STOCKSTAY Arka Kapı Ortaya Çıktı: Turla, Ukrayna’ya Nasıl Sızıyor?

Siber güvenlik uzmanları, Rusya destekli siber tehdit aktörü Turla’nın Ukrayna’daki kritik devlet ve askeri kurumları hedef alan yeni bir STOCKSTAY arka kapı yazılımı
Bahsi geçen kötü amaçlı yazılım, .NET tabanlı ve Kazuar adlı, Turla’nın 2017’den beri aktif olarak kullandığı diğer bir implant ile önemli kod ve işlevsel benzerlikler taşıyor. STOCKSTAY’in geliştirme faaliyetlerinin Aralık 2022’ye kadar uzandığı düşünülüyor. Peki, bu yeni tehdit siber güvenlik manzarasını nasıl şekillendiriyor?
STOCKSTAY’in Mimari Yapısı ve İşleyişi
STOCKSTAY, Microsoft’un .NET platformunda, Windows Forms çerçevesi kullanılarak geliştirilmiş çok bileşenli bir arka kapıdır. Komuta ve kontrol (C2) sunucusu ile güvenli bir WebSocket bağlantısı üzerinden iletişim kurar; bu iletişim için açık kaynaklı ‘websocket-sharp’ kütüphanesinden faydalanır. Bu mimari, kötü amaçlı yazılıma tespit edilme olasılığını azaltmak için karmaşık bir yapı kazandırıyor.
Siber saldırganlar başlangıçta STOCKSTAY’i bir borsa verisi görüntüleme aracı gibi tasarlamışlardı. Ancak zamanla PDF okuyucular ve hesap makinesi gibi masum programlar kılığına girerek hedeflere sızmaya adapte edildi. Peki, bu tür taktikler neden hala bu kadar etkili olabiliyor? Kötü amaçlı yazılımın farklı bileşenleri, WM_COPYDATA mesajlarının değiş tokuşuna dayalı bir süreçler arası iletişim (IPC) kanalı aracılığıyla birbirleriyle haberleşir.
Bu iletişim mekanizması, modüllerin eşgüdümlü bir şekilde çalışmasına imkan tanırken, aynı zamanda güvenlik ürünleri tarafından tespit edilmesini zorlaştıran bir katman ekliyor. Arka kapının operasyonel verimliliği, bu iç iletişim altyapısının sağlamlığına bağlıdır. Saldırganlar, uzun süredir geliştirdikleri yöntemleri modern tekniklerle harmanlayarak sürekli yeni tehdit vektörleri yaratma peşinde.
Çok Bileşenli Yapı: MARKETMAKER’dan STOCKTRADER’a
STOCKSTAY tehdit çerçevesi, birincil bir indirici bileşen olan STOCKSTAY.MARKETMAKER ile başlar. Bu modül, sisteme sızdıktan sonra üç ana ek modülü yükler ve çalıştırır. Bu modüller, arka kapının tam işlevselliğini sağlayan kilit parçalardır ve her biri belirli görevler için optimize edilmiştir.
- STOCKSTAY.STOCKBROKER: Bu vekil sunucu (proxy) tabanlı tünelleyici, belirtilen uzak bir sunucuya güvenli bir WebSocket bağlantısı kurarak tüm STOCKSTAY paketine ağ iletişim yetenekleri sağlar. Bu, saldırganların hedeflenen ağdan veri çekmesini ve komut göndermesini mümkün kılar.
- STOCKSTAY.STOCKTRADER: Ana arka kapı işlevselliğini taşıyan modüldür. Bilgi toplama yeteneğine sahiptir ve ele geçirilen ana bilgisayarda çeşitli komutları yürütme kapasitesine sahiptir. Bu komutlar arasında dosya işlemleri, sistem bilgisi toplama ve yeni süreçler çalıştırma bulunur.
- STOCKSTAY.STOCKMARKET: Bir orkestratör veya kontrolör görevi görür. Arka kapının yapılandırmasını ayrıştırarak WebSocket sunucusu, zaman aralığı ve çalışmaması gereken günler gibi yürütme seçeneklerini ayarlar. Ayrıca sunucu detaylarını sağlamak ve kurulan WebSocket bağlantısı üzerinden mesaj almak için STOCKSTAY.STOCKBROKER ile, ele geçirilen ana bilgisayarda çalıştırılacak komutları vermek için de STOCKSTAY.STOCKTRADER ile iletişim kurar.
STOCKSTAY.STOCKTRADER’ın desteklediği bazı komutlar, saldırganların sistem üzerindeki geniş kontrolünü gösteriyor:
- Del: Belirtilen dosyaları silme.
- Dir: Belirtilen dizinleri listeleme.
- Get: Belirli uzantılara uyan bir veya daha fazla dosyayı alma.
- MkDir: Bir veya daha fazla dizin oluşturma.
- RmDir: Belirtilen dizinleri silme.
- Image: Cihazın ekran görüntüsünü alma.
- MultyTask: Noktalı virgülle ayrılmış görev listesini aynı anda çalıştırma.
- Put: Cihaza dosya yükleme.
- RegRead: Bir Windows Kayıt Değeri değerini okuma.
- RegDelete: Bir Windows Kayıt Değeri değerini silme.
- RegWrite: Bir Windows Kayıt Değeri değerini ayarlama.
- Run: Yeni bir süreç yürütme.
- Sysinfo: Sistem bilgilerini toplama.
- UnpackArchive: Belirtilen ZIP dosyasını mevcut dizinine çıkarma.
