Bizi takip edin

Haberler

Yönlendiriciler üzerinden bulaşan Slingshot’ın kurbanları arasında Türkiye de var

tarihinde yayımlandı

Slingshot

Kaspersky Lab araştırmacıları, özellikle Ortadoğu ve Afrika’da 2012 ile 2018 yılları arasında etkili olan siber casusluk için kullanılan Slingshot adı verilen zararlı bir yazılım tespit etti. Kötü amaçlı yazılım ele geçirilen yönlendiriciler üzerinden kullanıcıların cihazlarına bulaşıyor. Çekirdek modunda çalışan bu yazılım, bulaştığı cihazın tüm kontrolünü eline geçiriyor. Daha önce hiç görülmemiş birçok tekniği bünyesinde barındıran bu tehdit, gizlice veri toplama konusunda çok etkili ve iz bırakmadan faaliyet gösteriyor.

Araştırmacılar şimdiye kadar Kenya, Yemen, Afganistan, Libya, Kongo, Ürdün, Türkiye, Irak, Sudan, Somali ve Tanzanya’da Slingshot ve ilgili modüllerden etkilenen 100 civarında kurban tespit etti. Kurbanlar genelde kurumlardan çok bireylerden oluşuyor. Ancak aralarında bazı devlet kurum ve kuruluşları da yer alıyor.  Zararlı yazılımdan etkilenenlerin önemli bir bölümü Kenya ve Yemen’de bulunuyor.

Slingshot operasyonu, araştırmacıların yazılan karakterleri kaydeden şüpheli bir programı fark edip, kodun başka bir yerde kullanılıp kullanılmadığını görmek için davranışsal tespit işareti oluşturmasının ardından keşfedildi. Bu yöntemin kullanılmasıyla, sistem klasöründe scesrv.dll adlı şüpheli bir dosyanın yer aldığı bir bilgisayar tespit edildi. Araştırmacılar incelemeyi derinleştirmeye karar verdiler. Dosya analiz edildiğinde, yasal gibi gözükse de aslında scesrv.dll modülünde zararlı kodlar bulunduğu görüldü. Bu arşiv, sistem ayrıcalıklarına sahip ‘services.exe’ ile birlikte yüklendiğinden aynı yetkileri elde ediyordu. Araştırmacılar bu sayede çok gelişmiş bir saldırganın, bilgisayarların en temel merkezine girebildiğini anladılar.

Yaygın olmayan saldırı yöntemleri kullanıyor

Slingshot’ın en çok dikkat çeken özelliği, pek de yaygın olmayan saldırı yöntemlerini kullanması. Araştırmacılar daha fazla kurban keşfettikçe, çoğunda yazılımın ele geçirilmiş yönlendiricilerden bulaştığını gördüler. Slingshot’ın arkasındaki grubun saldırı sırasında yönlendiricileri ele geçirip, içine zararlı bir dinamik bağlantı arşivi yerleştirdiği belirlendi. Bu arşiv aslında diğer zararlı bileşenlerin indirilmesini sağlıyordu. Bir sistem yöneticisi yönlendiriciyi yapılandırmak için giriş yaptığında, yönlendiricinin yönetim yazılımı zararlı modülü sistem yöneticisinin bilgisayarına indirip çalıştırıyor. Yönlendiricilerin nasıl ele geçirildiği ise henüz bilinmiyor.

Bulaşmasının ardından, Slingshot kurbanın cihazına çok sayıda modül yüklüyor. Bunlar arasında iki adet çok büyük ve güçlü modül bulunuyor: Cahnadr ve GollumApp. Bağlı bu iki modül; bilgi toplama, süreklilik ve dışarı veri sızdırma konularında birbirine destek oluyor.

Slingshot’ın siber casusluk amacıyla kullanıldığı düşünülüyor. Yapılan analizlerde yazılımın; ekran görüntüleri, klavye verileri, ağ verileri, parolalar, USB bağlantıları, diğer masaüstü aktiviteleri ve pano verilerini toplayabildiği anlaşıldı. Zaten yazılımın çekirdek erişiminin olması istediği her şeyi çalabileceği anlamına geliyor.

Bu gelişmiş kalıcı tehdit, tespit edilmesini önlemek için de bazı yöntemler kullanıyor. Bunların arasında modüllerdeki tüm dizileri şifreleme, güvenlik ürünlerinden kaçınmak için doğrudan sistem servislerini çağırma, hata ayıklamaya karşı teknikler kullanma ve çalışan güvenlik çözümü süreçlerine göre hangi süreçleri etkileyeceğini belirleme gibi yöntemler yer alıyor.

Şifreli kanal oluşturuyor

Pasif bir arka kapı şekline çalışan Slingshot’ta kodlanmış bir komut ve kontrol adresi bulunmuyor. Ancak bu adresi, kernel modundaki tüm ağ paketlerinin arasına girip başlıkta kodlanmış iki adet sihirli sabit olmadığını kontrol ederek operatörden alıyor. Başlıkta iki adet sihirli sabitin yer alması o pakette komut ve kontrol adresi olduğu anlamına geliyor. Daha sonra Slingshot, komut ve kontrol adresiyle şifreli bir iletişim kanalı kuruyor ve çaldığı verileri bunun üzerinden aktarmaya başlıyor.

Araştırmacıların incelediği örneklerin ‘sürüm 6.x’ olarak işaretlenmiş olması, tehdidin çok uzun bir süredir kullanıldığını ortaya koyuyor. Slingshot’ın karmaşık araçlarını geliştirmek için gereken zaman, beceri ve paranın çok yüksek olduğu tahmin ediliyor. Tümü bu ipuçları bir araya getirildiğinde, Slingshot’ın arkasındaki grubun organize, profesyonel ve muhtemelen devlet destekli bir grup olduğu düşünülebilir. Kodlardaki metinler, grubun İngilizce konuşan kişilerden oluşabileceğini gösteriyor. Ancak bu gibi durumlarda doğru tahmin yapmak ve kişileri tam olarak belirlemek imkânsız olmasa bile epey zor, manipülasyona ve hataya açık oluyor.

Kasperky Lab Zararlı Yazılım Baş Analisti Alexey Shulmin, “Slingshot, bugüne kadar yalnızca en gelişmiş saldırılarda gördüğümüz çekirdek modu modülleri gibi birçok araç ve yöntem kullanan oldukça karmaşık bir tehdit. Yazılımın sahip olduğu işlevler saldırganlar için çok değerli. Bu da Slingshot’ın neden yaklaşık altı yıldır kullanıldığını açıklayabilir” dedi.

Okumaya Devam Et