Siber güvenlik şirketi ESET, yakın vakitte Sednit’in çağdaş araç seti aracılığıyla yine faaliyete geçtiğini tespit etti. Bu araç seti, dayanıklılık için her biri farklı bir bulut sağlayıcı kullanan BeardShell ve Covenant isimli iki eşleştirilmiş implantı merkezine alıyor. Bu çift implant yaklaşımı, Ukrayna askeri çalışanının uzun vadeli nezaretini mümkün kılıyor ve Nisan 2024’ten beri kullanılıyor. 2016 yılında, ABD Adalet Bakanlığı Sednit grubunu, Rus ordusunun Ana İstihbarat Müdürlüğü bünyesindeki bir Rus istihbarat ajansı olan GRU’nun 26165 Ünitesi ile ilişkilendirdi.
ESET’in çağdaş Sednit faaliyetlerine ait açıklaması, Nisan 2024’te CERT-UA tarafından Ukrayna hükümetine ilişkin bir makinede keşfedilen bir casusluk implantı olan SlimAgent ile başlıyor. SlimAgent, tuş vuruşlarını kaydetme, ekran imajı alma ve panoya bilgileri toplama yeteneğine sahip kolay ancak tesirli bir casusluk aracı. ESET telemetri kapsamında, SlimAgent’a benzeri kodlara sahip ve daha evvel bilinmeyen örnekler tespit etti. Bu örnekler, Ukrayna olayından altı yıl evvel, 2018 yılında iki Avrupa ülkesindeki devlet kurumlarına karşı kullanılmıştı. Hasebiyle SlimAgent, en az 2018 yılından beri bağımsız bir bileşen olarak kullanılan Xagent keylogger modülünün bir evrimi üzere görünüyor. Xagent, Sednit kümesi tarafından altı yıldan fazla bir müddettir özel olarak kullanılan bir araç seti.
SlimAgent, 2024 yılında Ukrayna’daki makinede bulunan tek implant değildi; Sednit’in özel cephaneliğine çok daha yakın vakitte eklenen BeardShell de burada kullanılmıştı. BeardShell, .NET çalışma vakti ortamında PowerShell komutlarını yürütebilen sofistike bir implant ve yasal bulut depolama hizmeti Icedrive’ı Komuta ve Denetim kanalı olarak kullanıyor. Ender bir gizleme tekniğinin ortak kullanımı ve SlimAgent ile tıpkı yerde bulunması, ESET’in BeardShell’in Sednit’in özel cephaneliğinin bir modülü olduğunu yüksek inançla değerlendirmesine yol açmaktadır.
İlk 2024 olayından bu yana, Sednit, BeardShell’i 2025 ve 2026 yıllarında, öncelikle Ukrayna askeri çalışanını maksat alan uzun vadeli casusluk operasyonlarında kullanmaya devam etti. Bu yüksek kıymetli amaçlara daima erişim sağlamak için Sednit, BeardShell’in yanı sıra sistematik olarak diğer bir implant da kullanıyor: Çağdaş silahlarının son bileşeni olan Covenant. Covenant, açık kaynaklı bir .NET post-eksploitasyon çerçevesi ve 90’dan fazla yerleşik vazife sunarak data sızdırma, maksat izleme ve ağ pivoting üzere yetenekleri takviyeler.
2023’ten bu yana, Sednit geliştiricileri Covenant’ı birincil casusluk implantı olarak kurmak için bir dizi değişiklik ve deney yaptı. BeardShell’i, Covenant’ın bulut tabanlı altyapısının devre dışı bırakılması üzere operasyonel meselelerle müsabakası durumunda yedek olarak tuttu. Sednit, bilhassa Ukrayna’daki seçilmiş maksatlar karşısında, birkaç yıldır Covenant’a muvaffakiyetle güveniyor. Örneğin, 2025 yılında Sednit tarafından denetim edilen Covenant bulut şoförlerini tahlil ettiğimizde altı aydan uzun müddettir izlenen makineler ortaya çıktı. CERT UA’nın bildirdiğine nazaran, Sednit Ocak 2026’da CVE 2026 21509 güvenlik açığını kullanan bir dizi spearphishing kampanyasında da Covenant’ı kullandı.
BeardShell’in gelişmişliği ve Covenant’ta yapılan kapsamlı değişiklikler, Sednit’in geliştiricilerinin gelişmiş özel implantlar üretme konusunda hâlâ tam kapasiteye sahip olduğunu göstermektedir. Ayrıyeten bu araçları 2010 devrindeki öncüllerine bağlayan ortak kod ve teknikler, geliştirme takımı içinde süreklilik olduğunu güçlü bir biçimde göstermektedir.
Kaynak: (BYZHA) Beyaz Haber Ajansı
