Siber Korsanlar Microsoft’un Geliştirdiği Dijital İmzaya Ulaştı!

Siber korsanların, FiveSys rootkit’ini (işletim sisteminin arka planında çalışan program veya programlar) kullanarak dijital olarak Microsoft tarafından imzalanan sunucu sertifika sürecine erişebildiği ortaya çıktı.

Onaylanmış imza, siber korsanların tarafından müdahale edilen bilgisayarlara erişimini mümkün kılan rootkit’in doğrulanmasını sağlıyor. Bu oldukça kötü bir haber, zira böylece işletim sisteminin kısıtlamaları atlanabiliyor ve “görsel sınırsız imtiyazlar” olarak ifade edilen idare seviyesine erişiliyor.

Siber korsanların çalıntı dijital sertifikalar kullandıkları bilinse de en son vakada onaylanmış 1 adet elde edebildikleri ortaya çıktı. Halen nasıl doğrulanmış bir sertifikaya erişebildikleri ise tam anlamıyla muamma.

Araştırmacılar FiveSys’in siber korsanların eline müdahale edilmiş yazılım indirme işlemleri ile birlikte düşmüş olabileceğine inanıyor. Yüklenmesinin ardından FiveSys internet trafiğini uzaktaki bir sunucuya yönlendiriyor. Söz konusu işlemde tarayıcının uzak sunucuyu tanımlayamayacağı rastgele bir sertifika yükleniyor.

Hedefte online oyuncular var

FiveSys rookit kullanılarak düzenlenen siber saldırıların çevrimiçi (online) oyuncuları hedeflediği ve hesap bilgileri ile oyun alışverişlerine müdahale etmeyi amaçladığı bilgisi paylaşıldı. Siber korsanların motivasyonunun çevrimiçi oyunlarla bağlantılı banka bilgilerinin yanı sıra satılabilecek birçok sanal eşya olduğu düşünülüyor. Saldırının Çin’de yaşandığı ve saldırganların da bu ülkede bulunduğu tahmin ediliyor.

Rootkit oyuncıların hesaplarından bilgi çalmak için kullanılırken, gelecekte başka amaçlar için de kullanılabileceği ifade edildi. Bazı temel güvenlik önlemleri alarak bu tarz saldırıların engellenebileceği de not düşüldü.

Çevrimiçi oyuncuların güvenilir kaynaklara ait web sayfalarından oyun indirmesi ve modern güvenlik çözümleri kullanması tavsiye edildi. Antivüs yazılımları, devreye geçmeden önce rootkit tespiti yapabiliyor.