ESET araştırmacıları, Stealth Falcon grubu tarafından kullanılan ve ESET tarafından Deadglyph olarak adlandırılan karmaşık bir arka kapıyı keşfederek analiz etti. ABD’nin kâr amacı gütmeyen güvenlik kuruluşu MITRE’ye göre grup Birleşik Arap Emirlikleri (BAE)ile bağlantılı. Deadglyph alışılmadık bir mimariye sahip ve arka kapı yetenekleri, Komuta ve Kontrol tarafından ek modüllerden oluşuyor. Deadglyph’in bir dizi karşı tespit mekanizması var ve belirli durumlarda tespit edilme riskini azaltmak için kendi kendini kaldırma yeteneğine de sahip.
ESET araştırmacıları bu keşfi, bazıları Orta Doğu Bölgesi’nde bulunan yüksek profilli müşterilerin sistemlerindeki şüpheli etkinlikleri rutin olarak izlerken gerçekleştirdi. Analiz edilen sızma eyleminin kurbanı, Orta Doğu’da casusluk amacıyla güvenlik ihlaline uğrayan bir devlet kurumu. VirusTotal’de bulunan ilgili bir örnek de Katar’dan yüklendi.
“Microsoft Corporation’ı taklit ediyor”
ESET bu arka kapının adını, arka kapıda bulunan yapılardan ve bir homoglif saldırısının varlığından esinlenerek verdi. Homoglif, güvenilir bir dizi gibi görünen yanıltıcı bir karakter dizisi. Bu arka kapı, Microsoft Corporation’ı taklit ediyordu. Daha önce belgelenmemiş olan bu arka kapı, büyük ölçüde karmaşık ve adeta bir uzmanlık eseri olarak tanımlanıyor. Geleneksel arka kapı komutları, arka kapı ikili dosyasında uygulanmaz; bunun yerine, Komuta ve Kontrol sunucusundan ek modüller biçiminde dinamik olarak alınırlar. Bu arka kapı aynı zamanda sistem süreçlerinin sürekli izlenmesi ve rastgele ağ modellerinin uygulanması da dahil olmak üzere tespit edilmekten kaçınmak için bir dizi yeteneğe de sahip.
ESET Research, modüllerden 3’ünü almayı başardı
ESET Research, Deadglyph’in tüm özelliklerinin yalnızca bir kısmını ortaya çıkararak bu modüllerden 3’ünü almayı başardı. Süreç oluşturucu, dosya okuyucu ve bilgi toplayıcı. Bilgi toplama modülü, işletim sistemi, yüklü yazılım ve sürücüler, işlemler, hizmetler, kullanıcılar ve güvenlik yazılımı hakkındaki ayrıntılar da dahil olmak üzere bilgisayar hakkında kapsamlı bilgileri toplar. Ayrıca dosya okuyucu modülü belirtilen dosyaları okuyabilir. Bir vakada modül, kurbanın Outlook veri dosyasını almak için kullanıldı.
ESET Research aynı zamanda Deadglyph’i yüklemek için kullanılabilecek ilgili bir kabuk kodu indiricisi buldu. Hedefleme ve ek kanıtlara dayanarak ESET, yüksek olasılıkla Deadglyph’i Stealth Falcon APT grubuyla ilişkilendiriyor. Project Raven veya FruityArmor olarak da bilinen bu tehdit grubunun MITRE’ye göre Birleşik Arap Emirlikleri ile bağlantısı bulunuyor. 2012’den bu yana aktif olan Stealth Falcon’un Orta Doğu’daki siyasi aktivistleri, gazetecileri ve muhalifleri hedef aldığı biliniyor. İlk olarak 2016 yılında bir casus yazılım saldırısının analizini yayınlayan Citizen Lab tarafından keşfedildi ve tanımlandı.