Devlet kurumları, diplomatlar ve telekom operatörleri gelişmiş kalıcı tehditlerin (APT) öncelikli hedefleri olma eğilimindedir. Çünkü söz konusu bireyler ve kurumlar doğal olarak oldukça gizli ve hassas bilgilere sahiptir. Bundan çok daha ender görülen diğer bir saldırı türü ise endüstriyel varlıklara yönelik siber casusluk girişimleridir. Bunlar endüstriyel sistemlere yönelik diğer tüm saldırılar gibi işletme için yıkıcı sonuçlar doğurabilir. Bu nedenle MontysThree’nin etkinliği Kaspersky araştırmacılarının hemen dikkatini çekti.
MontysThree, casusluk faaliyetlerini gerçekleştirmek için dört parçadan oluşan bir kötü amaçlı yazılım seti kullanıyor. Bunlardan ilki olan yükleyici, kişi listeleri, teknik dokümantasyonlar ve tıbbi analiz sonuçları gibi ilgi çekici bilgilerini içeriyormuş gibi görünen RAR SFX dosyalarını (kendiliğinden açılan arşivler) kullanılarak çalışanları bunları indirmeye ve çalıştırmaya ikna ediyor. Yükleyici, öncelikle kötü amaçlı yazılımın sistemde algılanmamasını sağlamaktan sorumlu. Bunu yapmak için steganografi olarak bilinen bir teknikten yardım alıyor.
Steganografi, saldırganlar tarafından verilerin değiş tokuş edildiği gerçeğini gizlemek için kullanılıyor. MontysThree örneğinde kötü amaçlı yük, bir Bitmap görüntü dosyası içinde gizleniyor. Doğru komut girildiğinde yükleyici, piksel dizisindeki içeriğin şifresini çözmek ve kötü amaçlı yükü çalıştırmak için özel olarak hazırlanmış bir algoritmadan faydalanıyor.
Kötü amaçlı yük, algılamadan kaçınmak için birkaç şifreleme tekniğini birden kullanıyor. Yani kontrol sunucusuyla iletişimi şifrelemek ve kötü amaçlı yazılımdan atanan ana görevlerin şifresini çözmek için bir RSA algoritmasından faydalanıyor. Bu, belirli uzantılara sahip ve belirli şirket dizinlerinde yer alan belgelerin aranması işini üstleniyor. MontysThree özellikle Microsoft ve Adobe Acrobat belgelerini hedeflemek için tasarlanmış oluşuyla dikkat çekiyor. Ayrıca saldırganların ilgisini çekip çekmeyeceğini görmek için hedefin ekran görüntülerini ve sistemin parmak izini (sisteme dair ağ ayarları, ana bilgisayar adı gibi) yakalayabiliyor.
Toplanan bilgiler ve kontrol sunucusuyla iletişim süreci Google, Microsoft ve Dropbox gibi genel bulut hizmetlerinde barındırılıyor. Bu, iletişim trafiğinin kötü amaçlı olarak algılanmasını zorlaştırıyor ve hiçbir antivirüs bu hizmetleri engellemediğinden, kontrol sunucusunun komutları kesintisiz olarak yürütmesini sağlıyor.
MontysThree, virüslü sistemde kalıcılık sağlamak için Windows Hızlı Başlatma üzerinde değişiklik yapmak gibi basit bir yöntemden yararlanıyor. Kullanıcılar, Hızlı Başlatma araç çubuğunu kullanarak internet tarayıcı gibi uygulamaları her çalıştırdıklarında, kötü amaçlı yazılımın ilk modülünü de aktif hale getirmiş oluyor.
Uzmanlar, kullanılan kötü amaçlı kodda veya altyapıda bilinen APT’lerle herhangi bir benzerliğe rastlamadı.
Kaspersky Küresel Araştırma ve Analiz Ekibi Kıdemli Güvenlik Araştırmacısı Denis Legezo, bulgulara dair şunları söyledi: “MontysThree endüstriyel holdingleri hedefleyen, karmaşık ve amatör TTP’lerin birleşiminden doğmuş ilginç bir araç. Gelişmişliği modülden modüle değişse de en gelişmiş APT’lerle kıyaslanacak seviyede değil. Ancak güçlü kriptografik standartlar kullanması ve özel steganografi tekniklerinden yararlanması oldukça dikkat çekici. Saldırganların MontysThree araç setini geliştirmek için önemli bir çaba sarf ettikleri ve amaçlarını gerçekleştirmekte kararlı oldukları, bunun kısa ömürlü bir kampanya olmadığı açık.”
