Çoğu insan siber silahları düşündüğünde, gizli hükümet laboratuvarlarında inşa edilmiş araçları hayal eder. Ancak günümüzün en güçlü dijital silahlarından bazıları devlet projesi olarak başlamadı. Suç yeraltında doğdular.
Bunun en açık örneklerinden biri RomCom’dur. kötü amaçlı yazılım Hayata nispeten sıradan bir uzaktan erişim truva atı (RAT) olarak başlayan ve o zamandan beri hem ulus devletlerin hem de kâr odaklı saldırganların kullandığı esnek, modüler bir ekosisteme dönüştü.
Rakip Araştırmalardan Sorumlu Başkan Yardımcısı, Attackiq.
Hikayesi, casusluk ile organize suç arasındaki çizgilerin nasıl bulanıklaştığını ve neden dünya genelinde bilgi paylaşımının yapıldığını ortaya koyuyor. siber güvenlik topluluk hiç bu kadar eleştirel olmamıştı.
Arka kapıdan savaş alanına
RomCom ilk olarak 2022’de, popüler uygulamaların sahte versiyonları (klasik sosyal mühendislik yemi) aracılığıyla dağıtılan bir arka kapı olarak ortaya çıktı. Birçok RAT gibi ekran görüntüleri alabilir, temel sistem bilgilerini toplayabilir ve uzaktan kontrol kurabilir. Araştırmacılar onun nerede ortaya çıktığını fark edene kadar kayda değer bir şey yoktu.
İlk kampanyalar Ukrayna’ya ve NATO üyesi ülkelere odaklandı ve hükümet kurumlarını, insani grupları ve savunmayla bağlantılı kuruluşları hedef aldı. Başlangıçta ticari bir ürün gibi görünen RAT, artık açık jeopolitik imalara sahip daha geniş bir istihbarat operasyonunun parçasıydı.
AttackIQ daha derine indi ve RomCom’un altyapısı ile arasında örtüşmeler buldu. fidye yazılımı Hem casusluk hem de finansal motivasyonlu cephelerde çalışan tek bir aktörün veya en azından paylaşılan bir araç takımının önerildiği operasyonlar.
Kârdan politikaya geçiş, RomCom’un dönüşümünün başlangıcı oldu.
Şekil değiştiren bir tehdit
Birkaç yıl boyunca RomCom, en az beş farklı versiyona geçiş yaparak birden fazla yeniden yazımdan geçti. Her nesil yeni gelişmişlik, gizlilik ve modülerlik düzeyleri ekledi.
– İlk sürümler (1.0–2.0), keşif ve kalıcılığa odaklanıyordu ve virüslü sistemlerde gizli kalmak için ağırlıklı olarak Windows Bileşen Nesne Modeli’nin (COM) ele geçirilmesine dayanıyordu.
– Orta aşama varyantları (3.0–4.0), operatörlerin casusluk, kimlik bilgisi hırsızlığı veya yanal hareket için bileşenleri karıştırıp eşleştirmesine olanak tanıyan tamamen modüler bir mimari sundu.
– En son sürüm (5.0), statik algılamayı atlatmak ve platformlar arası işlemleri desteklemek için C++, Go, Rust ve Lua genelinde çoklu dil geliştirmeyi kullanarak bu evrimi daha da ileriye taşıyor.
Artık şifrelenmiş kanallar üzerinden iletişim kurabiliyor, kapsamlı keşif gerçekleştirebiliyor ve bellek içi yürütme ve kayıt defteri tabanlı veriler aracılığıyla gizliliği koruyabiliyor.
Başka bir deyişle, RomCom artık tek bir kötü amaçlı yazılım parçası gibi davranmıyor. Kimin kullandığına bağlı olarak casusluk, fidye yazılımı veya yıkıcı saldırılar için özelleştirilebilen bir çerçeve gibi davranır.
Onu bu kadar tehlikeli kılan da bu uyum yeteneğidir. Bir tehdit modülerliğe ulaştığında, dünün casusluk aracını yarının fidye yazılımı yükleyicisine dönüştürerek sonsuz şekilde yeniden kullanılabilir.
Suçun devlet yönetimiyle buluştuğu yer
RomCom’un gelişimi aynı zamanda suç ve ulus-devlet ekosistemleri arasında giderek artan bir yakınlaşmanın altını çiziyor. Kanıtlar, Storm-0978, UAT-5647 ve Void Rabisu gibi isimler altında çeşitli araştırma ekipleri tarafından takip edilen operatörlerini Cuba, Industrial Spy ve Underground gibi fidye yazılımı aileleriyle ilişkilendiriyor.
Kod çakışmaları, altyapı Saldırıların yeniden kullanılması ve sıralanması, aynı çekirdek teknolojinin hem veri hırsızlığını hem de siber casusluğu desteklediği hibrit bir operasyonu işaret ediyor.
Bu ikili amaç önemlidir. Bir hükümet bakanlığından hassas verileri çalan bir kampanya istihbarat amacına hizmet edebilirken, aynı araç setini kurumsal sistemleri şifrelemek için kullanan bir kampanya tamamen kâr amaçlı olabilir. Temel altyapı aynı kalıyor.
