Ukrayna’da casus yazılımlarla ortaya çıktı

Sednit faaliyetleri, Nisan 2024’te CERT-UA tarafından Ukrayna hükümetine ait bir makinede keşfedilen bir casusluk implantı olan SlimAgent ile başlıyor. SlimAgent, tuş vuruşlarını kaydetme, ekran görüntüsü alma ve panoya verileri toplama yeteneğine sahip basit ama etkili bir casusluk aracı. SlimAgent’a benzer kodlara sahip ve daha önce bilinmeyen örnekler tespit edildi. Bu örnekler, Ukrayna vakasından altı yıl önce, 2018 yılında iki Avrupa ülkesindeki devlet kurumlarına karşı kullanılmıştı. Dolayısıyla SlimAgent, en az 2018 yılından beri bağımsız bir bileşen olarak kullanılan Xagent keylogger modülünün bir evrimi gibi görünüyor. Xagent, Sednit grubu tarafından altı yıldan fazla bir süredir özel olarak kullanılan bir araç seti. SlimAgent, 2024 yılında Ukrayna’daki makinede bulunan tek implant değildi; Sednit’in özel cephaneliğine çok daha yakın zamanda eklenen BeardShell de burada kullanılmıştı. BeardShell, .NET çalışma zamanı ortamında PowerShell komutlarını yürütebilen sofistike bir implant ve meşru bulut depolama hizmeti Icedrive’ı Komuta ve Kontrol kanalı olarak kullanıyor. Nadir bir gizleme tekniğinin ortak kullanımı ve SlimAgent ile aynı yerde bulunması, BeardShell’in Sednit’in özel cephaneliğinin bir parçası olduğunu yüksek güvenle değerlendirmesine yol açmaktadır. İlk 2024 vakasından bu yana, Sednit BeardShell’i 2025 ve 2026 yıllarında, öncelikle Ukrayna askeri personelini hedef alan uzun vadeli casusluk operasyonlarında kullanmaya devam etti. Bu yüksek değerli hedeflere sürekli erişim sağlamak için Sednit, BeardShell’in yanı sıra sistematik olarak başka bir implant da kullanıyor: Modern silahlarının son bileşeni olan Covenant. Covenant, açık kaynaklı bir .NET post-eksploitasyon çerçevesi ve 90’dan fazla yerleşik görev sunarak veri sızdırma, hedef izleme ve ağ pivoting gibi yetenekleri destekler. 2023’ten bu yana, Sednit geliştiricileri Covenant’ı birincil casusluk implantı olarak kurmak için bir dizi değişiklik ve deney yaptı. BeardShell’i, Covenant’ın bulut tabanlı altyapısının devre dışı bırakılması gibi operasyonel sorunlarla karşılaşması durumunda yedek olarak tuttu. Sednit, özellikle Ukrayna’daki seçilmiş hedefler karşısında, birkaç yıldır Covenant’a başarıyla güveniyor. Örneğin, 2025 yılında Sednit tarafından kontrol edilen Covenant bulut sürücülerini analiz ettiğimizde altı aydan uzun süredir izlenen makineler ortaya çıktı. CERT UA’nın bildirdiğine göre, Sednit Ocak 2026’da CVE 2026 21509 güvenlik açığını kullanan bir dizi spearphishing kampanyasında da Covenant’ı kullandı. (Kaynak: CNN)