AYGIT YAZILIMI ÖNYÜKLEME KİTİ OLARAK BİLİNEN YAZILIM TÜRÜNÜ KULLANAN CASUSLUK EYLEMİ TESPİT EDİLDİ
Kaspersky araştırmacıları, aygıt yazılımı önyükleme kiti olarak bilinen ve çok nadir görülen bir kötü amaçlı yazılım türünü kullanan gelişmiş bir kalıcı tehdit (APT) casusluk kampanyasını ortaya çıkardı.
06 Ekim 2020 Salı 14:30
Kaspersky araştırmacıları, aygıt yazılımı önyükleme kiti olarak bilinen ve çok nadir görülen bir kötü amaçlı yazılım türünü kullanan gelişmiş bir kalıcı tehdit (APT) casusluk kampanyasını ortaya çıkardı. Çağdaş bilgisayarların önemli bir bileşeni olan Birleşik Genişletilebilir Ürün Yazılımı Arayüzünde (UEFI) tespit edilen bu zararlı yazılım, Kaspersky’nin UEFI/BIOS tarama teknolojisi tarafından keşfedildi. Bu durum virüs bulaşmış cihazların tespit edilmesini ve virüsün temizlenmesini çok daha zor hale getiriyor. Kötü amaçlı yazılımla birlikte kullanılan UEFI önyükleme seti, 2015'te sızdırılan Hacking Team önyükleme setinin özel bir sürümü.
Donanıma gömülü UEFI yazılımı, bilgisayara yüklü işletim sistemi ve bunun üzerinde yer alan diğer tüm programlardan önce çalışmaya başlayan bilgisayarın önemli bir parçası. UEFI yazılımı bir şekilde kötü amaçlı kod içerecek şekilde değiştirilirse, bu kod işletim sisteminden önce başlatılıyor ve bu da saldırıyı güvenlik çözümleri açısından potansiyel olarak görünmez hale getiriyor. UEFI verisinin sabit sürücüden ayrı olarak kendine özgü bir flash yongada yer alması, işletim sistemi tamamen silinip yeniden yüklense bile tehdidin cihazda yer almaya devam edeceği anlamına geliyor.
Kaspersky araştırmacıları, MosaicRegressor olarak adlandırılan karmaşık, çok aşamalı modüler bir kampanyada bu tür kötü amaçlı yazılımların bir örneğini buldular. Yeni keşfedilen bu kampanya, casusluk ve UEFI’ye yerleşen kötü amaçlı yazılım sayesinde veri toplama için kullanıldı.
UEFI bootkit bileşenleri, ağırlıklı olarak Hacking Team tarafından geliştirilen ve kaynak kodu 2015'te çevrimiçi olarak sızdırılan 'Vector-EDK' önyükleme setine dayanıyor. Sızan kod, büyük olasılıkla failler tarafından çok az bir geliştirme çabasıyla kendi yazılımlarını oluşturmak riski azaltmak için kullanıldı.
Saldırılar, 2019'un başından beri Kaspersky ürünlerine dahil edilen Firmware Scanner yardımıyla tespit edildi. Bu teknoloji, UEFI bellenim görüntüleri de dahil olmak üzere ROM BIOS'ta gizlenen tehditleri tespit etmek için özel olarak geliştirildi.
Saldırganların orijinal UEFI aygıt yazılımının üzerine yazmasına izin veren kesin bulaşma vektörünü tespit etmek mümkün olmasa da, Kaspersky araştırmacıları, sızdırılan Hacking Team belgelerinden VectorEDK hakkında bilinenlere dayanarak bunun nasıl yapılacağına dair olasılıkları çıkardılar. Diğer seçenekleri göz ardı etmemekle birlikte virüs muhtemelen kurbanın makinesine fiziksel erişim yoluyla, özellikle özel bir güncelleme yardımcı programı içeren önyüklenebilir bir USB bellek yardımıyla giriş yapıyor. İlk bulaşma sonrası Truva atı indiricisi devreye girerek saldırganın ihtiyaçlarına uygun herhangi bir zararlı kodun işletim sistemi çalışır durumdayken indirilmesini sağlıyor.
