Güvenlik araştırmacıları, popüler bir VPN hizmetini, insanların bilgisayarlarını onların bilgisi dışında yerleşik proxy sunuculara dönüştürmek için yıllar harcamış olabilecek büyük bir operasyonla ilişkilendirdi.
soruşturma başladıpopüler 7-Zip yazılımının sahte bir sürümüyle. Ancak araştırmacılar daha derine indikçe çok daha büyük bir şeyi ortaya çıkardılar. Hepsi aynı operasyona ait gibi görünen yüzlerce bağlantılı web sitesi, paylaşılan sistem ve kötü amaçlı yazılım örneği buldular.
Araştırmacılar artık kampanyayı Lurking Lizard adı altında takip ediyor. Grubun en az 2022'den beri aktif olduğuna inanıyorlar. Bulgulara göre WireVPN, operasyonla bağlantısı olan en son halka açık marka.
Ekip, grubun planın neredeyse her bölümünü kontrol ettiğini söylüyor. Sahte yazılım yayıyor, cihazlara bulaşıyor ve daha sonra bu virüslü internet bağlantılarına yerleşik bir proxy ağı üzerinden erişim satıyor.
Araştırmacılar sahte yazılım kampanyasını WireVPN'e bağladı
Soruşturma, araştırmacıların 7zip[.]com alanı aracılığıyla dağıtılan sahte bir yükleyiciyi incelemesinin ardından başladı. Adres gerçek 7-Zip web sitesiyle neredeyse aynı görünüyordu. Bu yazım hatası hilesidir. İnsanları yanlış web sitesinden yazılım indirmeye yönlendirir.
Sahte web siteleri küresel bir sorundur. Çok uzun zaman önce değil,Alice Operasyonu durdurulduUluslararası polisin koordineli baskısıyla 373.000 sahte karanlık ağ sitesi.
Araştırmacılar tek bir kötü amaçlı yazılım kampanyası bulmak yerine çok daha büyük bir ağı ortaya çıkardı. Araştırmaları, DNS kayıtlarını, WHOIS bilgilerini, paylaşılan API'leri, kötü amaçlı yazılım örneklerini ve ortak arka uç sistemlerini kullanarak 230'dan fazla alanı birbirine bağladı. Bu bağlantılar yıllardır büyümeye devam eden tek bir operasyona işaret ediyordu.
Araştırmacılar ayrıca içinde saklı önemli bir ipucu da keşfettiler.birkaç kötü amaçlı yazılım örneği. Kötü amaçlı programlar sabit kodlanmış bir IPLogger adresi içeriyordu. Bu tek bilgi parçası, araştırmacıların birkaç eski kampanyayı birbirine bağlamasına yardımcı oldu.
Araştırmacılara göre aynı altyapı, sahte TikTok indiricilerinde, sahte YouTube indiricilerinde, daha önceki VPN kampanyalarında ve mevcut WireVPN operasyonunda da ortaya çıktı. Bu bulguların neredeyse dört yıllık faaliyeti tek bir grup altında birleştirdiğine inanıyorlar.
Araştırmacılar ayrıca başka bir endişe verici modeli de fark ettiler. Operasyonun arkasındaki kişiler, iyi bilinen proxy hizmetlerine benzeyen web siteleri oluşturdu. Bu sahte sitelerden bazıları Smartproxy, IPIDEA, IPRoyal ve 911Proxy gibi markaları kopyaladı. Grup aynı zamanda ziyaretçileri bu hizmetlere yönlendirmek için tasarlanmış sahte inceleme web siteleri de işletiyordu.
Windows sürümü, konut proxy etkinliğinin işaretlerini gösteriyor
Araştırmacılar, WireVPN'in test sırasında normal bir VPN gibi davranmadığını söylüyor. Tipik bir VPN, kullanıcının cihazı ile VPN sunucusu arasında güvenli bir tünel oluşturur. WireVPN farklı davrandı. Windows yazılımı, tek bir VPN sunucusuyla iletişim kurmak yerine, WireVPN tarafından kontrol edilen birçok alanla ve ilgisiz birkaç sistemle iletişim kurdu.
Araştırmacılara göre trafik düzeni, etkilenen bilgisayarların diğer insanlara ait internet trafiği için çıkış noktaları olabileceğini gösteriyor. Basit bir ifadeyle, kötü niyetli kişiler birinin internet bağlantısını rızası olmadan kiralayabilir. Windows yazılımı ayrıca kötü amaçlı yazılımlarda yaygın olarak görülen çeşitli eylemleri de gerçekleştirdi.
