Kaspersky araştırmacıları, Çince konuşan Gelişmiş Kalıcı Tehdit (APT) odağı LuoYu tarafından yayılan WinDealer isimli makus maksatlı yazılımın, man-on-the-side (yandaki adam) atak tekniğiyle müsaadesiz girişler gerçekleştirme yeteneğine sahip olduğunu keşfetti. Bu çığır açan gelişme, tehdit odağının ağ trafiğini makûs maksatlı yazılımlar eklemek için değiştirmesine imkan tanıyor. Bu tıp hücumlar bilhassa tehlikeli ve yıkıcı niteliğe sahip, zira başarılı bir bulaşmaya yol açmak için gayeyle rastgele bir etkileşime gerek duymuyorlar.
TeamT5’in bulgularını takip eden Kaspersky araştırmacıları, WinDealer makûs gayeli yazılımını yaymak için operatörler tarafından uygulanan yeni bir dağıtım formülü keşfetti. Bu prosedür, ağ trafiğini okuyarak yeni iletiler ekleyebildikleri özel bir teknik kullanıyor. Man-on-the-side (Yandaki adam) olarak isimlendirilen bu atağın genel konsepti, saldırganın ağda makul bir kaynağa yönelik istek gördüğünde ortaya girerek kurbana legal sunucudan daha süratli karşılık göndermesine ve kendi istediği içerikleri iletmesine dayanıyor. Saldırgan ‘yarışı’ kazanırsa, amaç makine olağan bilgiler yerine saldırgan tarafından sağlanan bilgileri kullanıyor. Saldırganlar birden fazla teşebbüste sonuca ulaşamasalar dahi, başarılı olana kadar tekrar deniyorlar ve sonunda birçok aygıta bulaşmayı başarıyorlar.
Saldırının akabinde gaye aygıta, etkileyici ölçüde bilgi toplayabilen bir casus yazılım uygulaması gönderiliyor. Saldırganlar, bu sayede aygıtta depolanan belgeleri görüntüleyebiliyor, indirebiliyor ve tüm evraklarda anahtar söz araması yapabiliyor. LuoYu çoklukla Çin’de kurulan yabancı diplomatik kuruluşları, akademik topluluğun üyelerini, savunma, lojistik ve telekomünikasyon şirketlerini hedefliyor. Saldırganlar Windows aygıtlarına sızmak için WinDealer’ı kullanıyor.
Tipik olarak berbat maksatlı yazılım, berbat niyetli operatörün tüm sistemi denetim ettiği, sabit kodlanmış bir Komuta ve Denetim sunucusu içeriyor. Bu sunucu hakkındaki bilgiler tespit edildiğinde, berbat emelli yazılımın etkileşimde bulunduğu makinelerin IP adresini bloke ederek tehdidi etkisiz hale getirmek mümkün. Fakat WinDealer, hangi makineyle temas kurulacağını belirlemek için karmaşık bir IP algoritmasına güveniyor. Bu, 48 bin civarında IP adresini içeriyor ve operatörün adreslerin küçük bir kısmını bile denetim etmesini neredeyse imkânsız hale getiriyor. Bu imkânsız görünen ağ davranışını açıklamanın tek yolu, saldırganların kelam konusu IP aralığında değerli müdahale yeteneklerine sahip olduğunu ve hiçbir maksada ulaşmayan ağ paketlerini dahi okuyabildiğini varsayımından geçiyor.
Bu şekil hücumların bilhassa yıkıcı olmasının sebebi başarılı bir bulaşmaya yol açmak için maksatla rastgele bir etkileşim gerektirmemesi. Yalnızca internete bağlı bir makineye sahip olmak bile kâfi. Ayrıyeten trafiği diğer bir ağ üzerinden yönlendirmenin haricinde kullanıcıların kendilerini bu akından korumak için yapabilecekleri hiçbir şey yok. Bu müdafaa bir VPN ile sağlanabilse de bölgeye bağlı olarak VPN bir seçenek olmayabilir ve Çin vatandaşlarının büyük bir kısmı tarafından kullanılamayabilir.
LuoYu kurbanlarının büyük çoğunluğu Çin’de bulunuyor. Bu nedenle Kaspersky uzmanları LuoYu’nun yüklü olarak Çince konuşan kurbanlara ve Çin ile ilgili kuruluşlara odaklandığına inanıyor. Bununla birlikte Kaspersky araştırmacıları, Almanya, Avusturya, Amerika Birleşik Devletleri, Çek Cumhuriyeti, Rusya ve Hindistan üzere öteki ülkelere yönelik hücumlar da keşfettiler.
Kaspersky Global Araştırma ve Tahlil Takımı (GReAT) Kıdemli Güvenlik Araştırmacısı Suguru Ishimaru şunları söylüyor: “LuoYu, sırf en üst seviye saldırganların kullanabileceği cinste fonksiyonellikten yararlanabilen, son derece karmaşık bir tehdit odağı olarak öne çıkıyor. Bu cins yetenekleri nasıl geliştirebildikleri konusunda yalnızca spekülasyon yapabiliriz. Bir aygıta saldırmak için gereken tek şart aygıtın internete bağlı olmasıdır ve man-on-the-side hücumları son derece yıkıcıdır. Taarruz birinci seferde başarısız olsa bile saldırganlar başarılı olana kadar süreci tekrarlayabilirler. Bu formda çoklukla diplomatlar, bilim insanları ve öbür kilit kesimlerdeki çalışanlardan oluşan kurbanlarına yönelik son derece tehlikeli ve başarılı casusluk akınları gerçekleştirebilirler. Taarruz nasıl gerçekleştirilmiş olursa olsun, potansiyel kurbanların kendilerini savunmasının tek yolu son derece uyanık davranmaktan, nizamlı antivirüs taramaları, giden ağ trafiğinin tahlili ve anormallikleri tespit etmek için kapsamlı günlük kaydı üzere sağlam güvenlik prosedürlerine sahip olmaktan geçiyor.”
WinDealer hakkında raporun tamamı Securelist’te okunabilir.
Bu üzere gelişmiş tehditlerden korunmak için Kaspersky şunları öneriyor:
- Normal antivirüs taramaları, giden ağ trafiğinin tahlili ve anormallikleri tespit etmek için kapsamlı günlük kaydı içeren sağlam güvenlik prosedürleri kurgulanmalıdır.
- Ağların siber güvenlik kontrolünü gerçekleştirilmelidir ve ağın etrafında yahut içinde keşfedilen tüm zayıflıklar giderilmelidir.
- Anti-APT ve EDR tahlilleri kullanılmalıdır. SOC takımının en son tehdit istihbaratına erişimi sağlanmalıdır ve profesyonel eğitimlerle tertipli olarak marifetleri yükseltilmelidir. Üsttekilerin tümü Kaspersky Expert Security çerçevesinde mevcuttur.
- Uygun uç nokta müdafaasının yanı sıra, özel hizmetler de yüksek profilli akınlara karşı korunmada yardımcı olabilir. Kaspersky Managed Detection and Response hizmeti, saldırganlar gayelerine ulaşmadan evvel akınları erken basamaklarında belirlemeye ve durdurmaya yardımcı olur.
- İşletmelere yüksek seviyede güvenlik sağlamak için yeni tehditlerin farkında olunmalıdır. Tehdit İstihbaratı Kaynak Merkezi, devam eden siber taarruzlar ve tehditler hakkında bağımsız, daima güncellenen, global bilgilere fiyatsız olarak erişim sağlar.
Kaynak: (BHA) – Beyaz Haber Ajansı
