Siber güvenlik şirketi ESET, "RoundPress" adını verdiği yeni bir operasyonun detaylarını açıkladı. Bu operasyon, XSS (Cross-Site Scripting) açıkları aracılığıyla webmail sunucularını hedef alan Rusya bağlantılı bir casusluk faaliyeti olarak tanımlanıyor.
RoundPress Operasyonu’nda kullanılan başlıca ele geçirme vektörü, hedef alınan bireylerin webmail sayfalarına kötü amaçlı JavaScript kodları enjekte etmek için XSS güvenlik açıklarından yararlanan spearphishing e-postalarıdır. Yapılan araştırmalar, Roundcube, Horde, MDaemon ve Zimbra gibi çeşitli webmail yazılımlarını hedef alan bu saldırıların özellikle Doğu Avrupa'daki devlet kurumları ve savunma şirketlerine odaklandığını göstermektedir. Bunun yanı sıra ESET, Afrika, Avrupa ve Güney Amerika'daki bazı hükümetlerin de saldırılara maruz kaldığını bildirmiştir.
RoundPress Operasyonu’nun arkasında, olası bir şekilde Rusya'ya bağlı Sednit (Fancy Bear veya APT28 olarak da biliniyor) siber casusluk grubunun bulunduğu düşünülmektedir. Sednit’in hedefleri, önemli e-posta hesaplarından gizli verileri çalmak olan Ukrayna'nın devlet kurumları ve savaşla alakalı savunma şirketleridir. Öne çıkan hedeflerden bazıları, Ukrayna’ya gönderilmek üzere Sovyet döneminden kalma silahlar üreten Bulgaristan ve Romanya'daki savunma şirketleridir. Ayrıca, listeye Afrika, AB ve Güney Amerika hükümetleri de dâhildir.
ESET araştırmacısı Matthieu Faou, operasyonla ilgili açıklamalarında şu bilgileri paylaştı: “Geçen yıl, Horde, MDaemon ve Zimbra gibi webmail yazılımlarını hedef alan çeşitli XSS güvenlik açıklarını gözlemledik. Sednit ayrıca Roundcube’daki daha yeni bir güvenlik açığı olan CVE-2023-43770'i kullanmaya başladı. MDaemon açığının (CVE-2024-11182, şu anda yamalanmış durumda) büyük olasılıkla Sednit tarafından keşfedilen bir sıfır gündü. Horde, Roundcube ve Zimbra için olan açıklar ise daha önceden biliniyordu ve yamalanmıştı.”
Faou, saldırganların hedeflerin üzerine SpyPress.HORDE, SpyPress.MDAEMON, SpyPress.ROUNDCUBE ve SpyPress.ZIMBRA JavaScript yüklerini saldığını belirtti. Bu JavaScript yüklerinin kimlik bilgilerini çalma, adres defterine, kişilere ve oturum açma geçmişine sızma gibi yetenekleri bulunduğu vurgulandı. Özellikle SpyPress.MDAEMON, iki faktörlü kimlik doğrulama korumasını geçmek için bir bypass oluşturabiliyor ve saldırganların e-posta uygulaması üzerinden hedefin posta kutusuna erişim sağlamasına olanak tanıyacak uygulama parolasını oluşturabiliyor.
Son iki yıl içerisinde Roundcube ve Zimbra gibi webmail sunucularının Sednit, GreenCube ve Winter Vivern gibi çeşitli siber casusluk gruplarının ana hedefi haline geldiğini ifade eden Faou, “Birçok kuruluş webmail sunucularını güncel tutmadığından ve güvenlik açıkları bir e-posta mesajı gönderilerek uzaktan tetiklenebildiğinden, saldırganlar için bu tür sunucuları hedef almak oldukça uygun hale geliyor.” dedi.
APT28 veya Sednit grubu, en azından 2004 yılından beri çeşitli siber saldırılar düzenliyor. ABD Adalet Bakanlığı, grubu 2016 ABD seçimlerinden önce Demokratik Ulusal Komite’nin (DNC) hacklenmesinden sorumlu olarak tanımladı ve bu grup GRU (Rusya'nın Askeri İstihbarat Teşkilatı) ile ilişkilendirilmiş durumda. Aynı zamanda, Sednit grubunun küresel televizyon ağı TV5Monde’un hacklenmesi, Dünya Anti-Doping Ajansı (WADA) e-posta sızıntıları ve birçok başka siber olayın arkasında olduğu da düşünülmekte.
Siber güvenlik uzmanları, bu gelişmeler doğrultusunda organizasyonların webmail sistemlerini güncel tutmalarının ve XSS gibi güvenlik açıklarına karşı sürekli gözlemde bulunmalarının önemini vurgulamaktadır. Bu tür siber casusluk faaliyetleri, hem devlet kurumları hem de özel sektörde büyük zararlar verebilecek potansiyele sahip.
