ile Çeşitle kümesine atfedilen Kazuar isimli diğer bir ziyanlı yazılım ortasında da benzerlikler bulunuyor. Kümenin düzenlediği amaçlı kimlik avı taarruzları, tekrar tekrar kullanılan ve farklı lisanlarla yazılmış zararlılar içeriyor.
Grup tarafından kullanılan özel ziyanlı yazılımlar; “loader”, “backdoor” ve “stealer” olmak üzere üç kategoriye ayrılıyor:
- Telemiris: Telegram’ı komuta ve denetim (C2) kanalı olarak kullanan Python tabanlı bir backdoor.
- Roopy: 40-80 dakikada bir kritik ve ilgi alımlı olabilecek belgeleri toplayıp uzak bir sunucuya göndermek üzere tasarlanmış Pascal tabanlı bir stealer.
- JLORAT: Sistem bilgilerini toplayan, C2 sunucusu tarafından verilen komutları çalıştıran, belgeleri indirip yükleyen ve ekran imgelerini yakalayan Rust ile yazılmış bir diğer stealer.
Ancak Çeşitle ve Tomiris ortasında tez edilen mümkün temaslara karşın, Tomiris’in gayeleri ve çalışma biçimine bakıldığında pek alakaları yokmuş üzere gözüküyor. Bu da Tomiris’in Rusya dayanaklı hacker kümeleri ile ilgisinin olmayabileceği ve bunun bir çeşit “false flag” (istihbarat terminolojisinde amaç şaşırtmayı söz eden bir kavram) operasyonu olması ihtimalini akıllara getiriyor
Öte yandan, Cinsle ve Tomiris’in muhakkak operasyonlarda işbirliği yaptığı yahut her iki aktörün de Moskova merkezli bir IT kontratlı firması olan NTC Vulkan tarafından sağlanan araçları kullandığı düşünülüyor.
