Ukrayna yine siber saldırı altında

Sonraki hikaye

Truva atı Potao, Ukrayna’yi hedef aldı

 

Ukrayna yine siber saldırı altında

 

Daha önce Ukrayna ve Polonya’daki devlet kuruluşlarını hedef alan BlackEnergy siber saldırısını tespit eden ESET, bu kez de Ukrayna hükümeti, askeri kuruluşları ve çeşitli Ukrayna haber ajanslarına odaklanan bir truva atını tespit etti. Potao adı verilen bu truva atı, bir casusluk yazılımı işlevi görüyor.

 

Global antivirüs yazılım kuruluşu ESET,Operasyon Potao Express adını verdiği ve “Win32/Potao” adıyla etiketlenen zararlı yazılım yoluyla gerçekleşen bir siber saldırıyı tespit ve analiz etti. Buna göre Win32/Potao, casusluk yazılımlarının bir örneği olarak öne çıkıyor. Potao ailesi, parola ve hassas bilgileri çalan tipik bir siber casusluk truva atı olarak işlev görüyor. Yazılım en fazla Ukrayna’da olmak üzere ağırlıklı olarak Rusya, Gürcistan ve Belarus gibi Bağımsız Devletler Topluluğu ülkelerinde algılandı.

 

Bilgi elde etmeyi hedefliyor

ESET’in geçen yıl tespit etiği BlackEnergy saldırısı gibi Potao da Ukrayna hükümeti, askeri kuruluşlarını ve bazı Ukrayna haber ajanslarını hedef aldı. Aynı zamanda, Rusya ve Ukrayna’da bulunan popüler bir mali piramit şemasının üyelerine de casusluk için kullanıldığı ortaya çıktı.

Konuyla ilgili bilgi paylaşan ESET Kıdemli Güvenlik Araştırmacısı Robert Lipovsky, “Soruşturmamız, Potao’nun şu anda üretilmeyen popüler Rus açık kaynak kodlu şifreleme yazılımı TrueCrypt ile bağlantısı olduğunu ortaya çıkarmıştır” açıklamasını yaptı.

ESET araştırmacılarına göre Potao, sadece enfekte olmuş şifreleme yazılımı gibi değil aynı zamanda bazı özel durumlarda backdoor yani arka kapılar açmak için C&C sunucusu olarak da görev yapıyor.

Robert Lipovsky’nin ayrıntılı incelemesini şu linkten takip edebilirsiniz:

https://www.welivesecurity.com/2015/07/30/operation-potao-express

 

ESET ayrıca Potao ile ilgili ayrıntılı bir analiz de (White Paper) sunuyor:

www.welivesecurity.com/wp-content/uploads/2015/07/Operation-Potao-Express_final_v2.pdf