Kaspersky’nin son yayınladığı rapora göre, Tomiris adlı arka kapı (backdoor) zararlısını geliştiren hacker grubu, Orta Asya’da istihbarat toplamak amacıyla yeni siber saldırılar düzenliyor.
Tomiris özellikle hükümetleri ve diplomatik kuruluşları hedef alarak, iç yazışmaları ve gizli belgeleri çalmayı hedefliyor. Grup 2021’de ilk kez ortaya çıktığında, SolarWinds saldırısının faili olarak bilinen Rus devlet destekli hacker grubu Nobelium (APT29) ile ilişkili olduğu düşünülüyordu.
Tomiris backdoor ile Turla grubuna atfedilen Kazuar adlı başka bir zararlı yazılım arasında da benzerlikler bulunuyor. Grubun düzenlediği hedefli kimlik avı saldırıları, tekrar tekrar kullanılan ve farklı dillerle yazılmış zararlılar içeriyor.
Grup tarafından kullanılan özel zararlı yazılımlar; “loader”, “backdoor” ve “stealer” olmak üzere üç kategoriye ayrılıyor:
- Telemiris: Telegram’ı komuta ve kontrol (C2) kanalı olarak kullanan Python tabanlı bir backdoor.
- Roopy: 40-80 dakikada bir kritik ve ilgi çekici olabilecek dosyaları toplayıp uzak bir sunucuya göndermek üzere tasarlanmış Pascal tabanlı bir stealer.
- JLORAT: Sistem bilgilerini toplayan, C2 sunucusu tarafından verilen komutları çalıştıran, dosyaları indirip yükleyen ve ekran görüntülerini yakalayan Rust ile yazılmış bir başka stealer.
Ancak Turla ve Tomiris arasında iddia edilen olası bağlantılara rağmen, Tomiris’in hedefleri ve çalışma şekline bakıldığında pek alakaları yokmuş gibi gözüküyor. Bu da Tomiris’in Rusya destekli hacker grupları ile ilgisinin olmayabileceği ve bunun bir çeşit “false flag” (istihbarat terminolojisinde hedef şaşırtmayı ifade eden bir kavram) operasyonu olması ihtimalini akıllara getiriyor
Öte yandan, Turla ve Tomiris’in belirli operasyonlarda işbirliği yaptığı veya her iki aktörün de Moskova merkezli bir IT sözleşmeli firması olan NTC Vulkan tarafından sağlanan araçları kullandığı düşünülüyor.