Siber güvenlik şirketi ESET, yakın vakitte Sednit’in çağdaş araç seti aracılığıyla tekrar faaliyete geçtiğini tespit etti. Bu araç seti, dayanıklılık için her biri farklı bir bulut sağlayıcı kullanan BeardShell ve Covenant isimli iki eşleştirilmiş implantı merkezine alıyor. Bu çift implant yaklaşımı, Ukrayna askeri işçisinin uzun vadeli nezaretini mümkün kılıyor ve Nisan 2024’ten beri kullanılıyor. 2016 yılında, ABD Adalet Bakanlığı Sednit grubunu, Rus ordusunun Ana İstihbarat Müdürlüğü bünyesindeki bir Rus istihbarat ajansı olan GRU’nun 26165 Ünitesi ile ilişkilendirdi.
ESET’in çağdaş Sednit faaliyetlerine ait açıklaması, Nisan 2024’te CERT-UA tarafından Ukrayna hükümetine ilişkin bir makinede keşfedilen bir casusluk implantı olan SlimAgent ile başlıyor. SlimAgent, tuş vuruşlarını kaydetme, ekran manzarası alma ve panoya bilgileri toplama yeteneğine sahip kolay lakin tesirli bir casusluk aracı. ESET telemetri kapsamında, SlimAgent’a misal kodlara sahip ve daha evvel bilinmeyen örnekler tespit etti. Bu örnekler, Ukrayna olayından altı yıl evvel, 2018 yılında iki Avrupa ülkesindeki devlet kurumlarına karşı kullanılmıştı. Hasebiyle SlimAgent, en az 2018 yılından beri bağımsız bir bileşen olarak kullanılan Xagent keylogger modülünün bir evrimi üzere görünüyor. Xagent, Sednit kümesi tarafından altı yıldan fazla bir müddettir özel olarak kullanılan bir araç seti.
SlimAgent, 2024 yılında Ukrayna’daki makinede bulunan tek implant değildi; Sednit’in özel cephaneliğine çok daha yakın vakitte eklenen BeardShell de burada kullanılmıştı. BeardShell, .NET çalışma vakti ortamında PowerShell komutlarını yürütebilen sofistike bir implant ve yasal bulut depolama hizmeti Icedrive’ı Komuta ve Denetim kanalı olarak kullanıyor. Az bir gizleme tekniğinin ortak kullanımı ve SlimAgent ile birebir yerde bulunması, ESET’in BeardShell’in Sednit’in özel cephaneliğinin bir modülü olduğunu yüksek itimatla değerlendirmesine yol açmaktadır.
İlk 2024 hadisesinden bu yana, Sednit, BeardShell’i 2025 ve 2026 yıllarında, öncelikle Ukrayna askeri çalışanını maksat alan uzun vadeli casusluk operasyonlarında kullanmaya devam etti. Bu yüksek bedelli gayelere daima erişim sağlamak için Sednit, BeardShell’in yanı sıra sistematik olarak öteki bir implant da kullanıyor: Çağdaş silahlarının son bileşeni olan Covenant. Covenant, açık kaynaklı bir .NET post-eksploitasyon çerçevesi ve 90’dan fazla yerleşik vazife sunarak data sızdırma, gaye izleme ve ağ pivoting üzere yetenekleri dayanaklar.
2023’ten bu yana, Sednit geliştiricileri Covenant’ı birincil casusluk implantı olarak kurmak için bir dizi değişiklik ve deney yaptı. BeardShell’i, Covenant’ın bulut tabanlı altyapısının devre dışı bırakılması üzere operasyonel sıkıntılarla müsabakası durumunda yedek olarak tuttu. Sednit, bilhassa Ukrayna’daki seçilmiş gayeler karşısında, birkaç yıldır Covenant’a muvaffakiyetle güveniyor. Örneğin, 2025 yılında Sednit tarafından denetim edilen Covenant bulut şoförlerini tahlil ettiğimizde altı aydan uzun müddettir izlenen makineler ortaya çıktı. CERT UA’nın bildirdiğine nazaran, Sednit Ocak 2026’da CVE 2026 21509 güvenlik açığını kullanan bir dizi spearphishing kampanyasında da Covenant’ı kullandı.
BeardShell’in gelişmişliği ve Covenant’ta yapılan kapsamlı değişiklikler, Sednit’in geliştiricilerinin gelişmiş özel implantlar üretme konusunda hâlâ tam kapasiteye sahip olduğunu göstermektedir. Ayrıyeten bu araçları 2010 devrindeki öncüllerine bağlayan ortak kod ve teknikler, geliştirme grubu içinde süreklilik olduğunu güçlü bir halde göstermektedir.
Kaynak: (BYZHA) Beyaz Haber Ajansı
