ESET, RoundPress Operasyonu'nu Resmen ortaya çıktı

Rusya'ya bağlı Sednit, gizli verileri saklamak için Ukrayna savaşıyla bağlantılı bölgeler hedefte yer alıyor.

Siber güvenlik şirketi ESET, RoundPress'in adını ve XSS açıkları üzerinden webmail sunucularını hedef alan Rusya bağlantılı bir casusluk operasyonunun ortaya çıktığını açıkladı. RoundPress operasyonunda ele geçirme vektörü, kurbanın webmail sayfasında kötü amaçlı JavaScript kodunu değiştirmek için bir XSS güvenlik açığından bir spearphishing e-postasından yararlanıldı. Roundcube, Horde, MDaemon ve Zimbra webmail yazılımlarını hedef alıyor. Kurbanların çoğunun Doğu Avrupa'daki devlet yönetimi ve savunma şirketleri olsa da ESET Afrika, Avrupa ve Güney Amerika'daki hükümetlerin de hedef alındığını gözlemledi.

ESET'in RoundPress adını verdiği operasyonda büyük bölgedeki Rusya'ya bağlı Sednit (Fancy Bear veya APT28 olarak da bilinir) siber casusluk grubu bulunuyor. Amaçları belirli e-posta hesaplarından gizli verileri çalmak olan siber casusluk grubu hedeflerinin çoğu Ukrayna'daki mevcut savaşla ilgilidir. Hedefler ya Ukrayna devlet kurumları ya da Bulgaristan ve Romanya'daki savunma şirketleri. Bu savunma işaretlerinden bazılarının Ukrayna'ya gönderilmesi amacıyla Sovyet döneminde kalma silahlarının çalıştırılması dikkat çekici olarak nitelendiriliyor. Diğer hedefler arasında Afrika, AB ve Güney Amerika hükümetleri de yer alıyor.

RoundPress Operasyonu'nu keşfeden ve araştıran ESET araştırmacısı Matthieu Faou yaptığı açıklamada şunları söyledi: "Geçen yıl, Horde, MDaemon ve Zimbra gibi ek webmail yazılımlarını hedef almak için farklı XSS güvenlik açıklarının şifrelerini gözlemledik. Sednit ayrıca Roundcube'deki daha yeni bir güvenlik açığı olan CVE-2023-43770'i kullanmaya başladı. yamalandı) Sednit tarafından keşfedilen bir gündü, Horde, Roundcube ve Zimbra için olanlar zaten biliniyordu ve yamalanmıştı. Bu da e-postanın herhangi bir Spam yetersizliğini aşması ve konu bölümünün e-posta mesajını okumayı teşvik edecek kadar ikna edici olması gerektiği anlamına gelir. Bu amaçla Ukrayna kaynağı Kyiv Post veya Bulgar haber portalı News.bg gibi iyi bilinen haber medyası dağıtımı kullanılır. Spearphishing olarak kullanılan başlıklar arasında listelenenler arasında şunlar yer almaktadır: "SBU, Kharkiv'de düşman askeri istihbaratı için çalışan bir bankacıyı tutukladı" ve "Putin, Trump'ın ikili tanıtımlarında Rusya'da gösterileri kabul etmek istiyor".

Saldırganların hedefi üzerine SpyPress.HORDE, SpyPress.MDAEMON, SpyPress.ROUNDCUBE ve SpyPress.ZIMBRA JavaScript yüklerini salarlar. Bunlar kimlik bilgilerini çalma; Adres defterine, kişisel ve kayıt açma geçmişine sızma ve e-posta iletilerine sızma donanımına sahiptir. SpyPress.MDAEMON iki faktörlü kimlik doğrulama koruması için bir baypas edilebilir; iki faktörlü kimlik doğrulama sırrını sızdırır ve saldırganların posta pazarındaki bir posta saklanan saklamasını sağlayan bir uygulama parolası oluşturur.

Faou açıklamasına şöyle devam etti: "Son iki yılda Roundcube ve Zimbra gibi webmail sunucuları Sednit, GreenCube ve Winter Vivern gibi çeşitli casusluk gruplarının ana hedefi oldu. Bir çok kuruluş webmail sunucularını güncel tutmadığından ve güvenlik açıkları bir e-posta mesajı gönderilerek uzaktan tetiklenebildiğinden saldırganlar için e-posta hırsızlığı için bu tür sunucuları hedef almak çok uygun."

APT28, Fancy Bear, Forest Blizzard ya da Sofacy olarak da bilinen Sednit grubu en az 2004 yılından beri faaliyet göstermektedir. ABD Adalet Bakanlığı, grubu 2016 ABD seçimlerinden hemen önce Demokratik Ulusal Komite'nin (DNC) hacklenmesinden sorumlu olanlardan biri olarak adlandırıldı ve grup GRU ile ayrıldı. Grubun ayrıca küresel televizyon ağı TV5Monde'un hacklenmesi, Dünya Anti-Doping Ajansı'nın (WADA) e-posta sızıntısı ve diğer pek çok olayın arkasında olduğu tahmin ediliyor.