Bu tür “çift kullanımlı” kötü amaçlı yazılımlar, geleneksel tehdit modellemesine meydan okuyor. Bir aileyi suçlu ya da devlet destekli olarak etiketlemek artık doğru değil, çünkü pek çok aile artık ikisi arasındaki gri bölgede bulunuyor. Savunmacılar için bu, bir gün casus, ertesi gün gaspçı gibi davranan tehditlere hazırlıklı olmak anlamına gelir.
İşbirliğine dayalı zeka
RomCom’un gelişimini izleme yeteneği herhangi bir şirketten veya hükümetten gelmedi. Bu, küresel tehdit istihbaratı topluluğunun kolektif çabasının bir sonucuydu. Bağımsız araştırmacılar, kamu kurumları ve özel laboratuvarlar birkaç yıl boyunca kod örneklerini, davranış göstergelerini ve bağlantı kurulduğunda operasyonel tablonun tamamını ortaya çıkaran olay verilerini paylaştı.
Bu sektörler arası şeffaflık, parçalanmış gözlemleri eyleme dönüştürülebilir istihbarata dönüştürdü. Bu paylaşılan veri kümeleri olmadan RomCom, casusluk ve fidye yazılımlarını kapsayan koordineli, çok yıllı bir operasyon yerine hâlâ bir avuç alakasız kampanya olarak görünebilir.
Bu neyin açık olduğunun bir kanıtı işbirliği başarabilir. Siber güvenlik topluluğu genellikle rekabetçi silolarda çalışır, ancak tehdit verileri satıcılar arasında, sınırların ötesinde ve kamuya açık raporlama yoluyla serbestçe hareket ettiğinde kolektif görünürlük artar.
Bu görünürlük artık her zamankinden daha hayati önem taşıyor. RomCom gibi kötü amaçlı yazılım ekosistemleri yeniden kullanımla başarılı olur: Aynı yükleyici veya şifreleme modülü birkaç gün içinde yeni aktörler tarafından yeniden oluşturulabilir ve yeniden konuşlandırılabilir. Savunucuların yanıt verebilecek kadar hızlı bir şekilde bu noktaları birleştirmesi ancak paylaşılan istihbarat yoluyla mümkün olabilir.
Defans oyuncuları için dersler
RomCom’un gidişatı, giderek bulanıklaşan tehdit ortamında yön bulmaya çalışan güvenlik ekiplerine çeşitli dersler sunuyor:
1. Davranışsal analizler statik imzalara üstün gelir: Geleneksel uzlaşma göstergeleri (IOC’ler) geçicidir. RomCom gibi araçlar, imza güncellemelerinin yetişemeyeceği kadar hızlı gelişir. Olağandışı COM kayıt defteri manipülasyonu veya kodlanmış HTTP POST trafiği gibi kötü niyetli davranışların tespit edilmesi daha dayanıklı bir savunma sunar.
2. Sürekli doğrulama çok önemlidir: Kuruluşlar, kontrollerinin gelişmiş kötü amaçlı yazılımların kullandığı aynı taktik, teknik ve prosedürlere (TTP’ler) göre nasıl performans gösterdiğini düzenli olarak test etmelidir. Bu davranışları simüle etmek veya taklit etmek, savunmaların beklendiği gibi çalıştığını doğrulamanın tek yoludur.
3. Tehdit istihbaratı operasyonel hale getirilmelidir: Paylaşılan raporlar, veri kümeleri ve telemetri yalnızca bilgilendirdikleri eylemler kadar değerlidir. Tehdit istihbaratını doğrudan tespit kurallarına, arama sorgularına ve yanıt taktik kitaplarına entegre etmek, bilgiyi korumaya dönüştürür.
4. Suç ve casusluk arasında örtüşme olduğunu varsayalım: Bugün fidye yazılımının, yarın ise siber casusluğun arkasında aynı aktör olabilir. Savunma stratejileri sadece bir tanesine değil, her iki motivasyona yönelik dayanıklılığa odaklanmalıdır.
Sonuç olarak RomCom, savunuculara modern tehdit ortamının akıcı, uyarlanabilir ve birbirine bağlı olduğunu hatırlatır. Saldırganlar her zamankinden daha fazla iş birliği yapıyor, bu nedenle savunucuların da aynısını yapması gerekiyor.
Siber çatışmanın yeni şekli
RomCom’un basit bir truva atından çok yönlü bir siber silaha olan yolculuğu daha geniş bir gerçeği yansıtıyor: Modern kötü amaçlı yazılım artık tek bir araç değil, yaşayan bir ekosistemdir. Modüler tasarımı, hem ulus devletlerin hem de suç gruplarının casusluk, fidye yazılımı ve aksaklık kampanyalarında aynı yetenekleri yeniden kullanmasına, yeniden markalamasına ve yeniden konuşlandırmasına olanak tanır.
Savunmacılar için bu uyum yeteneği karşılığında aynı şeyi gerektirir. RomCom’un tüm kapsamını ortaya çıkarma çabası, araştırmacıların, hükümetlerin ve özel şirketlerin istihbaratı paylaşıp savunmaları birlikte doğrulamasıyla nelerin mümkün olduğunu gösteriyor.
Kötü amaçlı yazılımların İsviçre çakısı gibi davrandığı bir çağda tek etkili karşı önlem, paylaşılan bilgiyi ortak güce dönüştüren birleşik, istihbarat odaklı bir savunmadır.