admin Kaspersky’nin son yayınladığı rapora nazaran, Tomiris isimli art kapı (backdoor) zararlısını geliştiren hacker kümesi, Orta Asya’da istihbarat toplamak hedefiyle yeni siber akınlar düzenliyor.
Tomiris bilhassa hükümetleri ve diplomatik kuruluşları maksat alarak, iç yazışmaları ve bilinmeyen evrakları çalmayı hedefliyor. Küme 2021’de birinci sefer ortaya çıktığında, SolarWinds saldırısının faili olarak bilinen Rus devlet takviyeli hacker kümesi Nobelium (APT29) ile alakalı olduğu düşünülüyordu.
Tomiris backdoor ile Cinsle kümesine atfedilen Kazuar isimli öbür bir ziyanlı yazılım ortasında da benzerlikler bulunuyor. Kümenin düzenlediği maksatlı kimlik avı taarruzları, tekrar tekrar kullanılan ve farklı lisanlarla yazılmış zararlılar içeriyor.
Grup tarafından kullanılan özel ziyanlı yazılımlar; “loader”, “backdoor” ve “stealer” olmak üzere üç kategoriye ayrılıyor:
- Telemiris: Telegram’ı komuta ve denetim (C2) kanalı olarak kullanan Python tabanlı bir backdoor.
- Roopy: 40-80 dakikada bir kritik ve ilgi alımlı olabilecek evrakları toplayıp uzak bir sunucuya göndermek üzere tasarlanmış Pascal tabanlı bir stealer.
- JLORAT: Sistem bilgilerini toplayan, C2 sunucusu tarafından verilen komutları çalıştıran, belgeleri indirip yükleyen ve ekran manzaralarını yakalayan Rust ile yazılmış bir öteki stealer.
Ancak Cinsle ve Tomiris ortasında tez edilen mümkün irtibatlara karşın, Tomiris’in gayeleri ve çalışma formuna bakıldığında pek alakaları yokmuş üzere gözüküyor. Bu da Tomiris’in Rusya dayanaklı hacker kümeleri ile ilgisinin olmayabileceği ve bunun bir çeşit “false flag” (istihbarat terminolojisinde maksat şaşırtmayı söz eden bir kavram) operasyonu olması ihtimalini akıllara getiriyor
Öte yandan, Tıpla ve Tomiris’in belli operasyonlarda işbirliği yaptığı yahut her iki aktörün de Moskova merkezli bir IT kontratlı firması olan NTC Vulkan tarafından sağlanan araçları kullandığı düşünülüyor.
Ratatan, Kickstarter’da Gayesinin 10 Katı Fon Topladı