Araştırmacılar, Windows sistem klasörlerine wire.exe ve upwire.exe adlı dosyaları yüklediğini buldu. Ayrıca netsh kullanarak Windows güvenlik duvarı istisnaları oluşturdu, yeniden başlatmanın ardından etkin kalacak şekilde Windows Kayıt Defteri ayarlarını değiştirdi, sistem bilgilerini topladı ve güvenlik araştırmacılarının onu incelemeye çalışıp çalışmadığını kontrol etti.
Ekip, bu yöntemlerin daha önceki sahte 7-Zip kampanyasında kullanılan yöntemlere çok benzediğini belirtti. Daha önceki kötü amaçlı yazılım, Hero.exe ve uphero.exe adlı neredeyse aynı dosyaları yükledi; bu da her iki kampanyanın da aynı geliştiricilerden gelmiş olabileceğini düşündürüyor.
Windows, macOS, Android ve iOS'ta mevcuttur. Windows sürümü, WEILAI NETWORK TECHNOLOGY CO., LIMITED'a verilmiş geçerli bir kod imzalama sertifikası taşır. Araştırmacılar ayrıca aynı geliştiricinin bir iPhone sürümü yayınladığını da tespit etti. Bu arada, Android sürümü WIRE LTD yayıncı adı altında görünüyor.
Google Play şu anda bir milyondan fazla indirmeyi ve 34.000'den fazla kullanıcı incelemesini listelemektedir. Ancak araştırmacılar bu rakamları bağımsız olarak doğrulamadıklarını ve bu araştırma sırasında Android veya iPhone sürümlerini analiz etmediklerini açıkladı.
Kanıtlar Daha Büyük Bir Operasyona İşaret Ediyor
Araştırmacılar, Lurking Lizard'ın kötü amaçlı yazılım yaymaktan çok daha fazlasını yaptığına inanıyor. Bulgulara göre grup, konut vekilliği işinin tamamını kontrol ediyor gibi görünüyor. İlk önce cihazlara bulaşır. Daha sonra müşterilere erişim satmadan önce bu sistemleri proxy sunucu olarak kullanıyor.
Soruşturma ayrıca çeşitli alan adlarına bağlı WHOIS kayıt kayıtlarını da ortaya çıkardı. Bu kayıtlardan bazıları “Cheng Li” isminin farklı versiyonlarını ve Çin’in Wuhan şehrini işaret eden iletişim bilgilerini içeriyordu. Ancak araştırmacılar, kötü niyetli kişilerin alan adı kayıt kayıtlarını kolaylıkla taklit edebileceğini vurguladı. Bu ayrıntıların tek başına kimin sorumlu olduğunu kanıtlamadığını söylediler.
Bunun yerine kayıt kayıtlarını, paylaşılan altyapı, kötü amaçlı yazılım benzerlikleri, alan adı bağlantıları ve soruşturma sırasında toplanan teknik kanıtlarla birleştirdikten sonra değerlendirmeye ulaştılar. Tüm bu bulgulara dayanarak araştırmacılar, operasyonun muhtemelen Çinli bir tehdit aktörü tarafından yürütüldüğüne inanıyor.
Araştırmacılar ayrıca güvende kalmak için basit tavsiyeler de sundular. VPN'leri, yardımcı programları ve diğer yazılımları yalnızca resmi web sitelerinden indirmenizi önerirler. Saldırganlar genellikle meşru olanlara çok benzeyen alan adlarını kaydettirdiğinden, kullanıcılar herhangi bir şey yüklemeden önce web sitesi adreslerini dikkatlice kontrol etmelidir.
Araştırmacılara göre tek bir yanlış indirme, saldırganların cihaz üzerinde kontrol sahibi olmalarını sağlayabilir. Bu cihaz daha sonra sahibinin bilgisi olmadan çok daha büyük bir ağın parçası haline gelebilir. Bunların hepsi, PrivacySavvy'deki siber güvenlik uzmanlarımızın yılın her günü yapmaya devam ettiği önerilerdir.
WireVPN bulguları ayrıca gizlilik vaat eden yazılımların her zaman güvenilir olmadığının bir başka hatırlatıcısıdır. Güvenlik araçları bile kurulumdan önce dikkatli kontrolleri hak eder. Programları resmi kaynaklardan indirmek, gizli siber suç operasyonlarının bir parçası olmaktan kaçınmanın en kolay yollarından biri olmaya devam ediyor.
