Haber Detayı
12 Mart 2018 - Pazartesi 13:39 Bu haber 162 kez okundu
 
Türkiye de router ile bulaşan zararlı yazılımın kurbanları arasında
 
 
Teknoloji Haberi


Kaspersky Lab araştırmacıları, Orta Doğu ve Afrika’da 2012’den Şubat 2018’e kadar siber casusluk için kullanılan gelişmiş bir tehdidi keşfetti. Araştırmacıların ‘Slingshot’ adını verdiği zararlı yazılım kurbanların bilgisayarlarına, ele geçirilmiş router’lar üzerinden bulaşıyor. Kernel modunda çalışabilen yazılım, kurbanın bilgisayarının tüm kontrolünü elinde bulundurabiliyor. Araştırmacılara göre, daha önce görülmemiş birçok tekniğin kullanıldığı bu tehdit, gizlice bilgi toplama konusunda inanılmaz derecede etkili. Kendi veri trafiğini işaretli veri paketlerinde gizleyen bu zararlı yazılım, iz bırakmadan günlük iletişimin arasına gizlenebiliyor.

 

Araştırmacılar şimdiye kadar Kenya, Yemen, Afganistan, Libya, Kongo, Ürdün, Türkiye, Irak, Sudan, Somali ve Tanzanya’da Slingshot ve ilgili modüllerden etkilenen 100 civarında kurban tespit etti. Kurbanlar genelde kurumlardan çok bireylerden oluşuyor. Ancak aralarında bazı devlet kurum ve kuruluşları da yer alıyor.  Zararlı yazılımdan etkilenenlerin önemli bir bölümü Kenya ve Yemen’de bulunuyor.

 

Slingshot operasyonu, araştırmacıların yazılan karakterleri kaydeden şüpheli bir programı fark edip, kodun başka bir yerde kullanılıp kullanılmadığını görmek için davranışsal tespit işareti oluşturmasının ardından keşfedildi. Bu yöntemin kullanılmasıyla, sistem klasöründe scesrv.dll adlı şüpheli bir dosyanın yer aldığı bir bilgisayar tespit edildi. Araştırmacılar incelemeyi derinleştirmeye karar verdiler. Dosya analiz edildiğinde, yasal gibi gözükse de aslında scesrv.dll modülünde zararlı kodlar bulunduğu görüldü. Bu arşiv, sistem ayrıcalıklarına sahip ‘services.exe’ ile birlikte yüklendiğinden aynı yetkileri elde ediyordu. Araştırmacılar bu sayede çok gelişmiş bir saldırganın, bilgisayarların en temel merkezine girebildiğini anladılar.

 

Slingshot’ın en çok dikkat çeken özelliği, pek de yaygın olmayan saldırı yöntemlerini kullanması. Araştırmacılar daha fazla kurban keşfettikçe, çoğunda yazılımın ele geçirilmiş router’lardan bulaştığını gördüler. Slingshot’ın arkasındaki grubun saldırı sırasında router’ları ele geçirip, içine zararlı bir dinamik bağlantı arşivi yerleştirdiği belirlendi. Bu arşiv aslında diğer zararlı bileşenlerin indirilmesini sağlıyordu. Bir sistem yöneticisi router’ı yapılandırmak için giriş yaptığında, router’ın yönetim yazılımı zararlı modülü sistem yöneticisinin bilgisayarına indirip çalıştırıyor. Router’ların nasıl ele geçirildiği ise henüz bilinmiyor.

 

Bulaşmasının ardından, Slingshot kurbanın cihazına çok sayıda modül yüklüyor. Bunlar arasında iki adet çok büyük ve güçlü modül bulunuyor: Cahnadr ve GollumApp. Bağlı bu iki modül; bilgi toplama, süreklilik ve dışarı veri sızdırma konularında birbirine destek oluyor.

 

Slingshot’ın siber casusluk amacıyla kullanıldığı düşünülüyor. Yapılan analizlerde yazılımın; ekran görüntüleri, klavye verileri, ağ verileri, parolalar, USB bağlantıları, diğer masaüstü aktiviteleri ve pano verilerini toplayabildiği anlaşıldı. Zaten yazılımın kernel erişiminin olması istediği her şeyi çalabileceği anlamına geliyor.

 

Bu gelişmiş kalıcı tehdit, tespit edilmesini önlemek için de bazı yöntemler kullanıyor. Bunların arasında modüllerdeki tüm dizileri şifreleme, güvenlik ürünlerinden kaçınmak için doğrudan sistem servislerini çağırma, hata ayıklamaya karşı teknikler kullanma ve çalışan güvenlik çözümü süreçlerine göre hangi süreçleri etkileyeceğini belirleme gibi yöntemler yer alıyor.

 

Pasif bir arka kapı şekline çalışan Slingshot’ta kodlanmış bir komut ve kontrol adresi bulunmuyor. Ancak bu adresi, kernel modundaki tüm ağ paketlerinin arasına girip başlıkta kodlanmış iki adet sihirli sabit olmadığını kontrol ederek operatörden alıyor. Başlıkta iki adet sihirli sabitin yer alması o pakette komut ve kontrol adresi olduğu anlamına geliyor. Daha sonra Slingshot, komut ve kontrol adresiyle şifreli bir iletişim kanalı kuruyor ve çaldığı verileri bunun üzerinden aktarmaya başlıyor.