Kazuar Bağlantısı ve Turla’nın Gelişim Stratejisi
STOCKSTAY’in, Turla’nın 2017’den beri kullandığı Kazuar implantıyla önemli kod ve işlevsel örtüşmeler sergilemesi dikkat çekicidir. Bu durum, Turla’nın siber operasyonlarında modüler bir yaklaşım benimsediğini ve mevcut kötü amaçlı yazılım altyapısını sürekli geliştirdiğini gösteriyor. Kazuar’ın geçmişteki başarısı göz önüne alındığında, STOCKSTAY’in de uzun ömürlü ve evrimleşmeye açık bir tehdit olması şaşırtıcı olmaz. Acaba bu durum, tehdit aktörlerinin eski yeteneklerini yeni tekniklerle harmanlama eğiliminin bir göstergesi mi?
Turla, Rusya destekli en gelişmiş siber casusluk gruplarından biri olarak kabul edilir. Bu grup, NATO ülkeleri, Batı Avrupa hükümetleri ve Kafkasya’daki hedeflere yönelik operasyonlarıyla tanınır. STOCKSTAY’in Ukrayna’ya ve İtalyan dış politikasına ilgi duyan kurumlara karşı konuşlandırılması, grubun stratejik hedeflerinin genişliğini ve sürekli değişen jeopolitik duruma nasıl adapte olduğunu yansıtır. Türkiye’deki kurumlar da bu tür gelişmeleri yakından takip etmeli; zira bölgesel dinamikler, siber tehdit aktörlerinin hedeflerini kolayca genişletebileceğini gösteriyor.
Siber güvenlik uzmanlarının tespiti, Turla’nın eski ve yeni tehdit bileşenlerini ustaca bir araya getirerek sürekli gelişen bir siber casusluk altyapısı kurduğuna işaret ediyor. Bu durum, savunma mekanizmalarının sürekli tetikte olmasını zorunlu kılıyor.
STOCKSTAY’in ortaya çıkışı, bu siber casusluk grubunun yeni tehditler geliştirme ve bunları hızla operasyonel hale getirme konusundaki kararlılığını kanıtlıyor. Aralık 2022’de başlayan geliştirme süreci, nispeten kısa bir zaman diliminde karmaşık bir arka kapının nasıl oluşturulabildiğini ortaya koymaktadır. Bu hızlı adaptasyon yeteneği, Turla’nın neden bu kadar tehlikeli bir aktör olduğunu da açıklıyor.
STOCKSTAY Arka Kapı Tehlikesi: Şimdi Ne Olacak?
STOCKSTAY arka kapı yazılımının keşfi, hedef alınan kuruluşlar için ciddi bir uyarı niteliğindedir. Bu tür gelişmiş tehditler, hassas verilerin çalınmasına, operasyonel aksaklıklara ve ulusal güvenliğin tehlikeye atılmasına neden olabilir. Kurumlar, ağlarındaki bu tür arka kapıların varlığını tespit etmek ve etkisiz hale getirmek için proaktif adımlar atmak zorundadır.
Araştırmacılar, kurban odaklı STOCKSTAY WebSocket sunucu kontrolcüsünün Python uygulamasına ait genel erişimli bir GitHub deposu (“ChikenFresh/google-ai-labs-it”) tespit ettiler. Bu, siber güvenlik topluluğuna tehdidin nasıl çalıştığına dair değerli bilgiler sunuyor ve savunma mekanizmalarının geliştirilmesine yardımcı olabilir. Ancak bu tür bir kodun açık kaynak olması, potansiyel kötü niyetli aktörlerin de bu bilgiyi kendi saldırılarını geliştirmek için kullanma riskini barındırıyor.
Peki, bu durumda kuruluşlar ne yapmalı? Öncelikle, ağ trafiği üzerinde sürekli ve derinlemesine izleme yapılmalı, anormal WebSocket bağlantıları veya WM_COPYDATA mesaj trafiği acilen incelenmelidir. Ayrıca, son kullanıcı eğitimi hayati önem taşır; zira STOCKSTAY gibi kötü amaçlı yazılımlar genellikle masum görünen uygulamalar aracılığıyla yayılmaktadır. Güvenlik yamaları, güncel antivirüs ve EDR çözümleri, çok faktörlü kimlik doğrulama gibi temel güvenlik önlemleri asla göz ardı edilmemelidir.
Özellikle Ukrayna’daki ve İtalyan dış politikasıyla ilgilenen kurumlar için, bu tehdit ciddi bir risk oluşturuyor. Türkiye’deki benzer kurumlar da Turla’nın genişleyen hedef listesi göz önüne alındığında, siber savunma stratejilerini gözden geçirmelidir. Bu gelişme, siber güvenliğin sürekli bir adaptasyon ve gelişim süreci olduğunun bir başka somut kanıtıdır.
Sık Sorulan Sorular
İlgili Makaleler
- ›Sahte 7-Zip Yükleyicileri, Cihazları Konut Proxy Ağına Katıyor
- ›Gizlenen Kimlik Avı Dalgaları Geleneksel E-posta Kalkanlarını Kırıyor
- ›Kimlik Doğrulama Adımı: Siber Saldırıların Yeni Cephesi
- ›Tenda Router Yazılımlarında Gizli Yönetici Arka Kapısı Riski
- ›Dijital Güvenlikte Yeni Dönem: 2026’nın En İyi Yapay Zeka ve Kimlik Korumalı Antivirüs Programları