Kaspersky araştırmacıları casusluk kampanyasını ortaya çıkardı

- Aygıt yazılımı önyükleme kiti olarak bilinen yazılım türünü kullanan casusluk eylemi tespit edildi- Kaspersky Küresel Araştırma ve Analiz Ekibi Kıdemli Güvenlik Araştırmacısı Mark Lechtik:- "UEFI saldırıları tehdit aktörleri için geniş fırsatlar sunsa da, MosaicRegressor bir tehdit aktörünün vahşi ortamda özel yapılmış, kötü niyetli bir UEFI ürün yazılımı kullandığı, kamuya açık olarak bilinen ilk vakadır"

EKONOMİ 06.10.2020, 11:37
4
Kaspersky araştırmacıları casusluk kampanyasını ortaya çıkardı

İSTANBUL (AA) - Kaspersky araştırmacıları, aygıt yazılımı önyükleme kiti olarak bilinen ve çok nadir görülen bir kötü amaçlı yazılım türünü kullanan gelişmiş bir kalıcı tehdit (APT) casusluk kampanyasını ortaya çıkardı.

Kaspersky'den yapılan açıklamaya göre, çağdaş bilgisayarların önemli bir bileşeni olan Birleşik Genişletilebilir Ürün Yazılımı Arayüzünde (UEFI) tespit edilen bu zararlı yazılım, Kaspersky’nin UEFI/BIOS tarama teknolojisi tarafından keşfedildi.

Bu durum virüs bulaşmış cihazların tespit edilmesini ve virüsün temizlenmesini çok daha zor hale getiriyor. Kötü amaçlı yazılımla birlikte kullanılan UEFI önyükleme seti, 2015'te sızdırılan Hacking Team önyükleme setinin özel bir sürümü olduğu biliniyor.

Donanıma gömülü UEFI yazılımı, bilgisayara yüklü işletim sistemi ve bunun üzerinde yer alan diğer tüm programlardan önce çalışmaya başlayan bilgisayarın önemli bir parçası. UEFI yazılımı bir şekilde kötü amaçlı kod içerecek şekilde değiştirilirse, bu kod işletim sisteminden önce başlatılıyor ve bu da saldırıyı güvenlik çözümleri açısından potansiyel olarak görünmez hale getiriyor.

UEFI verisinin sabit sürücüden ayrı olarak kendine özgü bir flash yongada yer alması, işletim sistemi tamamen silinip yeniden yüklense bile tehdidin cihazda yer almaya devam edeceği anlamına geliyor.

Kaspersky araştırmacıları, MosaicRegressor olarak adlandırılan karmaşık, çok aşamalı modüler bir kampanyada bu tür kötü amaçlı yazılımların bir örneğini buldular. Yeni keşfedilen bu kampanya, casusluk ve UEFI’ye yerleşen kötü amaçlı yazılım sayesinde veri toplama için kullanıldı.

UEFI bootkit bileşenleri, ağırlıklı olarak Hacking Team tarafından geliştirilen ve kaynak kodu 2015'te çevrimiçi olarak sızdırılan 'Vector-EDK' önyükleme setine dayanıyor. Sızan kod, büyük olasılıkla failler tarafından çok az bir geliştirme çabasıyla kendi yazılımlarını oluşturmak riski azaltmak için kullanıldı.

Saldırılar, 2019'un başından beri Kaspersky ürünlerine dahil edilen Firmware Scanner yardımıyla tespit edildi. Bu teknoloji, UEFI bellenim görüntüleri de dahil olmak üzere ROM BIOS'ta gizlenen tehditleri tespit etmek için özel olarak geliştirildi.

- Saldırıların bazıları Rus dilinde hedefli kimlik avı belgeleri içeriyor

Saldırganların orijinal UEFI aygıt yazılımının üzerine yazmasına izin veren kesin bulaşma vektörünü tespit etmek mümkün olmasa da, Kaspersky araştırmacıları, sızdırılan Hacking Team belgelerinden VectorEDK hakkında bilinenlere dayanarak bunun nasıl yapılacağına dair olasılıkları çıkardılar.

