Haberler
Kötü Amaçlı Yazılım WinDealer Tehlike Saçıyor!
WinDealer’in etkili olmasının sebebi başarılı bir bulaşmaya yol açmak için hedefle herhangi bir etkileşim gerektirmemesi. İnternete bağlı bir makineye sahip olmak bile yeterli…
Güvenlik araştırmacıları, Çince konuşan Gelişmiş Kalıcı Tehdit (APT) odağı LuoYu tarafından yayılan WinDealer adlı kötü amaçlı yazılımın, man-on-the-side (yandaki adam) saldırı tekniğiyle izinsiz girişler gerçekleştirme yeteneğine sahip olduğunu ortaya çıkardı. Bu çığır açan gelişme, tehdit odağının ağ trafiğini kötü amaçlı yazılımlar eklemek için değiştirmesine olanak tanıyor. Bu tür saldırılar özellikle tehlikeli ve yıkıcı niteliğe sahip, çünkü başarılı bir bulaşmaya yol açmak için hedefle herhangi bir etkileşime gerek duymuyorlar.
TeamT5’in bulgularını takip eden araştırmacılar, WinDealer kötü amaçlı yazılımını yaymak için operatörler tarafından uygulanan yeni bir dağıtım yöntemi keşfetti. Bu yöntem, ağ trafiğini okuyarak yeni mesajlar ekleyebildikleri özel bir teknik kullanıyor. Man-on-the-side (Yandaki adam) olarak adlandırılan bu saldırının genel konsepti, saldırganın ağda belirli bir kaynağa yönelik istek gördüğünde araya girerek kurbana meşru sunucudan daha hızlı yanıt göndermesine ve kendi istediği içerikleri iletmesine dayanıyor. Saldırgan ‘yarışı’ kazanırsa, hedef makine normal veriler yerine saldırgan tarafından sağlanan verileri kullanıyor. Saldırganlar çoğu girişimde sonuca ulaşamasalar dahi, başarılı olana kadar tekrar deniyorlar ve sonunda çoğu cihaza bulaşmayı başarıyorlar.
Saldırının ardından hedef cihaza, etkileyici miktarda bilgi toplayabilen bir casus yazılım uygulaması gönderiliyor. Saldırganlar, bu sayede cihazda depolanan dosyaları görüntüleyebiliyor, indirebiliyor ve tüm belgelerde anahtar kelime araması yapabiliyor. LuoYu genellikle Çin’de kurulan yabancı diplomatik kuruluşları, akademik camianın üyelerini, savunma, lojistik ve telekomünikasyon şirketlerini hedefliyor. Saldırganlar Windows cihazlarına sızmak için WinDealer’ı kullanıyor.
Tipik olarak kötü amaçlı yazılım, kötü niyetli operatörün tüm sistemi kontrol ettiği, sabit kodlanmış bir Komuta ve Kontrol sunucusu içeriyor. Bu sunucu hakkındaki bilgiler tespit edildiğinde, kötü amaçlı yazılımın etkileşimde bulunduğu makinelerin IP adresini bloke ederek tehdidi etkisiz hale getirmek mümkün. Ancak WinDealer, hangi makineyle bağlantı kurulacağını belirlemek için karmaşık bir IP algoritmasına güveniyor. Bu, 48 bin civarında IP adresini içeriyor ve operatörün adreslerin küçük bir kısmını bile kontrol etmesini neredeyse imkânsız hale getiriyor. Bu imkânsız görünen ağ davranışını açıklamanın tek yolu, saldırganların söz konusu IP aralığında önemli müdahale yeteneklerine sahip olduğunu ve hiçbir hedefe ulaşmayan ağ paketlerini dahi okuyabildiğini varsayımından geçiyor.
Bu tarz saldırıların özellikle etkili olmasının sebebi başarılı bir bulaşmaya yol açmak için hedefle herhangi bir etkileşim gerektirmemesi. Sadece internete bağlı bir makineye sahip olmak bile yeterli. Ayrıca trafiği başka bir ağ üzerinden yönlendirmenin haricinde kullanıcıların kendilerini bu saldırıdan korumak için yapabilecekleri hiçbir şey yok. Bu koruma bir VPN ile sağlanabilse de bölgeye bağlı olarak VPN bir seçenek olmayabilir ve Çin vatandaşlarının büyük bir kısmı tarafından kullanılamayabilir.
LuoYu kurbanlarının büyük çoğunluğu Çin’de bulunuyor. Bu nedenle uzmanlar LuoYu’nun ağırlıklı olarak Çince konuşan kurbanlara ve Çin ile ilgili kuruluşlara odaklandığına inanıyor. Bununla birlikte Almanya, Avusturya, Amerika Birleşik Devletleri, Çek Cumhuriyeti, Rusya ve Hindistan gibi diğer ülkelere yönelik saldırılar da keşfedildi.