Güvenlik araştırmacıları, bilinen fidye yazılım grupları kadar belli bir seviyede olmasa da çoğunlukla Avrupa ve Asya'daki küçük ve orta ölçekli işletmeleri hedef alan "CosmicBeetle" adını verdiği bir grupla ilgili araştırma yazısı yayınladı. Aynı grupla ilgili bir diğer araştırmada, grubun arkasında bir Türk geliştiricisi olduğu atfı yapıldı. Slovakya merkezli siber güvenlik şirketi Eset tarafından, en az …
“CosmicBeetle” fidye yazılım grubu: İki farklı iddia – arkasında bir Türk geliştirici olabilir mi?
Güvenlik araştırmacıları, bilinen fidye yazılım grupları kadar belli bir seviyede olmasa da çoğunlukla Avrupa ve Asya’daki küçük ve orta ölçekli işletmeleri hedef alan “CosmicBeetle” adını verdiği bir grupla ilgili araştırma yazısı yayınladı. Aynı grupla ilgili bir diğer araştırmada, grubun arkasında bir Türk geliştiricisi olduğu atfı yapıldı.
Slovakya merkezli siber güvenlik şirketi Eset tarafından, en az 2020 yılından bu yana aktif olduğunu düşündüğü “CosmicBeetle” adı verilen fidye grubuna ait şifreleme varyantlarını analiz ettikten sonra grubun fidye yazılımı dünyasında “olgunlaşmamış” bir oyuncu olarak değerlendirildiğini belirtti. Bu tehdit aktörünün ScHackTool, ScInstaller, ScService ve ScPatcher’dan oluşan ve genellikle Spacecolon olarak adlandırılan Delphi kullanılarak oluşturulmuş özel araçlar kullandığı belirtildi.
Araştırmacılar, 2023 yılının Ağustos ayında ScRansom adı verilen özel bir şifreleme yazılımını tespit etmişler ve bunun CosmicBeetle ile ilişkili olduğuna yüksek oranda inandıklarını belirtiyorlar. CosmicBeetle tarafından artık ScRansom adlı fidye yazılımı kullanıldığını ve daha önce kullanılan Scarab adlı fidye yazılımının yerini aldığına inanıyorlar.
ScRansom ile ilgili varyantların Mart 2023’in sonlarına doğru ortaya çıkmasına karşın Ağustos 2023’e kadar saldırılarda kullanılmadığı belirtiliyor. Araştırmacılar, buna karşın grubun Haziran 2023’de bu varyantı kullanarak Hindistan’daki bir üretim şirketini hedef almalarına karşın başarısız olduklarını da tespit etmiş. Grup tarafından çoğunlukla hukuk, eğitim, sağlık, ilaç, finans ve teknoloji sektörlerindeki şirketler hedef alınıyor. Grubun, 2024 yılında da aktif olmaya devam ettiğini ve özel fidye yazılımı ScRansom’ı sürekli olarak geliştirip dağıttığı gözlemlenmiş.
Yapılan analizlerde “CosmicBeetle” grubunun özellikle LockBit grubunu taklit ettiği görülmüş. Bununla ilgili ilk örnekler kullanılan varyantlarda tespit edilmiş ve grubun kendi şifreleme aracındaki kusurları örtebilmek için sızdırılan LockBit oluşturucularını kullanmışlar. İkinci olarak bu LockBit oluşturucusunu, Türkçe dilinde yazılmış bir fidye notuyla özel örneklerini oluşturmak için kullanmışlar. Üçüncü olarak, sızıntı sitelerinde bir kaç farklı değişiklik yapmasına karşın neredeyse LockBit’in birebir kopyasını oluşturmuşlar. Araştırmacılar henüz net bir kanıt bulamasa da bu grubun, son zamanlarda aktifliği ile dikkat çeken RansomHub ile birlikte çalıştığına inanıyorlar.
Polonyalı araştırmacı, Türk geliştiriciye ait Vovosoft’a atıfta bulundu
Zaufana Trzencia Strona sitesinde, Polonyalı bir analist tarafından “CosmicBeetle” ile ilgili başka bir araştırma yazısı yayınlandı. Yapılan araştırmalar sonucunda, bir Türk yazılım geliştiricisine ait olan Vovosoft anahtarıyla oluşturulan ve imzalanan çeşitli yardımcı uygulamalara ulaşıldı. Polonyalı analist, yazılımların anahtarları ve imzalarından dolayı Vovosoft’ta atıfta bulunurken Eset araştırmacıları biraz daha farklı düşünüyor.
Yapılan analizlerde, Stack Overflow’da 13 yıl önce sorulan bir soruya gelen cevaplardaki algoritma kodunun bir kısmında yada tamamına varyantların birinde rastlanılmış. Algoritma ilgili bir betiği araştırmaya başlayınca, Stack Overflow’da “maxfax” isimli bir kullanıcının sorusuna ve ona yanıt veren “MohsenB” adlı kullanıcılara rastlamış. “MohsenB” adlı kullanıcının cevabındaki bir yada birden fazla kısmın kullanıldığını fark etmişler.
Poloyalı araştırmacı, “maxfax” adlı kullanıcı ile Vovosoft sahibin aynı kişi olabilir mi tarzında soru sorarak yazısını sonlandırmış. Ancak, bu kullanıcının en son aktif olduğu zamanın 11 yıldan fazla bir süre olduğunu da belirtmek gerekir.
Eset araştırmacıları bu atıfın yanlış olduğunu düşünüyor!
Eset araştırmacıları, ScRansom’un CosmicBeetle’ın özel araç setine en son eklenen şey olduğuna yüksek oranda inandıklarını belirtiyor. ESET telemetrisi, ScRansom dağıtımının CosmicBeetle tarafından yaygın olarak kullanılan diğer araçlarla çakıştığı birkaç vakaya da rastlamış. ScRansom ile CosmicBeetle araçları hakkında yapılan karşılaştırmalarda çok fazla kod benzerliğinin yanı sıra tercih edilen programlama dili, şifreleme için kullanılan kütüphane, Türkçe dilinde aynı kod dizeleri, dizelerde iki noktadan sonra boşluk kullanılması ve ScHackTool ile GUI benzerlikleri yer alıyor.
Zaufana Trzencia Strona’daki yapılan atıfın aksine Eset araştırmacıları, VovoSoft tarafından geliştirilen ve düzgün bir şekilde imzalanmış bir çok ürününden biri olan Disk Monitor Gadget adlı aracın kötü amaçlı yamalı bir sürümü olduğunu belirtiyor. Araştırmacılar, meşru bir sürümden dijital imzanın kopyalanıp, oluşturulmuş kötü amaçlı yamalı bir sürüme eklendiğini belirtiyor ve böylece meşru bir imzaya sahipmiş gibi gözükmüş.
Araştırmacıların ilginç olarak belirttiği kısım ise ScHackTool’un şifreleme şeması VovoSoft’a ait olan Disk Monitor Gadget’da da kullanılıyor. Zaufana Trzencia Strona’daki araştırmacının aksine Eset, “MohsenB”nin 2012’den bu yana Stack Overflow’u aktif olarak kulllandığından ve profil resimlerine bakılırsa VovoSoft geliştiricisi olmadığından dolayı bu algoritmanın VovoSoft tarafından uyarlanmış olması ve yıllar sonra CosmicBeetle’ın buna rastlayıp ScHackTool için kullanmış olmasının muhtemel seçeneklerden biri olarak görüyor.