ESET, RoundPress operasyonu ortaya çıkardı
Siber güvenlik şirketi ESET, RoundPress adını verdiği yeni bir siber casusluk operasyonunu ortaya çıkardığını duyurdu. Operasyon, özellikle webmail sunucularını hedef alan ve XSS (Cross-Site Scripting) açıklarını kullanan saldırılara dayanıyor. ESET’e göre saldırı, hedef kişilere gönderilen sahte e-postalar yoluyla başlatılıyor ve bu e-postalar aracılığıyla webmail sistemlerine kötü amaçlı JavaScript kodları enjekte ediliyor.
Saldırının hedefinde Roundcube, Horde, MDaemon ve Zimbra gibi yaygın kullanılan webmail yazılımları bulunuyor. Faaliyetlerden en çok etkilenen kurumların Doğu Avrupa’daki devlet ve savunma kurumları olduğu bildiriliyor. Ancak ESET, Afrika, Avrupa ve Güney Amerika’daki bazı hükümet kurumlarının da hedef alındığını tespit etti.
ESET, operasyonun arkasında, daha önce Fancy Bear, APT28 veya Sednit olarak bilinen Rusya bağlantılı bir siber casusluk grubunun olduğunu düşünüyor. Bu grubun daha önce Ukrayna, Bulgaristan ve Romanya’daki savunma sanayiiyle ilgili kurumları hedef aldığına dikkat çekiliyor. Özellikle Ukrayna ile bağlantılı savunma şirketlerinin, Sovyet döneminden kalma silahları üretmesi nedeniyle hedef haline gelmiş olabileceği belirtiliyor.
ESET araştırmacısı Matthieu Faou, saldırganların farklı webmail yazılımlarında bilinen ve zaman içinde yamanmış XSS açıklarını kullandıklarını, bazı durumlarda ise sıfır gün (zero-day) açıklarından yararlandıklarını ifade etti. Açıklamaya göre, saldırganlar kullanıcıları e-postalarındaki bağlantılara tıklamaya ikna etmek için sahte haber içeriklerinden yararlanıyor. Örnek olarak “SBU, Kharkiv’de düşman askeri istihbaratı için çalışan bir bankacıyı tutukladı” ve “Putin, Trump’ın ikili ilişkilerde Rus koşullarını kabul etmesini istiyor” başlıklı e-postalar gösteriliyor.
Saldırıların amacı, hedef kullanıcıların e-posta hesaplarına erişim sağlayarak; e-posta mesajları, kişi listeleri, oturum bilgileri ve kimlik bilgileri gibi verileri toplamak. Özellikle MDaemon platformunu hedef alan saldırılar, iki faktörlü kimlik doğrulamayı da baypas edebilecek şekilde tasarlanmış. Bu sayede saldırganlar, ele geçirilen hesaplara üçüncü taraf uygulamalar üzerinden erişim sağlayabiliyor.
Son yıllarda Roundcube ve Zimbra gibi webmail sistemlerinin çeşitli casusluk gruplarının hedefi haline geldiğini belirten ESET, birçok kuruluşun bu sunucuları güncel tutmaması nedeniyle bu tür saldırılara açık hale geldiğini vurguladı.
Sednit grubu, siber güvenlik dünyasında uzun süredir bilinen bir yapı. ABD Adalet Bakanlığı, grubu 2016 ABD seçimlerinde Demokratik Ulusal Komite’nin hacklenmesi olayında sorumlulardan biri olarak tanımlamıştı. Grup, aynı zamanda TV5Monde yayın ağına yapılan saldırı ve Dünya Anti-Doping Ajansı (WADA) e-posta sızıntısı gibi birçok önemli siber olayla ilişkilendiriliyor.
Video: Samsung Galaxy S25 ile ilk karşılaşma
Yeni videolar için buradan abone olun!