Bununla birlikte çoğu durumda MosaicRegressor bileşenleri çok daha basit yollarla, örneğin mesaj eklerindeki sahte arşivlere gizlenmiş dosyaların seçilen hedeflere gönderilmesiyle cihazlara sızdırıldı. Kampanyanın modüler yapısı, saldırıların geniş bir alana yayılarak analizlerden gizlenmesine ve bileşenlerin yalnızca hedeflenen cihazlara gönderilmesine yardımcı oldu. Virüs bulaşmış cihaza başlangıçta yüklenen kötü amaçlı yazılım, ek yük ve diğer kötü amaçlı yazılımları indirebilen bir program olan Truva atı indiricisinden oluşuyor. İndirilen yüke bağlı olarak, kötü amaçlı yazılım keyfi URL'lerden rastgele dosyalar indirip yükleyerek hedeflenen makineden bilgi toplayabiliyor.
Keşfedilen kurbanların bağlantısına dayanarak, araştırmacılar MosaicRegressor'ın Afrika, Asya ve Avrupa'dan diplomatlara ve STK üyelerine yönelik bir dizi hedefli saldırıda kullanıldığını belirledi. Saldırıların bazıları Rus dilinde hedefli kimlik avı belgeleri içeriyordu. Bazıları ise Kuzey Kore ile ilgiliydi ve kötü amaçlı yazılımları indirmek için yem olarak kullanılıyordu.
Kampanyanın bilinen herhangi bir gelişmiş kalıcı tehdit aktörüyle bağlantısına rastlanmadı.
Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT) Kıdemli Güvenlik Araştırmacısı Mark Lechtik, şunları söylüyor: "UEFI saldırıları tehdit aktörleri için geniş fırsatlar sunsa da, MosaicRegressor bir tehdit aktörünün vahşi ortamda özel yapılmış, kötü niyetli bir UEFI ürün yazılımı kullandığı, kamuya açık olarak bilinen ilk vakadır. Serbest ortamda önceden gözlemlenen benzer saldırılar, meşru bir yazılımın (örneğin LoJax) basitçe yeniden tasarlanmasıyla gerçekleştiriliyordu. Oysa bu saldırı, istisnai durumlarda saldırganların kurbanın makinesinde en yüksek düzeyde kalıcılığı elde etmek için büyük çaba sarf etmeye istekli olduğunu gösteriyor. Tehdit aktörleri araç setlerini çeşitlendirmeye ve yaratıcılığını kullanmaya devam ediyor. Neyse ki teknolojimizin yanı sıra mevcut ve geçmiş kampanyalar hakkında edindiğimiz bilgiler, bu tür hedefli saldırıları izlememize ve raporlamamıza yardımcı oluyor.”
Kaspersky GReAT Baş Güvenlik Araştırmacısı Igor Kuznetsov da şunları ekliyor: "Sızan üçüncü taraf kaynak kodunun kullanılması ve yeni, gelişmiş bir kötü amaçlı yazılım olarak özelleştirilmesi, veri güvenliğinin önemini bizlere bir kez daha hatırlatıyor. Zararlı yazılım - bir önyükleme seti, kötü amaçlı yazılım veya başka bir şey olsun - bir kez sızdırıldığında, tehdit aktörleri önemli bir avantaj elde eder. Ücretsiz olarak kullanılabilen araçlar, onlara araç setlerini daha az çabayla ve daha düşük tespit edilme şansıyla geliştirme ve özelleştirme fırsatı sunuyor.”
Kaspersky, MosaicRegressor gibi tehditlerden korunmak için şunları öneriyor:
- SOC ekibinizin en son tehdit istihbaratına (TI) erişimini sağlayın. Kaspersky Tehdit İstihbarat Portalı, şirketin TI için sunduğu erişim noktasıdır ve Kaspersky tarafından 20 yıldan fazla bir süredir toplanan siber saldırı verileri ve içgörüler sağlar.
- Uç nokta düzeyinde algılama, araştırma ve olayların zamanında düzeltilmesi için Kaspersky Endpoint Detection and Response çözümlerini kullanın.
- Hedefli saldırıların çoğu kimlik avı veya diğer sosyal mühendislik teknikleriyle başladığından, personelinize temel siber güvenlik eğitimi verin.
- Kaspersky Endpoint Security for Business gibi firmware odaklı tehditleri de algılayabilen güçlü bir uç nokta güvenlik ürünü kullanın.
