Kaspersky araştırmacıları, Çince konuşan Gelişmiş Kalıcı Tehdit (APT) odağı LuoYu tarafından yayılan WinDealer isimli makûs emelli yazılımın, man-on-the-side (yandaki adam) taarruz tekniğiyle müsaadesiz girişler gerçekleştirme yeteneğine sahip olduğunu keşfetti. Bu çığır açan gelişme, tehdit odağının ağ trafiğini makus hedefli yazılımlar eklemek için değiştirmesine imkan tanıyor. Bu tıp ataklar bilhassa tehlikeli ve yıkıcı niteliğe sahip, zira başarılı bir bulaşmaya yol açmak için gayeyle rastgele bir etkileşime gerek duymuyorlar.
TeamT5’in bulgularını takip eden Kaspersky araştırmacıları, WinDealer makûs emelli yazılımını yaymak için operatörler tarafından uygulanan yeni bir dağıtım metodu keşfetti. Bu sistem, ağ trafiğini okuyarak yeni bildiriler ekleyebildikleri özel bir teknik kullanıyor. Man-on-the-side (Yandaki adam) olarak isimlendirilen bu hücumun genel konsepti, saldırganın ağda muhakkak bir kaynağa yönelik istek gördüğünde ortaya girerek kurbana yasal sunucudan daha süratli karşılık göndermesine ve kendi istediği içerikleri iletmesine dayanıyor. Saldırgan ‘yarışı’ kazanırsa, amaç makine olağan datalar yerine saldırgan tarafından sağlanan dataları kullanıyor. Saldırganlar birden fazla teşebbüste sonuca ulaşamasalar dahi, başarılı olana kadar tekrar deniyorlar ve sonunda birçok aygıta bulaşmayı başarıyorlar.
Saldırının akabinde gaye aygıta, etkileyici ölçüde bilgi toplayabilen bir casus yazılım uygulaması gönderiliyor. Saldırganlar, bu sayede aygıtta depolanan evrakları görüntüleyebiliyor, indirebiliyor ve tüm evraklarda anahtar söz araması yapabiliyor. LuoYu ekseriyetle Çin’de kurulan yabancı diplomatik kuruluşları, akademik topluluğun üyelerini, savunma, lojistik ve telekomünikasyon şirketlerini hedefliyor. Saldırganlar Windows aygıtlarına sızmak için WinDealer’ı kullanıyor.
Tipik olarak makûs hedefli yazılım, makûs niyetli operatörün tüm sistemi denetim ettiği, sabit kodlanmış bir Komuta ve Denetim sunucusu içeriyor. Bu sunucu hakkındaki bilgiler tespit edildiğinde, berbat hedefli yazılımın etkileşimde bulunduğu makinelerin IP adresini bloke ederek tehdidi etkisiz hale getirmek mümkün. Lakin WinDealer, hangi makineyle irtibat kurulacağını belirlemek için karmaşık bir IP algoritmasına güveniyor. Bu, 48 bin civarında IP adresini içeriyor ve operatörün adreslerin küçük bir kısmını bile denetim etmesini neredeyse imkânsız hale getiriyor. Bu imkânsız görünen ağ davranışını açıklamanın tek yolu, saldırganların kelam konusu IP aralığında değerli müdahale yeteneklerine sahip olduğunu ve hiçbir gayeye ulaşmayan ağ paketlerini dahi okuyabildiğini varsayımından geçiyor.
Bu şekil taarruzların bilhassa yıkıcı olmasının sebebi başarılı bir bulaşmaya yol açmak için amaçla rastgele bir etkileşim gerektirmemesi. Yalnızca internete bağlı bir makineye sahip olmak bile kâfi. Ayrıyeten trafiği öteki bir ağ üzerinden yönlendirmenin haricinde kullanıcıların kendilerini bu akından korumak için yapabilecekleri hiçbir şey yok. Bu müdafaa bir VPN ile sağlanabilse de bölgeye bağlı olarak VPN bir seçenek olmayabilir ve Çin vatandaşlarının büyük bir kısmı tarafından kullanılamayabilir.
LuoYu kurbanlarının büyük çoğunluğu Çin’de bulunuyor. Bu nedenle Kaspersky uzmanları LuoYu’nun yüklü olarak Çince konuşan kurbanlara ve Çin ile ilgili kuruluşlara odaklandığına inanıyor. Bununla birlikte Kaspersky araştırmacıları, Almanya, Avusturya, Amerika Birleşik Devletleri, Çek Cumhuriyeti, Rusya ve Hindistan üzere başka ülkelere yönelik taarruzlar da keşfettiler.
Kaspersky Global Araştırma ve Tahlil Takımı (GReAT) Kıdemli Güvenlik Araştırmacısı Suguru Ishimaru şunları söylüyor: “LuoYu, sırf en üst seviye saldırganların kullanabileceği çeşitte fonksiyonellikten yararlanabilen, son derece karmaşık bir tehdit odağı olarak öne çıkıyor. Bu çeşit yetenekleri nasıl geliştirebildikleri konusunda yalnızca spekülasyon yapabiliriz. Bir aygıta saldırmak için gereken tek şart aygıtın internete bağlı olmasıdır ve man-on-the-side hücumları son derece yıkıcıdır. Taarruz birinci seferde başarısız olsa bile saldırganlar başarılı olana kadar süreci tekrarlayabilirler. Bu biçimde çoklukla diplomatlar, bilim insanları ve öteki kilit bölümlerdeki çalışanlardan oluşan kurbanlarına yönelik son derece tehlikeli ve başarılı casusluk taarruzları gerçekleştirebilirler. Akın nasıl gerçekleştirilmiş olursa olsun, potansiyel kurbanların kendilerini savunmasının tek yolu son derece uyanık davranmaktan, sistemli antivirüs taramaları, giden ağ trafiğinin tahlili ve anormallikleri tespit etmek için kapsamlı günlük kaydı üzere sağlam güvenlik prosedürlerine sahip olmaktan geçiyor.”
WinDealer hakkında raporun tamamı Securelist’te okunabilir.
Bu üzere gelişmiş tehditlerden korunmak için Kaspersky şunları öneriyor:
- Normal antivirüs taramaları, giden ağ trafiğinin tahlili ve anormallikleri tespit etmek için kapsamlı günlük kaydı içeren sağlam güvenlik prosedürleri kurgulanmalıdır.
- Ağların siber güvenlik kontrolünü gerçekleştirilmelidir ve ağın etrafında yahut içinde keşfedilen tüm zayıflıklar giderilmelidir.
- Anti-APT ve EDR tahlilleri kullanılmalıdır. SOC grubunun en son tehdit istihbaratına erişimi sağlanmalıdır ve profesyonel eğitimlerle sistemli olarak marifetleri yükseltilmelidir. Üsttekilerin tümü Kaspersky Expert Security çerçevesinde mevcuttur.
- Uygun uç nokta muhafazasının yanı sıra, özel hizmetler de yüksek profilli taarruzlara karşı korunmada yardımcı olabilir. Kaspersky Managed Detection and Response hizmeti, saldırganlar amaçlarına ulaşmadan evvel taarruzları erken basamaklarında belirlemeye ve durdurmaya yardımcı olur.
- İşletmelere yüksek seviyede güvenlik sağlamak için yeni tehditlerin farkında olunmalıdır. Tehdit İstihbaratı Kaynak Merkezi, devam eden siber ataklar ve tehditler hakkında bağımsız, daima güncellenen, global bilgilere fiyatsız olarak erişim sağlar.
Kaynak: (BHA) – Beyaz Haber Ajansı