• Anasayfa  • Künye  • Kurumsal  • Reklam  • Üyelik  • Arşiv  • Site Haritası  RSS 
YAZARLAR  |  GÜNCEL  |  GÖRÜNTÜLÜ  |  ÖZEL  |  TİCARET SOHBETLERİ  |  FİNANS  |  İHALELER  |  TİCARET BORSALARI  |  RESMİ GAZETE

Türkiye router ile bulaşan zararlı yazılımın kurbanları arasında

12 Mart 2018 Pazartesi 13:00
12
14
16
18

Türkiye router ile bulaşan zararlı yazılımın kurbanları arasında

   ► Kaspersky Lab araştırmacıları, Orta Doğu ve Afrika’da 2012’den Şubat 2018’e kadar siber casusluk için kullanılan gelişmiş bir tehdidi keşfetti.

           HABER MERKEZİ     
     Kaspersky Lab araştırmacıları, Orta Doğu ve Afrika’da 2012’den Şubat 2018’e kadar siber casusluk için kullanılan gelişmiş bir tehdidi keşfetti. Araştırmacıların ‘Slingshot’ adını verdiği zararlı yazılım kurbanların bilgisayarlarına, ele geçirilmiş router’lar üzerinden bulaşıyor. Kernel modunda çalışabilen yazılım, kurbanın bilgisayarının tüm kontrolünü elinde bulundurabiliyor. Araştırmacılara göre, daha önce görülmemiş birçok tekniğin kullanıldığı bu tehdit, gizlice bilgi toplama konusunda inanılmaz derecede etkili. Kendi veri trafiğini işaretli veri paketlerinde gizleyen bu zararlı yazılım, iz bırakmadan günlük iletişimin arasına gizlenebiliyor.
     Araştırmacılar şimdiye kadar Kenya, Yemen, Afganistan, Libya, Kongo, Ürdün, Türkiye, Irak, Sudan, Somali ve Tanzanya’da Slingshot ve ilgili modüllerden etkilenen 100 civarında kurban tespit etti. Kurbanlar genelde kurumlardan çok bireylerden oluşuyor. Ancak aralarında bazı devlet kurum ve kuruluşları da yer alıyor. Zararlı yazılımdan etkilenenlerin önemli bir bölümü Kenya ve Yemen’de bulunuyor.

     Slingshot operasyonu, araştırmacıların yazılan karakterleri kaydeden şüpheli bir programı fark edip, kodun başka bir yerde kullanılıp kullanılmadığını görmek için davranışsal tespit işareti oluşturmasının ardından keşfedildi. Bu yöntemin kullanılmasıyla, sistem klasöründe scesrv.dll adlı şüpheli bir dosyanın yer aldığı bir bilgisayar tespit edildi. Araştırmacılar incelemeyi derinleştirmeye karar verdiler. Dosya analiz edildiğinde, yasal gibi gözükse de aslında scesrv.dll modülünde zararlı kodlar bulunduğu görüldü. Bu arşiv, sistem ayrıcalıklarına sahip ‘services.exe’ ile birlikte yüklendiğinden aynı yetkileri elde ediyordu. Araştırmacılar bu sayede çok gelişmiş bir saldırganın, bilgisayarların en temel merkezine girebildiğini anladılar.

     Slingshot’ın en çok dikkat çeken özelliği, pek de yaygın olmayan saldırı yöntemlerini kullanması. Araştırmacılar daha fazla kurban keşfettikçe, çoğunda yazılımın ele geçirilmiş router’lardan bulaştığını gördüler. Slingshot’ın arkasındaki grubun saldırı sırasında router’ları ele geçirip, içine zararlı bir dinamik bağlantı arşivi yerleştirdiği belirlendi. Bu arşiv aslında diğer zararlı bileşenlerin indirilmesini sağlıyordu. Bir sistem yöneticisi router’ı yapılandırmak için giriş yaptığında, router’ın yönetim yazılımı zararlı modülü sistem yöneticisinin bilgisayarına indirip çalıştırıyor. Router’ların nasıl ele geçirildiği ise henüz bilinmiyor.
     Bulaşmasının ardından, Slingshot kurbanın cihazına çok sayıda modül yüklüyor. Bunlar arasında iki adet çok büyük ve güçlü modül bulunuyor: Cahnadr ve GollumApp. Bağlı bu iki modül; bilgi toplama, süreklilik ve dışarı veri sızdırma konularında birbirine destek oluyor.

     Slingshot’ın siber casusluk amacıyla kullanıldığı düşünülüyor. Yapılan analizlerde yazılımın; ekran görüntüleri, klavye verileri, ağ verileri, parolalar, USB bağlantıları, diğer masaüstü aktiviteleri ve pano verilerini toplayabildiği anlaşıldı. Zaten yazılımın kernel erişiminin olması istediği her şeyi çalabileceği anlamına geliyor.
     Bu gelişmiş kalıcı tehdit, tespit edilmesini önlemek için de bazı yöntemler kullanıyor. Bunların arasında modüllerdeki tüm dizileri şifreleme, güvenlik ürünlerinden kaçınmak için doğrudan sistem servislerini çağırma, hata ayıklamaya karşı teknikler kullanma ve çalışan güvenlik çözümü süreçlerine göre hangi süreçleri etkileyeceğini belirleme gibi yöntemler yer alıyor.
     Pasif bir arka kapı şekline çalışan Slingshot’ta kodlanmış bir komut ve kontrol adresi bulunmuyor. Ancak bu adresi, kernel modundaki tüm ağ paketlerinin arasına girip başlıkta kodlanmış iki adet sihirli sabit olmadığını kontrol ederek operatörden alıyor. Başlıkta iki adet sihirli sabitin yer alması o pakette komut ve kontrol adresi olduğu anlamına geliyor. Daha sonra Slingshot, komut ve kontrol adresiyle şifreli bir iletişim kanalı kuruyor ve çaldığı verileri bunun üzerinden aktarmaya başlıyor.