 

Araştırmacıların incelediği örneklerin ‘sürüm 6.x’ olarak işaretlenmiş olması, tehdidin çok uzun bir süredir kullanıldığını ortaya koyuyor. Slingshot’ın karmaşık araçlarını geliştirmek için gereken zaman, beceri ve paranın çok yüksek olduğu tahmin ediliyor. Tümü bu ipuçları bir araya getirildiğinde, Slingshot’ın arkasındaki grubun organize, profesyonel ve muhtemelen devlet destekli bir grup olduğu düşünülebilir. Kodlardaki metinler, grubun İngilizce konuşan kişilerden oluşabileceğini gösteriyor. Ancak bu gibi durumlarda doğru tahmin yapmak ve kişileri tam olarak belirlemek imkânsız olmasa bile epey zor, manipülasyona ve hataya açık oluyor.

 

Kasperky Lab Zararlı Yazılım Baş Analisti Alexey Shulmin, “Slingshot, bugüne kadar yalnızca en gelişmiş saldırılarda gördüğümüz kernel modu modülleri gibi birçok araç ve yöntem kullanan oldukça karmaşık bir tehdit. Yazılımın sahip olduğu işlevler saldırganlar için çok değerli. Bu da Slingshot’ın neden yaklaşık altı yıldır kullanıldığını açıklayabilir” dedi.

 

Kaspersky Lab’in tüm ürünleri bu tehdidi tespit edip engelleyebiliyor.

 

Kaspersky Lab araştırmacıları bu tür bir saldırıdan etkilenmemek için şunları öneriyor:

 

 

 

  • Kaspersky Threat Management and Defence çözümü gibi, hedefli saldırıları önleyen teknolojilere ve tehdit istihbaratı özelliğine sahip kurumsal düzeyde bir güvenlik çözümü kullanın. Bu çözümler, ağdaki anormallikleri analiz edip siber güvenlik ekiplerinin tüm ağı görebilmesini ve otomatik tepki vermesini sağlayarak gelişmiş hedefli saldırıları yakalayabiliyor.

 

 

  • Bir hedefli saldırının ilk belirtilerini tespit ettiyseniz gelişmiş tehditleri önceden tespit etmenizi sağlayan yönetimli güvenlik servislerini kullanın. Böylece tehdidin sistemde kalma süresini azaltıp zamanında karşılık verebilirsiniz.

 

Slingshot gelişmiş kalıcı tehdidi hakkındaki raporu Securelist sayfasında bulabilirsiniz.

 

 

 

 

Kaspersky Lab Hakkında

Kaspersky Lab, 20 yılı aşkın süredir faaliyet gösteren küresel bir siber güvenlik şirketidir. Kaspersky Lab'in derin tehdit zekâsı ve güvenlik uzmanlığı dünyanın dört bir yanındaki işletmelerin, kritik altyapıların, hükümetlerin ve tüketicilerin korunması için sürekli yeni nesil güvenlik çözümlerine ve hizmetlerine dönüşmektedir. Şirketin kapsamlı güvenlik portföyüne, lider uç nokta koruması ve gelişen karmaşık dijital tehditlerle mücadele eden bir dizi özelleştirilmiş güvenlik çözümleri de dâhildir. 400 milyonu aşkın kullanıcı Kaspersky Lab teknolojileri ile korunmaktadır ve 270 bin kurumsal müşterinin kendileri için en önemli şeyleri korumalarına yardımcı olmaktayız. Daha fazla bilgi için: www.kaspersky.com/tr

 

Bilgi için: F5 İletişim Yönetimi ½ LEWIS+ Partner – 0216 349 40 43 kasperskylab@f5-pr.com

                                               Handan Şahin – 0537 281 53 43 / handansahin@f5-pr.com

 

 

Kaynak: Editör:
 
 
 
Etiketler: Türkiye, de, router, ile, bulaşan, zararlı, yazılımın, kurbanları, arasında,
Haber Videosu
Yorumlar
BSK
Ulusal Gazeteler
Bizim Gazete
Yazarlar
Alıntı Yazarlar
Süper Lig
Takımlar
P
Av
M
B
G
O
1
Beşiktaş
54
47
2
6
16
24
2
Başakşehir
52
43
2
7
15
24
3
Galatasaray
46
46
6
4
14
24
4
Fenerbahçe
44
44
4
8
12
24
5
Antalyaspor
38
29
8
5
11
24
6
Trabzonspor
35
22
8
5
10
23
7
K.D.Ç. Karabük
33
27
11
3
10
24
8
Kasımpaşa
32
33
10
5
9
24
9
T.Konyaspor
32
26
8
8
8
24
10
Bursaspor
32
25
10
5
9
24
11
Osmanlıspor FK
31
29
7
10
7
24
12
Gençlerbirliği
29
23
8
8
7
23
13
Kayserispor
27
30
11
6
7
24
14
Akhisar Bld.
27
16
10
6
7
23
15
Alanyaspor
25
36
13
4
7
24
16
Ç. Rizespor
20
24
14
5
5
24
17
Adanaspor
17
21
15
5
4
24
18
Gaziantepspor
16
18
15
4
4
23
Nöbetçi Eczane


Nöbetçi eczanlerle ilgili detaylı bilgi için lütfen tıklayın.

Arşiv
Haber Yazılımı