Rus devleti Turla olarak bilinen hacker Grubu, sibersizliğin tarihindeki en yenilikçi hack özelliklerinden bazılarını gerçekleştirdi, kötü amaçlı yazılımlarının uydu bağlantılarındaki iletişimlerini gizledi veya diğer bilgisayar korsanlarının operasyonlarını kendi veri çıkarmalarını gizlemek için ele geçirdi. Bununla birlikte, kendi çimlerinde faaliyet gösterdiklerinde, eşit derecede dikkat çekici, daha basit bir yaklaşım denedikleri ortaya çıkıyorlar: Rusya’nın web servis sağlayıcılarını kontrollerini, Moskova’daki hedeflerinin bilgisayarlarına doğrudan casus yazılım dikmek için kullanmış gibi görünüyorlar.
Microsoft’un Güvenlik Araştırma Ekibi, bugünkü tehditleri hacklemeye odakladı. rapor Kremlin’in FSB istihbarat ajansının bir parçası olduğuna inanılan Turla tarafından kullanılan sinsi bir yeni casus tekniğini detaylandırıyor. Yılan, Venom Bear veya Microsoft’un kendi adı olarak da bilinen grup, Secret Blizzard, Moskova’da faaliyet gösteren yabancı elçiliklerde çalışan ve PC’lerinde kötü amaçlı yazılımları kurmaya çalışan yabancı elçiliklerde çalışan kurbanları, Rus ISS’lere devlet tarafından onaylanmış erişimi kullanmış gibi görünüyor. Bu casus yazılım daha sonra, bu hedeflerin makinelerinde şifrelemeyi devre dışı bıraktı, böylece web üzerinden ilettikleri veriler şifrelenmemiş kaldı, iletişimlerini ve şifrelerini ve parola gibi kimlik bilgilerini, aynı ISS’ler tarafından ve işbirliği yaptıkları herhangi bir devlet gözetim ajansı tarafından tamamen savunmasız bıraktı.
Microsoft’un tehdit istihbarat stratejisi direktörü Sherrod Degrippo, tekniğin, casus ajanslarının hedefleri gözetlemek için ISP’ler ve telekomların verilerini topladığı ve gözden geçirdiği kitle gözetimine casusluk ve hükümetlerin daha eski, daha pasif yaklaşım için hedefli bir hack karışımını temsil ettiğini söylüyor. Degrippo, “Bu, pasif gözetim ve gerçek müdahale arasındaki sınırı bulanıklaştırıyor” diyor.
Bu özel FSB hacker grubu için Degrippo, Arsenal’de Rusya sınırlarını hedeflemek için güçlü yeni bir silah öneriyor. “Potansiyel olarak Rusya merkezli telekom altyapısını araç setlerinin bir parçası olarak nasıl düşündüklerini gösteriyor” diyor.
Microsoft’un araştırmacılarına göre, Turla’nın tekniği, belirli bir internet isteği tarayıcılarının “esir portal” ile karşılaştıklarında yaptıkları, en yaygın olarak havaalanları, uçaklar veya kafeler gibi ortamlarda web erişimini korumak için kullanılan pencerelerden yararlanır. Home windows’ta, bu esir portallar, kullanıcının bilgisayarının aslında çevrimiçi olduğunu kontrol etmek için belirli bir Microsoft internet sitesine ulaşır. (Turla’nın kurbanlarını hacklemek için kullanılan esir portalların aslında hedef elçilikler tarafından rutin olarak kullanılanlar mı yoksa Turla’nın bir şekilde hackleme tekniğinin bir parçası olarak kullanıcılara dayattığı portalların meşru olarak kullanılıp kullanılmadığı açık değil.)
Turla, belirli yabancı elçilik çalışanlarını internete bağlayan ISS’lerin kontrolünden yararlanarak, hedefleri yeniden yönlendirebildi, böylece tarayıcının kriptografik sertifikalarına internet’e erişmeden önce bir güncelleme indirmelerini isteyen bir hata mesajı gördüler. Şüphesiz bir kullanıcı kabul ettiğinde, Microsoft’un Apolloshadow adını verdiği bir kötü amaçlı yazılım yüklediler, bu da bir Kaspersky güvenlik güncellemesi olarak – bir kısmı kabul edilemez bir şekilde – gizlenmiştir.
Bu ApolloshAdow kötü amaçlı yazılımları daha sonra tarayıcının şifrelemesini devre dışı bırakarak, bilgisayarın ilettiği ve aldığı tüm internet verileri için şifreleme korumalarını sessizce sıyırır. DeGrippo, aynı sonucu elde ederken, nispeten basit sertifika kurcalamasının tespit edilmesi muhtemelen tam özellikli bir casus yazılım parçasından daha zor olması amaçlandı.