Tomiris Hacker Kümesi, Orta Asya’dan İstihbarat Toplamaya Çalışıyor
Kaspersky’nin son yayınladığı rapora nazaran, Tomiris isimli art kapı (backdoor) zararlısını geliştiren hacker kümesi, Orta Asya’da istihbarat toplamak maksadıyla yeni siber hücumlar düzenliyor.
Tomiris bilhassa hükümetleri ve diplomatik kuruluşları gaye alarak, iç yazışmaları ve bâtın dokümanları çalmayı hedefliyor. Küme 2021’de birinci sefer ortaya çıktığında, SolarWinds saldırısının faili olarak bilinen Rus devlet takviyeli hacker kümesi Nobelium (APT29) ile bağlı olduğu düşünülüyordu.
Tomiris backdoor ile Cinsle kümesine atfedilen Kazuar isimli diğer bir ziyanlı yazılım ortasında da benzerlikler bulunuyor. Kümenin düzenlediği maksatlı kimlik avı akınları, tekrar tekrar kullanılan ve farklı lisanlarla yazılmış zararlılar içeriyor.
Grup tarafından kullanılan özel ziyanlı yazılımlar; “loader”, “backdoor” ve “stealer” olmak üzere üç kategoriye ayrılıyor:
- Telemiris: Telegram’ı komuta ve denetim (C2) kanalı olarak kullanan Python tabanlı bir backdoor.
- Roopy: 40-80 dakikada bir kritik ve ilgi cazibeli olabilecek belgeleri toplayıp uzak bir sunucuya göndermek üzere tasarlanmış Pascal tabanlı bir stealer.
- JLORAT: Sistem bilgilerini toplayan, C2 sunucusu tarafından verilen komutları çalıştıran, belgeleri indirip yükleyen ve ekran imgelerini yakalayan Rust ile yazılmış bir öteki stealer.
Ancak Tıpla ve Tomiris ortasında sav edilen muhtemel temaslara karşın, Tomiris’in amaçları ve çalışma haline bakıldığında pek alakaları yokmuş üzere gözüküyor. Bu da Tomiris’in Rusya takviyeli hacker kümeleri ile ilgisinin olmayabileceği ve bunun bir çeşit “false flag” (istihbarat terminolojisinde amaç şaşırtmayı söz eden bir kavram) operasyonu olması ihtimalini akıllara getiriyor
Öte yandan, Tıpla ve Tomiris’in belli operasyonlarda işbirliği yaptığı yahut her iki aktörün de Moskova merkezli bir IT kontratlı firması olan NTC Vulkan tarafından sağlanan araçları kullandığı düşünülüyor.