Diğer seçenekleri göz ardı etmemekle birlikte virüs muhtemelen kurbanın makinesine fiziksel erişim yoluyla, özellikle özel bir güncelleme yardımcı programı içeren önyüklenebilir bir USB bellek yardımıyla giriş yapıyor. İlk bulaşma sonrası Truva atı indiricisi devreye girerek saldırganın ihtiyaçlarına uygun herhangi bir zararlı kodun işletim sistemi çalışır durumdayken indirilmesini sağlıyor.

Bununla birlikte çoğu durumda MosaicRegressor bileşenleri çok daha basit yollarla, örneğin mesaj eklerindeki sahte arşivlere gizlenmiş dosyaların seçilen hedeflere gönderilmesiyle cihazlara sızdırıldı. Kampanyanın modüler yapısı, saldırıların geniş bir alana yayılarak analizlerden gizlenmesine ve bileşenlerin yalnızca hedeflenen cihazlara gönderilmesine yardımcı oldu.

Virüs bulaşmış cihaza başlangıçta yüklenen kötü amaçlı yazılım, ek yük ve diğer kötü amaçlı yazılımları indirebilen bir program olan Truva atı indiricisinden oluşuyor. İndirilen yüke bağlı olarak, kötü amaçlı yazılım keyfi URL'lerden rastgele dosyalar indirip yükleyerek hedeflenen makineden bilgi toplayabiliyor.

Keşfedilen kurbanların bağlantısına dayanarak, araştırmacılar MosaicRegressor'ın Afrika, Asya ve Avrupa'dan diplomatlara ve STK üyelerine yönelik bir dizi hedefli saldırıda kullanıldığını belirledi. Saldırıların bazıları Rus dilinde hedefli kimlik avı belgeleri içeriyordu. Bazıları ise Kuzey Kore ile ilgiliydi ve kötü amaçlı yazılımları indirmek için yem olarak kullanılıyordu.

Kampanyanın bilinen herhangi bir gelişmiş kalıcı tehdit aktörüyle bağlantısına rastlanmadı.


- "Tecrübemiz, saldırıları raporlamamıza yardımcı oluyor"


Açıklamada görüşlerine yer verilen Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT) Kıdemli Güvenlik Araştırmacısı Mark Lechtik, şunları kaydetti:

"UEFI saldırıları tehdit aktörleri için geniş fırsatlar sunsa da, MosaicRegressor bir tehdit aktörünün vahşi ortamda özel yapılmış, kötü niyetli bir UEFI ürün yazılımı kullandığı, kamuya açık olarak bilinen ilk vakadır. Serbest ortamda önceden gözlemlenen benzer saldırılar, meşru bir yazılımın (örneğin LoJax) basitçe yeniden tasarlanmasıyla gerçekleştiriliyordu. Oysa bu saldırı, istisnai durumlarda saldırganların kurbanın makinesinde en yüksek düzeyde kalıcılığı elde etmek için büyük çaba sarf etmeye istekli olduğunu gösteriyor. Tehdit aktörleri araç setlerini çeşitlendirmeye ve yaratıcılığını kullanmaya devam ediyor. Neyse ki teknolojimizin yanı sıra mevcut ve geçmiş kampanyalar hakkında edindiğimiz bilgiler, bu tür hedefli saldırıları izlememize ve raporlamamıza yardımcı oluyor.”

Kaspersky GReAT Baş Güvenlik Araştırmacısı Igor Kuznetsov da "Sızan üçüncü taraf kaynak kodunun kullanılması ve yeni, gelişmiş bir kötü amaçlı yazılım olarak özelleştirilmesi, veri güvenliğinin önemini bizlere bir kez daha hatırlatıyor. Zararlı yazılım - bir önyükleme seti, kötü amaçlı yazılım veya başka bir şey olsun - bir kez sızdırıldığında, tehdit aktörleri önemli bir avantaj elde eder. Ücretsiz olarak kullanılabilen araçlar, onlara araç setlerini daha az çabayla ve daha düşük tespit edilme şansıyla geliştirme ve özelleştirme fırsatı sunuyor.” ifadelerini kullandı.


