ESET, RoundPress Operasyonu’nu ortaya çıkardı

Siber güvenlik şirketi ESET, RoundPress ismini verdiği ve XSS açıkları üzerinden webmail sunucularını maksat alan Rusya irtibatlı bir casusluk operasyonunu ortaya çıkardığını açıkladı. RoundPress Operasyonu’nda ele geçirme vektörü, kurbanın webmail sayfasına makûs maksatlı JavaScript kodu enjekte etmek için bir XSS güvenlik açığından yararlanan bir spearphishing e-postası.  Roundcube, Horde, MDaemon ve Zimbra webmail yazılımlarını amaç alıyor. Kurbanların birçok Doğu Avrupa’daki devlet kurumları ve savunma şirketleri olsa da ESET Afrika, Avrupa ve Güney Amerika’daki hükümetlerin de gaye alındığını gözlemledi.

ESET’in RoundPress ismini verdiği  operasyonun gerisinde büyük olasılıkla Rusya’ya bağlı Sednit (Fancy Bear yahut APT28 olarak da biliniyor) siber casusluk kümesi bulunuyor. Gayeleri makul e-posta hesaplarından kapalı bilgileri çalmak olan siber casusluk kümesinin amaçlarının birden fazla Ukrayna’daki mevcut savaşla ilgili. Maksatlar ya Ukrayna devlet kurumları ya da Bulgaristan ve Romanya’daki savunma şirketleri. Bu savunma şirketlerinden kimilerinin Ukrayna’ya gönderilmek üzere Sovyet periyodundan kalma silahlar üretiyor olması dikkat cazip olarak nitelendiriliyor. Öteki amaçlar ortasında Afrika, AB ve Güney Amerika hükümetleri de yer alıyor.

RoundPress Operasyonu’nu keşfeden ve araştıran ESET araştırmacısı Matthieu Faou yaptığı açıklamada şunları söyledi: “Geçen yıl, Horde, MDaemon ve Zimbra üzere ek webmail yazılımlarını amaç almak için farklı XSS güvenlik açıklarının kullanıldığını gözlemledik. Sednit ayrıyeten Roundcube’deki daha yeni bir güvenlik açığı olan CVE-2023-43770’i kullanmaya başladı. MDaemon açığı (CVE-2024-11182, artık yamalandı) büyük olasılıkla Sednit tarafından keşfedilen bir sıfır gündü, Horde, Roundcube ve Zimbra için olanlar ise esasen biliniyordu ve yamalanmıştı.  Sednit bu XSS açıklarını e-posta ile gönderir; açıklar, bir tarayıcı penceresinde çalışan webmail istemcisi web sayfası bağlamında makûs emelli JavaScript kodunun yürütülmesine yol açar. Bu nedenle, sadece gayenin hesabından erişilebilen datalar okunabilir ve dışarı sızdırılabilir. İstismarın işe yaraması için maksadın savunmasız webmail portalındaki e-posta bildirisini açmaya ikna edilmesi gerekir. Bu da e-postanın rastgele bir spam filtrelemesini aşması ve mevzu satırının e-posta iletisini okumaya teşvik edecek kadar ikna edici olması gerektiği manasına gelir. Bu emelle Ukrayna haber kaynağı Kyiv Post yahut Bulgar haber portalı News.bg üzere düzgün bilinen haber medyası berbata kullanılır. Spearphishing olarak kullanılan başlıklar ortasında şunlar yer almaktadır: “SBU, Kharkiv’de düşman askeri istihbaratı için çalışan bir bankacıyı tutukladı” ve “Putin, Trump’ın ikili ilgilerde Rus şartlarını kabul etmesini istiyor”.

Saldırganlar amaçların üzerine SpyPress.HORDE, SpyPress.MDAEMON, SpyPress.ROUNDCUBE ve SpyPress.ZIMBRA JavaScript yüklerini salarlar. Bunlar kimlik bilgilerini çalma; adres defterine, bireylere ve oturum açma geçmişine sızma ve e-posta iletilerine sızma yeteneğine sahiptir. SpyPress.MDAEMON iki faktörlü kimlik doğrulama müdafaası için bir baypas oluşturabilir; iki faktörlü kimlik doğrulama sırrını sızdırır ve saldırganların posta kutusuna bir posta uygulamasından erişmesini sağlayan bir uygulama parolası oluşturur.

Faou açıklamasına şöyle devam etti : “Son iki yılda Roundcube ve Zimbra üzere webmail sunucuları Sednit, GreenCube ve Winter Vivern üzere çeşitli casusluk kümelerinin ana amacı oldu. Birçok kuruluş webmail sunucularını aktüel tutmadığından ve güvenlik açıkları bir e-posta iletisi gönderilerek uzaktan tetiklenebildiğinden saldırganlar için e-posta hırsızlığı için bu tıp sunucuları amaç almak çok uygun.”

APT28, Fancy Bear, Forest Blizzard ya da Sofacy olarak da bilinen Sednit kümesi en az 2004 yılından beri faaliyet göstermektedir. ABD Adalet Bakanlığı, grubu 2016 ABD seçimlerinden çabucak evvel Demokratik Ulusal Komite’nin (DNC) hacklenmesinden sorumlu olanlardan biri olarak isimlendirdi ve kümesi GRU ile ilişkilendirdi. Kümenin ayrıyeten global televizyon ağı TV5Monde’un hacklenmesi, Dünya Anti-Doping Ajansı (WADA) e-posta sızıntısı ve öteki pek çok olayın gerisinde olduğu varsayım ediliyor.

 

 

Kaynak: (BYZHA) Beyaz Haber Ajansı