     Araştırmacıların incelediği örneklerin ‘sürüm 6.x’ olarak işaretlenmiş olması, tehdidin çok uzun bir süredir kullanıldığını ortaya koyuyor. Slingshot’ın karmaşık araçlarını geliştirmek için gereken zaman, beceri ve paranın çok yüksek olduğu tahmin ediliyor. Tümü bu ipuçları bir araya getirildiğinde, Slingshot’ın arkasındaki grubun organize, profesyonel ve muhtemelen devlet destekli bir grup olduğu düşünülebilir. Kodlardaki metinler, grubun İngilizce konuşan kişilerden oluşabileceğini gösteriyor. Ancak bu gibi durumlarda doğru tahmin yapmak ve kişileri tam olarak belirlemek imkânsız olmasa bile epey zor, manipülasyona ve hataya açık oluyor.
     Kasperky Lab Zararlı Yazılım Baş Analisti Alexey Shulmin, “Slingshot, bugüne kadar yalnızca en gelişmiş saldırılarda gördüğümüz kernel modu modülleri gibi birçok araç ve yöntem kullanan oldukça karmaşık bir tehdit. Yazılımın sahip olduğu işlevler saldırganlar için çok değerli. Bu da Slingshot’ın neden yaklaşık altı yıldır kullanıldığını açıklayabilir” dedi.

Kaspersky Lab’in tüm ürünleri bu tehdidi tespit edip engelleyebiliyor.
Kaspersky Lab araştırmacıları bu tür bir saldırıdan etkilenmemek için şunları öneriyor:
     • Mikrotik router’larını kullananlar, bilinen açıklardan korunmak için en kısa sürede yazılımlarını son sürüme yükseltmeli.  Ek olarak, Mikrotik Winbox artık router’dan kullanıcı bilgisayarına hiçbir şey indirilmesine izin vermiyor.
     • Gelişmiş hedefli saldırıları tespit edip yakalayabilmek ve ağ anormalliklerini analiz edebilmek için Kaspersky Lab’in Hedefli Saldırıdan Koruma çözümü Kaspersky Anti Targeted Attack Platform ve Tehdit İstihbaratı Hizmetleri gibi kanıtlanmış kurumsal sınıf güvenlik çözümleri kullanın.
     • Kaspersky Threat Management and Defence çözümü gibi, hedefli saldırıları önleyen teknolojilere ve tehdit istihbaratı özelliğine sahip kurumsal düzeyde bir güvenlik çözümü kullanın. Bu çözümler, ağdaki anormallikleri analiz edip siber güvenlik ekiplerinin tüm ağı görebilmesini ve otomatik tepki vermesini sağlayarak gelişmiş hedefli saldırıları yakalayabiliyor.
     • Güvenlik ekiplerinin en son tehdit istihbaratı verilerine erişmesini sağlayın. Bu sayede, hedefli saldırıları önlemeleri için sızma belirtileri (IOC), YARA ve özel gelişmiş tehdit raporlaması gibi faydalı araçlara sahip olabilirler.
     • Bir hedefli saldırının ilk belirtilerini tespit ettiyseniz gelişmiş tehditleri önceden tespit etmenizi sağlayan yönetimli güvenlik servislerini kullanın. Böylece tehdidin sistemde kalma süresini azaltıp zamanında karşılık verebilirsiniz.

     Slingshot gelişmiş kalıcı tehdidi hakkındaki raporu Securelist sayfasında bulabilirsiniz.

 


+ Benzer Haberler
» “İhracat memleket meselesi oldu”
» Enerjide verimlilik hamlesi
» Reel kesim ve finans sektöründen ortak toplantı
» 20 Ekim yerel üretim şöleni
» Bakan Mustafa Varank, Ağustos ayı sanayi üretim endeksini değerlendirdi
» “830 milyon kişi açlıkla mücadele ediyor”
» Toplam ciro endeksinde %32 artış
» “Uluslararası finansal koşullar daha sıkı hale geldi”
» İşsiz sayısı 3 milyon 531 bin kişiye ulaştı
» Kuru meyveler, Alzheimer ve demansın ortaya çıkma riskini azaltıyor


ÇOK OKUNANLAR
bu hafta | bu ay
Foto/Video Galeri
  Ticaret 17.10.2018
  Ticaret 16.10.2018
  Ticaret 15.10.2018
  Ticaret 13.10.2018
  Ticaret 12.10.2018
  Ticaret 11.10.2018
Para Piyasaları
Hava Durumu
Takvim
Üye Giriş
E-Posta :
Şifre :
Beni Hatırla
     
      Üye Olmak İstiyorum
      Şifremi Unuttum
Bu sitenin tüm hakları saklıdır Ticaret Gazetesi    rt.moc.isetezagteracit @ ofni