Orta Doğu ve Afrika’da 2012’den Şubat 2018’e kadar siber casusluk için kullanılan gelişmiş bir tehdidi Kaspersky Lab araştırmacıları tarafından keşfedildi
Orta Doğu ve Afrika’da 2012’ den Şubat 2018’e kadar siber casusluk için kullanılan gelişmiş bir tehdidi Kaspersky Lab araştırmacıları tarafından keşfedildi. Araştırmacılarının ‘Slingshot’ adını verdiği zararlı yazılım, kurbanların bilgisayarlarına, ele geçirilmiş router’lar üzerin den bulaşıyor. Kernel modunda çalışab ilen yazılım, kurbanın bilgisayarının tüm kontrolünü elin de bulundurabiliyor. Araştırmacılara göre, daha önce görülmemiş birçok tekniğin kullanıldığı bu tehdit, gizlice bilgi toplama konusunda inanılmaz derece de etkili.
Slingshot operasyonu, araştırmacıların yazılan karakterleri kay de den şüpheli bir programı fark edip, kodun başka bir yer de kullanılıp kullanılmadığını görmek için davranışsal tespit işareti oluşturmasının ardından keşfedildi. Bu yöntemin kullanılmasıyla, sistem klasörün de scesrv.dll adlı şüpheli bir dosyanın yer aldığı bir bilgisayar tespit edildi.
Slingshot, bilgisayarların en temel merkezine girebiliyor
Kaspersky Lab araştırmacıları incelemeyi derinleştirmeye karar verd iler. Dosya analiz edildiğin de, yasal gibi gözükse de aslında scesrv.dll modülün de zararlı kodlar bulunduğu görülürken, sistem ayrıcalıklarına sahip ‘services.exe’ ile birlikte yüklendiğin den aynı yetk ileri el de ediyordu. Araştırmacılar bu saye de çok gelişmiş bir saldırganın, bilgisayarların en temel merkezine girebildiğini anladılar. Slingshot’ın en çok dikkat çeken özelliği, pek de yaygın olmayan saldırı yöntemlerini kullanması. Araştırmacılar daha fazla kurban keşfettikçe, çoğunda yazılımın ele geçirilmiş router’lardan bulaştığını gördü. Slingshot’ın arkasındaki grubun saldırı sırasında router’ları ele geçirip, içine zararlı bir dinamik bağlantı arşivi yerleştirdiği belirlendi. Bu arşiv aslında diğer zararlı b ileşenlerin indirilmesini sağlıyordu. Bir sistem yöneticisi router’ı yapılandırmak için giriş yaptığında, router’ın yönetim yazılımı zararlı modülü sistem yöneticisinin bilgisayarına indirip çalıştırıyor. Router’ların nasıl ele geçirildiği ise henüz bilinmiyor.
Bulaşmasının ardından, Slingshot kurbanın cihazına çok sayıda modül yüklüyor. Bunlar arasında iki a det çok büyük ve güçlü modül bulunuyor: Cahnadr ve GollumApp. Bağlı bu iki modül; bilgi toplama, süreklilik ve dışarı veri sızdırma konularında birbirine destek oluyor. Slingshot’ın siber casusluk amacıyla kullanıldığı düşünülüyor. Yapılan analizler de yazılımın; ekran görüntüleri, klavye ver ileri, ağ ver ileri, parolalar, USB bağlantıları, diğer masaüstü aktiviteleri ve pano ver ilerini toplayabildiği anlaşıldı. Zaten yazılımın kernel erişiminin olması istediği her şeyi çalab ileceği anlamına geliyor. Bu gelişmiş kalıcı tehdit, tespit edilmesini önlemek için de bazı yöntemler kullanıyor. Bunların arasında modüller deki tüm diz ileri şifreleme, güvenlik ürünlerin den kaçınmak için doğrudan sistem servislerini çağırma, hata ayıklamaya karşı teknikler kullanma ve çalışan güvenlik çözümü süreçlerine göre hangi süreçleri etk ileyeceğini belirleme gibi yöntemler yer alıyor.
