Tahran merkezli güvenlik şirketi Amnban tarafından ortaya çıkarılan ve İran İstihbarat Bakanlığı bağlantılı APT39 tarafından yürütülen “Trailblazer” adlı gelişmiş kötü amaçlı yazılım (malware), Afrika, Avrupa ve Orta Doğu’daki havayolu rezervasyon sistemlerine uzun süredir sessizce sızarak sistematik veri toplama ve casusluk faaliyetleri yürütüyor.
Araştırmacı gazeteci Nariman Gharib’in elde ettiği iç belgeler ve ekran görüntüleri, Royal Jordanian, Türk Hava Yolları, Wizz Air, Katar Havayolları gibi birçok büyük havayolunun yanı sıra FedEx ve DHL gibi lojistik şirketlerinin de hedef alındığını gösteriyor. Program, havayolu yardım masası iş istasyonlarında meşru uçuş bildirimleri kisvesi altında sahte kimlik avı tuzakları ile yayılarak, hafif ve bellek içi çalışan C# yükleyicileri dağıtıyor.
Trailblazer, komuta ve kontrol trafiğini Microsoft Graph üzerinden TLS şifreli telemetri olarak gizleyerek, rutin Office 365 trafiği içinde görünürlükten kaçıyor. Operasyon kapsamında yolcu adı kayıtları, API kimlik bilgileri, pasaport taramaları ve havaalanı VPN yapılandırmaları gerçek zamanlı olarak zararsız görünen alan adları altında kayıtlı VPS sunucularına aktarılıyor.
Avrupa CERT verilerine göre, Mart 2025’te tek bir Trailblazer düğümü 48 saat içinde 12,6 GB veri sızdırdı. Bu durum, kötü amaçlı yazılımın yüksek bant genişliği verimliliği ve sınırlı tespit edilebilirliğini ortaya koyuyor.
Bölgesel havalimanlarında artan Trailblazer işaretleri, check-in sistemlerinde açıklanamayan kesintilere yol açarken, bir Körfez havayolu şirketi çalınan sık uçan yolcu millerinin kötüye kullanımı nedeniyle programını askıya aldı. Uluslararası düzenleyiciler, yolcu listelerindeki manipülasyonun fiziksel güvenlik risklerine dahi yol açabileceği konusunda uyarıyor.
Trailblazer’ın en sinsi özelliklerinden biri, antivirüs taramalarını atlatmak için çalışma zamanında Windows API çağrılarını değiştirerek, bellek içi yama uygulaması yapmasıdır. Bu yöntem dosya tabanlı tarayıcıların kötü amaçlı komutları görmesini engelliyor ve zararlı faaliyetlerin gizli kalmasını sağlıyor.
Siber güvenlik uzmanları, havayolu sektöründeki kurumların çekirdek düzeyinde bütünlük izleme ve yetkisiz yama tespit sistemlerini kullanarak bu tür saldırılara karşı koymalarını öneriyor.
2010 yılından bu yana havacılık sektöründe editörlük yapan Mevlüt Zor, sivil havacılıktan savunma sanayiine uzanan geniş bir perspektifte özel haberler, derinlemesine analizler ve sektörel değerlendirmeler üretmektedir. Uçuş güvenliği, filo stratejileri, havalimanı işletmeciliği ve küresel havacılık politikaları gibi kritik alanlarda uzmanlaşmış, sektördeki gelişmeleri veri odaklı ve yorum gücü yüksek içeriklerle okuyucularına aktarmaktadır..
İletişim | Twitter
