admin Kaspersky’nin son yayınladığı rapora nazaran, Tomiris isimli art kapı (backdoor) zararlısını geliştiren hacker kümesi, Orta Asya’da istihbarat toplamak hedefiyle yeni siber hücumlar düzenliyor.
Tomiris bilhassa hükümetleri ve diplomatik kuruluşları maksat alarak, iç yazışmaları ve saklı dokümanları çalmayı hedefliyor. Küme 2021’de birinci kere ortaya çıktığında, SolarWinds saldırısının faili olarak bilinen Rus devlet takviyeli hacker kümesi Nobelium (APT29) ile bağlı olduğu düşünülüyordu.
Tomiris backdoor ile Çeşitle kümesine atfedilen Kazuar isimli öbür bir ziyanlı yazılım ortasında da benzerlikler bulunuyor. Kümenin düzenlediği maksatlı kimlik avı atakları, tekrar tekrar kullanılan ve farklı lisanlarla yazılmış zararlılar içeriyor.
Grup tarafından kullanılan özel ziyanlı yazılımlar; “loader”, “backdoor” ve “stealer” olmak üzere üç kategoriye ayrılıyor:
- Telemiris: Telegram’ı komuta ve denetim (C2) kanalı olarak kullanan Python tabanlı bir backdoor.
- Roopy: 40-80 dakikada bir kritik ve ilgi cazibeli olabilecek evrakları toplayıp uzak bir sunucuya göndermek üzere tasarlanmış Pascal tabanlı bir stealer.
- JLORAT: Sistem bilgilerini toplayan, C2 sunucusu tarafından verilen komutları çalıştıran, evrakları indirip yükleyen ve ekran manzaralarını yakalayan Rust ile yazılmış bir öbür stealer.
Ancak Cinsle ve Tomiris ortasında sav edilen mümkün temaslara karşın, Tomiris’in amaçları ve çalışma haline bakıldığında pek alakaları yokmuş üzere gözüküyor. Bu da Tomiris’in Rusya takviyeli hacker kümeleri ile ilgisinin olmayabileceği ve bunun bir çeşit “false flag” (istihbarat terminolojisinde maksat şaşırtmayı söz eden bir kavram) operasyonu olması ihtimalini akıllara getiriyor
Öte yandan, Çeşitle ve Tomiris’in belli operasyonlarda işbirliği yaptığı yahut her iki aktörün de Moskova merkezli bir IT kontratlı firması olan NTC Vulkan tarafından sağlanan araçları kullandığı düşünülüyor.