Slingshot’ın arkasındaki grup, profesyonel ve muhtemelen devlet destekli bir grup
Pasif bir arka kapı şekline çalışan Slingshot’ta kodlanmış bir komut ve kontrol adresi bulunmuyor. Ancak bu adresi, kernel modundaki tüm ağ paketlerinin arasına girip başlıkta kodlanmış iki a det sihirli sabit olmadığını kontrol e derek operatör den alıyor. Başlıkta iki a det sihirli sabitin yer alması o pakette komut ve kontrol adresi olduğu anlamına geliyor. Daha sonra Slingshot, komut ve kontrol adresiyle şifreli bir iletişim kanalı kuruyor ve çaldığı ver ileri bunun üzerin den aktarmaya başlıyor. Araştırmacıların incelediği örneklerin ‘sürüm 6.x’ olarak işaretlenmiş olması, tehdidin çok uzun bir süredir kullanıldığını ortaya koyuyor. Slingshot’ın karmaşık araçlarını geliştirmek için gereken zaman, beceri ve paranın çok yüksek olduğu tahmin ediliyor. Tümü bu ipuçları bir araya getirildiğin de, Slingshot’ın arkasındaki grubun organize, profesyonel ve muhtemelen devlet destekli bir grup olduğu düşünülebilir. Kodlardaki metinler, grubun İngilizce konuşan kiş iler den oluşab ileceğini gösteriyor. Ancak bu gibi durumlarda doğru tahmin yapmak ve kiş ileri tam olarak belirlemek imkânsız olmasa b ile epey zor, manipülasyona ve hataya açık oluyor.
"Yazılımın sahip olduğu işlevler saldırganlar için çok değerli"
Kasperky Lab Zararlı Yazılım Baş Analisti Alexey Shulmin, "Slingshot, bugüne kadar yalnızca en gelişmiş saldırılarda gördüğümüz kernel modu modülleri gibi birçok araç ve yöntem kullanan oldukça karmaşık bir tehdit. Yazılımın sahip olduğu işlevler saldırganlar için çok değerli. Bu da Slingshot’ın ne den yaklaşık altı yıldır kullanıldığını açıklayabilir” dedi.
Yapılan açıklamada, Kaspersky Lab’in tüm ürünleri bu tehdidi tespit edip engelleyebildiği belirtilirken, araştırmacıları bu tür bir saldırıdan etk ilenmemek için şunları önerdi:
Mikrotik router’larını kullananlar, bilinen açıklardan korunmak için en kısa süre de yazılımlarını son sürüme yükseltmeli. Ek olarak, Mikrotik Winbox artık router’dan kullanıcı bilgisayarına hiçbir şey indirilmesine izin vermiyor.
Gelişmiş he defli saldırıları tespit edip yakalayabilmek ve ağ anormalliklerini analiz e debilmek için Kaspersky Lab’in He defli Saldırıdan Koruma çözümü Kaspersky Anti Targeted Attack Platform ve Tehdit İstihbaratı Hizmetleri gibi kanıtlanmış kurumsal sınıf güvenlik çözümleri kullanın.
Kaspersky Threat Management and Defence çözümü gibi, he defli saldırıları önleyen teknoloj ilere ve tehdit istihbaratı özelliğine sahip kurumsal düzey de bir güvenlik çözümü kullanın. Bu çözümler, ağdaki anormallikleri analiz edip siber güvenlik ekiplerinin tüm ağı görebilmesini ve otomatik tepki vermesini sağlayarak gelişmiş he defli saldırıları yakalayabiliyor.
Güvenlik ekiplerinin en son tehdit istihbaratı ver ilerine erişmesini sağlayın. Bu saye de, he defli saldırıları önlemeleri için sızma belirt ileri (IOC), YARA ve özel gelişmiş tehdit raporlaması gibi faydalı araçlara sahip olabilirler.
Bir he defli saldırının ilk belirt ilerini tespit ettiyseniz gelişmiş tehditleri önce den tespit etmenizi sağlayan yönetimli güvenlik servislerini kullanın. Böylece tehdidin sistem de kalma süresini azaltıp zamanında karşılık verebilirsiniz.
Slingshot gelişmiş kalıcı tehdidi hakkındaki raporu securelist sayfasında bulab ileceği belirtildi.