- UEFI sabit yazılımınızı güvenilir satıcıların ürün yazılımıyla düzenli olarak güncelleyin.
- “6. Dünya Sağlık Turizmi Forumu ve Konferansı” KKTC’nin ev sahipliğinde yapılıyorDünya Sağlık Turizmi Konseyi’nin “6. Dünya Sağlık Turizmi Forumu ve Konferansı” 50’yi aşkın ülkeden katılımcıyla KKTC ev sahipliğinde gerçekleştiriliyor.18 Nisan 2024 Perşembe 17:53KIBRIS
- Akansoy: Ön koşullarla bir yere varamayızCumhuriyetçi Türk Partisi (CTP) Genel Sekreteri Asım Akansoy, Kıbrıs sorunuyla ilgili parti olarak çok yoğun çalışma içinde olduklarını belirtti ve “Bu işin sonunu görmek istiyoruz. Kıbrıslı Türkler yeniden bir enkazla karşı karşıya kalmak istemiyor.18 Nisan 2024 Perşembe 17:48KIBRIS
- Kadına şiddet vakaları artıyor... 25 Yıllık eşini sokak ortasında darp etti!Lefkoşa’da meydana gelen kadına şiddet meselesiyle ilgili tutuklanan H.D mahkemeye çıkarıldı.18 Nisan 2024 Perşembe 17:37KIBRIS
- Marketten meyveli yoğurt, cips ketçap ve yulaf çaldı...Lefkoşa’daki müşteri olarak girdiği marketten meyveli yoğurt, cips, ketçap ve diyet yulaf çalan Nijeryalı J.T tutuklanarak, “Sirkat” ve “İkamet izinsiz” suçlamalarıyla mahkemeye çıkarıldı.18 Nisan 2024 Perşembe 17:29KIBRIS
- Dışişleri’nden AB Liderler Zirvesi’nin sonuç bildirgesine tepkiDışişleri Bakanlığı tarafından Avrupa Birliği (AB) Liderler Zirvesi sonuç bildirgesinde yer alan ‘Kıbrıs vurgusuna’ ilişkin yazılı bir açıklama yapıldı.18 Nisan 2024 Perşembe 17:27KIBRIS
- Armağan Candan AKPA'da konuştu: Kıbrıs'ta masaya dönme zamanıdırStrazburg'ta AKPA Genel Kurul çalışmalarına katılan Cumhuriyetçi Türk Partisi (CTP) Milletvekili Armağan Candan Siyasi Komite'de konuştu.18 Nisan 2024 Perşembe 17:26KIBRIS
- Cumhurbaşkanı Ersin Tatar, Lefkoşa Polis Müdürü Tarkan Kızıltuğ’u kabul ettiCumhurbaşkanı Ersin Tatar, bugün Lefkoşa Polis Müdürü Tarkan Kızıltuğ’u kabul etti.18 Nisan 2024 Perşembe 17:26KIBRIS
- Kıb-Tek’ten borç yapılandırma hatırlatması...Kıbrıs Türk Elektrik Kurumu (Kıb-Tek), tüm gerçek ve tüzel kişilerin tüketici borçlarının gecikme zamlarının yapılandırılması için müracaat tarihinin 22 Nisan’da son bulacağını hatırlattı.18 Nisan 2024 Perşembe 17:25KIBRIS
- Manuel Neuer tarihe geçtiUEFA Şampiyonlar Ligi çeyrek finalinde İngiliz temsilcisi Arsenal'i saf dışı bırakan Alman ekibi Bayern Münih'in kalecisi Manuel Neuer, 58 Devler Ligi maçında gol yemeyerek bu alanda rekor kırdı.18 Nisan 2024 Perşembe 17:18FUTBOL
- Kırgızistan'da TikTok'a erişim kısıtlandıKırgızistan'da, Çin merkezli sosyal medya platformu TikTok'a erişim kısıtlandı.18 Nisan 2024 Perşembe 16:49ASYA
- Geri
- Ana Sayfa
- Normal Görünüm
- © 2014 Detay Kıbrıs
Türkçe karakter kullanılmayan ve büyük harflerle yazılmış yorumlar onaylanmamaktadır.