ESET araştırmacıları, ScarCruft APT kümesi tarafından kullanılan ve daha evvel bildirilmemiş karmaşık bir art kapıyı (backdoor) tahlil etti.
ESET’in Dolphin ismini verdiği art kapı, şoförleri ve taşınabilir birçok aygıtı izleme, ilgilendiği belgeleri dışarı sızdırma, tuş kaydetme, ekran manzaraları alma ve tarayıcılardan kimlik bilgilerini çalma dahil olmak üzere birçok casusluk yeteneğine sahip. Dolphin, Komuta ve Denetim irtibatı için bulut depolama hizmetlerini, bilhassa Google Drive’ı berbata kullanıyor.
APT37 yahut Reaper olarak da bilinen ScarCruft, 2012’den beri faaliyet gösteren bir casusluk kümesi. Öncelikli amacı Güney Kore olsa da öteki Asya ülkeleri de gayeleri ortasında yer alıyor. ScarCruft, temel olarak hükümet ve askeri kuruluşlarla, Kuzey Kore’nin çıkarlarıyla temaslı çeşitli kesimlerdeki şirketlerle ilgileniyor.
Dolphin art kapısını tahlil eden ESET araştırmacısı Filip Jurčacko bu hususta şunları söyledi: “Arka kapı seçilen amaçlara dağıtıldıktan sonra, güvenliği ihlal edilmiş sistemlerin şoförlerinde enteresan evraklar arıyor ve bulduğu belgeleri Google Drive’a sızdırıyor. Bu art kapının evvelki sürümleri, kurbanların Google ve Gmail hesaplarının ayarlarını değiştirerek bu hesapların güvenliklerini zayıflatan ve bu sayede muhtemelen tehdit aktörlerinin Gmail hesaplarına erişimini sürdürebilmesine imkan tanıyan sıra dışı bir yeteneğe sahip.”
Dolphin art kapısı, işletim sistemi sürümü, makûs hedefli yazılım sürümü, yüklü güvenlik eserleri listesi, kullanıcı ismi ve bilgisayar ismi dahil olmak üzere hedeflenen makine hakkında temel bilgileri topluyor. Varsayılan olarak, Dolphin tüm sabit (HDD) ve sabit olmayan şoförleri (USB’ler) tarıyor, dizin listeleri oluşturuyor ve belgeleri uzantılarına nazaran dışarı sızdırıyor. Ayraca Dolphin, Windows Portable Device API aracılığıyla akıllı telefonlar üzere taşınabilir aygıtları da tarıyor. Art kapı, tarayıcılardan kimlik bilgilerini çalmanın yanı sıra tuş kaydetme ve ekran manzaraları alma yeteneğine sahip.