- "UEFI sabit yazılımınızı düzenli olarak güncelleyin"


MosaicRegressor hakkındaki sunumu izlemek ve APT'ler ve üst düzey siber güvenlik keşifleri hakkında daha fazla bilgi edinmek için SAS@Home'a linkten kayıt olunabiliyor.

Kaspersky, MosaicRegressor gibi tehditlerden korunmak için şunları öneriyor:

"SOC ekibinizin en son tehdit istihbaratına (TI) erişimini sağlayın. Kaspersky Tehdit İstihbarat Portalı, şirketin TI için sunduğu erişim noktasıdır ve Kaspersky tarafından 20 yıldan fazla bir süredir toplanan siber saldırı verileri ve iç görüler sağlar. Uç nokta düzeyinde algılama, araştırma ve olayların zamanında düzeltilmesi için Kaspersky Endpoint Detection and Response çözümlerini kullanın. Hedefli saldırıların çoğu kimlik avı veya diğer sosyal mühendislik teknikleriyle başladığından, personelinize temel siber güvenlik eğitimi verin. Kaspersky Endpoint Security for Business gibi firmware odaklı tehditleri de algılayabilen güçlü bir uç nokta güvenlik ürünü kullanın. UEFI sabit yazılımınızı güvenilir satıcıların ürün yazılımıyla düzenli olarak güncelleyin."

Yorumlar (0)
25°
parçalı bulutlu
Namaz Vakti 03 Aralık 2020
İmsak 03:48
Güneş 05:36
Öğle 13:06
İkindi 17:02
Akşam 20:25
Yatsı 22:05
Puan Durumu
Takımlar O P
1. Alanyaspor 9 23
2. Galatasaray 10 20
3. Fenerbahçe 10 20
4. Beşiktaş 9 16
5. Kasımpaşa 10 15
6. Gaziantep FK 10 15
7. Karagümrük 10 14
8. Göztepe 9 14
9. Başakşehir 10 14
10. Konyaspor 9 12
11. Rizespor 9 12
12. Malatyaspor 9 12
13. Hatayspor 7 12
14. Trabzonspor 10 12
15. Antalyaspor 10 10
16. Sivasspor 9 9
17. Erzurumspor 9 9
18. Kayserispor 9 8
19. Denizlispor 9 6
20. Gençlerbirliği 9 5
21. Ankaragücü 8 2
Takımlar O P
1. Altınordu 11 23
2. Ankara Keçiörengücü 11 21
3. Samsunspor 11 20
4. Adana Demirspor 10 18
5. İstanbulspor 10 18
6. Tuzlaspor 10 18
7. Altay 9 16
8. Giresunspor 10 16
9. Bursaspor 11 14
10. Balıkesirspor 11 14
11. Akhisar Bld.Spor 11 13
12. Adanaspor 9 12
13. Bandırmaspor 11 11
14. Ümraniye 11 10
15. Menemen Belediyespor 9 9
16. Ankaraspor 10 8
17. Boluspor 10 7
18. Eskişehirspor 11 1
Takımlar O P
1. Tottenham 10 21
2. Liverpool 10 21
3. Chelsea 10 19
4. Leicester City 10 18
5. Southampton 10 17
6. Wolverhampton 10 17
7. Everton 10 16
8. M. United 9 16
9. Aston Villa 8 15
10. Man City 9 15
11. West Ham 9 14
12. Leeds United 10 14
13. Newcastle 10 14
14. Arsenal 10 13
15. Crystal Palace 10 13
16. Brighton 10 10
17. Fulham 10 7
18. West Bromwich 10 6
19. Burnley 9 5
20. Sheffield United 10 1
Takımlar O P
1. Real Sociedad 11 24
2. Atletico Madrid 9 23
3. Villarreal 11 20
4. Real Madrid 10 17
5. Sevilla 9 16
6. Cádiz 11 15
7. Barcelona 9 14
8. Granada 10 14
9. Athletic Bilbao 10 13
10. Elche 9 13
11. Getafe 10 13
12. Deportivo Alaves 11 13
13. Valencia 11 12
14. Real Betis 10 12
15. Osasuna 10 11
16. Eibar 10 10
17. Real Valladolid 11 10
18. Celta de Vigo 11 10
19. Levante 10 8
20. Huesca 11 7