Turla adıyla bilinen Rus siber casusluk çetesinin, kendi arka kapı araçlarını Ukrayna’daki hedeflerine ulaşmak amacıyla on yıllık bir kötü amaçlı yazılım tarafından kullanılan siber saldırı altyapısını kullandığı belirtildi.

Demir Avcısı, Krypton, Uroburos, Venemous Bear ve Waterbug adlarıyla da tanınan Turla, çok sayıda özel kötü amaçlı yazılım kullanarak öncelikle hükümet, diplomatik ve askeri kuruluşları hedef alan bir siber saldırgan çetesi olarak anılıyor.

Rusya’nın siber saldırılarının başlamasından bu yana ülkede bulunan varlıkları hedef alan çetenin, genellikle oltalama saldırılarıyla kendini ilişkilendirdiği biliniyor. Mandiant araştırmacıları, ‘’UNC4210 takma adıyla izlenen çete, süresi dolmuş en az 3 ANDROMEDA komuta ve kontrol alanını yeniden kaydetti ve kurbanların KOPILUWAK ve QUIETCANARY’yi seçerek konuşlandırmak için profillerini Eylül 2022’de çıkarmaya başladı.’’ ifadelerini kullandılar. Ayrıca Mandiant, Turla’nın kötü amaçlı yazılım dağıtım mekanizması olarak eski virüsleri gizlice kullandığını, ANDROMEDA’nın virüslü USB anahtarları aracılığıyla yayılması gerçeğinden faydalandığını da söyledi.

Uzmanlar, ‘’Eski ANDROMEDA kötü amaçlı yazılımı, güvenliği ihlal edilmiş USB cihazlarından yayılmaya devam ettikçe, bu yeniden kaydedilen alanlar, yeni tehdit aktörleri kontrolü ele geçirip kurbanlara yeni kötü amaçlı yazılımlar sunabileceği için risk oluşturuyor. Geniş çapta dağıtılan, malı amaçlı kötü amaçlı yazılımlar tarafından kullanılan, süresi dolmuş etki alanlarını talep etmeye yönelik kötü amaçlı yazılımların ve altyapının, çok çeşitli uyarıları tetikleyen savunucular tarafından gözden kaçma olasılığı daha yüksek olabilir.’’ dedi.

Google Tehdit Analizi Grubu (TAG), Turla’nın Ukrayna yanlısı bir tutum izlediğini, bu anlamda Rus sitelerine DDoS saldırıları düzenlediğinin altını çizdi.