ESET Research Rusya’nın en kötü şöhretli gruplarından biri olan Sednit’in Ukrayna’da casus yazılımlarla yeniden ortaya çıktığını tespit etti
Siber casuslukta yeni dönem
Siber güvenlik şirketi ESET, yakın zamanda Sednit’in modern araç seti aracılığıyla yeniden faaliyete geçtiğini tespit etti. Bu araç seti, dayanıklılık için her biri farklı bir bulut sağlayıcı kullanan BeardShell ve Covenant adlı iki eşleştirilmiş implantı merkezine alıyor. Bu çift implant yaklaşımı, Ukrayna askeri personelinin uzun vadeli gözetimini mümkün kılıyor ve Nisan 2024’ten beri kullanılıyor. 2016 yılında, ABD Adalet Bakanlığı Sednit grubunu, Rus ordusunun Ana İstihbarat Müdürlüğü bünyesindeki bir Rus istihbarat ajansı olan GRU’nun 26165 Birimi ile ilişkilendirdi.
ESET’in modern Sednit faaliyetlerine ilişkin açıklaması, Nisan 2024’te CERT-UA tarafından Ukrayna hükümetine ait bir makinede keşfedilen bir casusluk implantı olan SlimAgent ile başlıyor. SlimAgent, tuş vuruşlarını kaydetme, ekran görüntüsü alma ve panoya verileri toplama yeteneğine sahip basit ama etkili bir casusluk aracı. ESET telemetri kapsamında, SlimAgent’a benzer kodlara sahip ve daha önce bilinmeyen örnekler tespit etti. Bu örnekler, Ukrayna vakasından altı yıl önce, 2018 yılında iki Avrupa ülkesindeki devlet kurumlarına karşı kullanılmıştı. Dolayısıyla SlimAgent, en az 2018 yılından beri bağımsız bir bileşen olarak kullanılan Xagent keylogger modülünün bir evrimi gibi görünüyor. Xagent, Sednit grubu tarafından altı yıldan fazla bir süredir özel olarak kullanılan bir araç seti.
SlimAgent, 2024 yılında Ukrayna’daki makinede bulunan tek implant değildi; Sednit’in özel cephaneliğine çok daha yakın zamanda eklenen BeardShell de burada kullanılmıştı. BeardShell, .NET çalışma zamanı ortamında PowerShell komutlarını yürütebilen sofistike bir implant ve meşru bulut depolama hizmeti Icedrive’ı Komuta ve Kontrol kanalı olarak kullanıyor. Nadir bir gizleme tekniğinin ortak kullanımı ve SlimAgent ile aynı yerde bulunması, ESET’in BeardShell’in Sednit’in özel cephaneliğinin bir parçası olduğunu yüksek güvenle değerlendirmesine yol açmaktadır.
İlk 2024 vakasından bu yana, Sednit, BeardShell’i 2025 ve 2026 yıllarında, öncelikle Ukrayna askeri personelini hedef alan uzun vadeli casusluk operasyonlarında kullanmaya devam etti. Bu yüksek değerli hedeflere sürekli erişim sağlamak için Sednit, BeardShell’in yanı sıra sistematik olarak başka bir implant da kullanıyor: Modern silahlarının son bileşeni olan Covenant. Covenant, açık kaynaklı bir .NET post-eksploitasyon çerçevesi ve 90’dan fazla yerleşik görev sunarak veri sızdırma, hedef izleme ve ağ pivoting gibi yetenekleri destekler.
2023’ten bu yana, Sednit geliştiricileri Covenant’ı birincil casusluk implantı olarak kurmak için bir dizi değişiklik ve deney yaptı. BeardShell’i, Covenant’ın bulut tabanlı altyapısının devre dışı bırakılması gibi operasyonel sorunlarla karşılaşması durumunda yedek olarak tuttu. Sednit, özellikle Ukrayna’daki seçilmiş hedefler karşısında, birkaç yıldır Covenant’a başarıyla güveniyor. Örneğin, 2025 yılında Sednit tarafından kontrol edilen Covenant bulut sürücülerini analiz ettiğimizde altı aydan uzun süredir izlenen makineler ortaya çıktı. CERT UA’nın bildirdiğine göre, Sednit Ocak 2026’da CVE 2026 21509 güvenlik açığını kullanan bir dizi spearphishing kampanyasında da Covenant’ı kullandı.
BeardShell’in gelişmişliği ve Covenant’ta yapılan kapsamlı değişiklikler, Sednit’in geliştiricilerinin gelişmiş özel implantlar üretme konusunda hâlâ tam kapasiteye sahip olduğunu göstermektedir. Ayrıca bu araçları 2010 dönemindeki öncüllerine bağlayan ortak kod ve teknikler, geliştirme ekibi içinde süreklilik olduğunu güçlü bir şekilde göstermektedir.
