ESET, Blackwood ve NSPX30 Implantını Ortaya Çıkardı
ESET, Çin Bağlantılı Yeni Siber Casusluk Grubu Blackwood’u ve NSPX30 Implantını Ortaya Çıkardı.
ESET, Çin ile bağlantılı yeni bir siber casusluk grubunu ve bu grubun kullandığı sofistike bir implantı keşfettiğini duyurdu. ESET’in tanımladığı bu grubun adı Blackwood olarak belirlendi.
Blackwood’un kullandığı implant, NSPX30 adı verilen ve karmaşık bir yapıya sahip olan bir yazılımdır. Bu implant, kullanıcıların güvendiği meşru yazılımlardan gelen güncelleme taleplerini ele geçirerek, ortadaki adam (man-in-the-middle) saldırıları yoluyla yayılıyor. Blackwood, Çin, Japonya ve Birleşik Krallık’taki bireyler ve şirketlere karşı siber casusluk faaliyetlerinde bulunuyor.
NSPX30 implantı, Tencent QQ, WPS Office ve Sogou Pinyin gibi popüler yazılımların güncelleme mekanizmalarını kullanarak dağıtılıyor. ESET’in araştırmalarına göre, NSPX30’un kökenleri, 2005 yılında ortaya çıkan ve veri toplama amacı taşıyan Project Wood adlı küçük bir arka kapıya dayanıyor. NSPX30; damlalık, yükleyiciler, orkestratör ve arka kapı gibi çeşitli bileşenleri içeren çok aşamalı bir yapıya sahip. Ayrıca, çeşitli Çin kötü amaçlı yazılım koruma çözümlerini aşabilme yeteneğine de sahip.
ESET, Çin Bağlantılı Yeni Siber Casusluk Grubu Blackwood’u ve NSPX30 Implantını Ortaya Çıkardı.
ESET Research, Blackwood ve Project Wood arka kapısını “muteks” adında bir temaya dayanarak adlandırdı. Muteks, bir kaynağa erişimi kontrol etmek için kullanılan bir senkronizasyon aracıdır. 2005’te ortaya çıkan Project Wood implantının, kötü amaçlı yazılım geliştirme konusunda deneyimli geliştiriciler tarafından yapıldığı düşünülüyor. ESET, Blackwood’un en az 2018’den beri faaliyette olduğuna inanıyor.
ESET telemetrisine göre, NSPX30 implantı kısa süre önce sınırlı sayıda sistemde tespit edildi. Kurbanlar arasında Çin ve Japonya’da bulunan kimliği belirsiz kişiler, Birleşik Krallık’ta bir üniversite ağına bağlı Çince konuşan bir kişi, Çin’deki büyük bir üretim ve ticaret şirketi ve Japonya merkezli bir mühendislik ve üretim şirketinin Çin ofisleri bulunuyor. ESET, saldırganların erişimin kaybedilmesi durumunda sistemleri yeniden ele geçirmeye çalıştıklarını gözlemledi.
NSPX30, Skype, Telegram, Tencent QQ ve WeChat gibi çeşitli uygulamalar için casusluk yeteneklerini içeren eklenti setlerine sahip. Ayrıca, çeşitli Çin antivirüs çözümlerinden kaçınma yeteneğine de sahip. ESET Research, saldırıların, meşru yazılımların şifrelenmemiş HTTP protokolünü kullanarak güncellemeleri indirmeye çalıştıkları sırada gerçekleştiğini belirledi. Ele geçirilen güncellemeler arasında Tencent QQ, Sogou Pinyin ve WPS Office gibi popüler Çin yazılımları da bulunuyor. NSPX30’un temel amacı, denetleyiciyle iletişim kurmak ve toplanan verileri dışarı sızdırmaktır. Ekran görüntüsü alabilir, keylogging yapabilir ve çeşitli bilgiler toplayabilir.
Saldırganların yetenekleri, NSPX30 implantının son bileşenlerinin, Baidu’nun sahip olduğu meşru ağlarla iletişim kurarak yeni bileşenler indirmek veya toplanan bilgileri dışarı sızdırmak için kullanılmasını içerir. Bu, saldırganların gerçek altyapılarını anonimleştirmelerine ve engelleme yeteneklerine olanak tanıyor. ESET, NSPX30 tarafından üretilen kötü niyetli ancak meşru görünen trafiğin, bilinmeyen bir durdurma mekanizması tarafından gerçek saldırganların altyapısına iletildiğine inanıyor.
ESET araştırmacısı Facundo Muñoz, saldırganların NSPX30 implantını kötü niyetli güncellemeler olarak nasıl sunabildiklerine dair tam bilgiye sahip olmadıklarını belirtti. Muñoz, “Ancak Çin’e bağlı tehdit aktörleriyle ilgili deneyimlerimize ve MustangPanda’ya atfedilen benzer yönlendirici implantlarıyla ilgili son araştırmalara dayanarak, saldırganların kurbanların ağlarına, muhtemelen yönlendiriciler veya ağ geçitleri gibi savunmasız ağ cihazları aracılığıyla bir ağ implantı yerleştirdiklerini tahmin ediyoruz” şeklinde konuştu.
Bu gelişmeler, siber güvenlik dünyasında büyük endişe yaratıyor. Blackwood ve NSPX30 implantının keşfi, siber casusluk tehditlerinin ne kadar sofistike hale geldiğini ve dünya çapında bireylerin ve kurumların güvenliği için oluşturduğu riskleri gözler önüne seriyor. ESET’in bu tür tehditlere karşı koymak için yürüttüğü araştırmalar, siber güvenlik alanında devam eden mücadelede önemli bir rol oynuyor.