Bir grup Pakistanlı bilgisayar korsanı, Taliban rejiminin ülkeyi ele geçirmesinden sonra eski Afganistan hükümetinde daha önce görev almış kişileri hedef almak ve bu kişilerin cihazlarına kötü amaçlı yazılım bulaştırmak için sahte bir Android uygulama mağazası oluşturdu.
Facebook güvenlik ekibi tarafından yayınlanan rapora göre bu yılın Nisan – Ağustos ayları arasında bu siber casusluk kampanyasının hız kazandığı, SideCopy olarak bilinen Pakistanlı tehdit aktörü tarafından Taliban’dan önceki Afgan hükümetinde özellikle orduda ve diğer kolluk kuvvetlerinde görev almış kişiler hedef alınmış.
Araştırmacılar, SideCopy operatörlerinin Facebook platformu üzerinde tipik olarak genç kadın resimlerinin yer aldığı sahte profiller oluşturup, daha sonrada hedeflenen kişilere kimlik avı bağlantılarına tıklamalarını sağlatmaya çalışmışlar. Kimlik avı dışında ise içerisinde kötü amaçlı android uygulamalarını barındıran sahte uygulama mağazalarına yönlendirmişler.
Facebook, SideCopy operatörlerinin genellikle sohbet mesajlaşma uygulamaları gibi görünen kötü amaçlı uygulamalar kullandığını belirtiyor. Bu sohbet uygulamlarının ise genel olarak Viber ve Signal gibi bilinen markalarını taklit ettiklerini ve bazı zamanlarda ise yeni bir isim altında uygulama oluşturduklarını gözlemlemişler. Bunlar arasında HappyChat, HangOn, ChatOut, TrendBanter, SmartSnap ve TeleChat adlı uygulamalar yer alıyordu.
Bu kötü amaçlı uygulamlardan bir kısmı PJobRAT, diğer bir kısmı ise daha önce raporlarda yer almayan Mayhem adlı zararlı yazılım türlerini içeriyormuş. Bu zararlı yazılımlar çalıştığı cihazlarda tüm kontrolü ele geçirebiliyorlarmış.
Suriye Hükümetiyle bağlantılı üç ayrı tehdit aktörünün faaliyetleri tespit edilip, durduruldu
Facebook güvenlik araştırmacıları ayrıca Suriye hükümetiyle bağlantılı üç ayrı tehdit aktörünün faaliyetlerini tespit edip, bu faaliyetlere ilşkin oluşumların platformdan kaldırılmış. Bu tehdit aktörleri arasında:
Suriye Elektronik Ordusu – İnsan hakları aktivistlerini, gazetecileri ve iktidardaki rejime karşı çıkan diğer muhalif grupları hedef almış
APT-C-37 – Özgür Suriye Ordusu ile bağlantılı kişileri ve o zamandan beri muhalif güçlere katılan eski askeri personeli hedef almış
Yeni bir aktör: Diğer bilinen aktörlere ziyada yeni bir tehdit aktörü olma ihtimali güçlü olabilir. Bu aktörde diğerleri gibi azınlık grupları, aktivistleri, muhalefeti ve Kürt gazetecileri hedef almış.
Facebook araştırmacıları, yukarıdaka ilk iki sırada yer alan Suriye Elektronik Ordusu ve APT-C-37 faaliyetlerini ülkenin en önemli istihbarat servisi olan Suriye Hava Kuvvetleri İstihbarat Müdürlüğü içindeki iki ayrı birimiyle resmi olarak ilişkilendirdi.
