ESET araştırmacıları, ScarCruft APT kümesi tarafından kullanılan ve daha evvel bildirilmemiş karmaşık bir art kapıyı (backdoor) tahlil etti.
ESET’in Dolphin ismini verdiği art kapı, şoförleri ve taşınabilir birçok aygıtı izleme, ilgilendiği evrakları dışarı sızdırma, tuş kaydetme, ekran imajları alma ve tarayıcılardan kimlik bilgilerini çalma dahil olmak üzere birçok casusluk yeteneğine sahip. Dolphin, Komuta ve Denetim bağlantısı için bulut depolama hizmetlerini, bilhassa Google Drive’ı berbata kullanıyor.
APT37 yahut Reaper olarak da bilinen ScarCruft, 2012’den beri faaliyet gösteren bir casusluk kümesi. Öncelikli maksadı Güney Kore olsa da başka Asya ülkeleri de maksatları ortasında yer alıyor. ScarCruft, temel olarak hükümet ve askeri kuruluşlarla, Kuzey Kore’nin çıkarlarıyla ilişkili çeşitli bölümlerdeki şirketlerle ilgileniyor.
Dolphin art kapısını tahlil eden ESET araştırmacısı Filip Jurčacko bu mevzuda şunları söyledi: “Arka kapı seçilen maksatlara dağıtıldıktan sonra, güvenliği ihlal edilmiş sistemlerin şoförlerinde farklı belgeler arıyor ve bulduğu evrakları Google Drive’a sızdırıyor. Bu art kapının evvelki sürümleri, kurbanların Google ve Gmail hesaplarının ayarlarını değiştirerek bu hesapların güvenliklerini zayıflatan ve bu sayede muhtemelen tehdit aktörlerinin Gmail hesaplarına erişimini sürdürebilmesine imkan tanıyan sıra dışı bir yeteneğe sahip.”
Dolphin art kapısı, işletim sistemi sürümü, berbat gayeli yazılım sürümü, yüklü güvenlik eserleri listesi, kullanıcı ismi ve bilgisayar ismi dahil olmak üzere hedeflenen makine hakkında temel bilgileri topluyor. Varsayılan olarak, Dolphin tüm sabit (HDD) ve sabit olmayan şoförleri (USB’ler) tarıyor, dizin listeleri oluşturuyor ve belgeleri uzantılarına nazaran dışarı sızdırıyor. Ayraca Dolphin, Windows Portable Device API aracılığıyla akıllı telefonlar üzere taşınabilir aygıtları da tarıyor. Art kapı, tarayıcılardan kimlik bilgilerini çalmanın yanı sıra tuş kaydetme ve ekran imajları alma yeteneğine sahip.
