Kaspersky Lab araştırmacıları, Orta Doğu ve Afrika’da2012’den Şubat 2018’e kadar siber casusluk için kullanılan gelişmiş bir tehdidikeşfetti. Araştırmacıların ‘Slingshot’ adını verdiği zararlı yazılımkurbanların bilgisayarlarına, ele geçirilmiş router’lar üzerinden bulaşıyor.Kernel modunda çalışabilen yazılım, kurbanın bilgisayarının tüm kontrolünüelinde bulundurabiliyor. Araştırmacılara göre, daha önce görülmemiş birçoktekniğin kullanıldığı bu tehdit, gizlice bilgi toplama konusunda inanılmazderecede etkili. Kendi veri trafiğini işaretli veri paketlerinde gizleyen buzararlı yazılım, iz bırakmadan günlük iletişimin arasına gizlenebiliyor.
Araştırmacılar şimdiye kadar Kenya, Yemen, Afganistan,Libya, Kongo, Ürdün, Türkiye, Irak, Sudan, Somali ve Tanzanya’da Slingshot veilgili modüllerden etkilenen 100 civarında kurban tespit etti. Kurbanlargenelde kurumlardan çok bireylerden oluşuyor. Ancak aralarında bazı devlet kurumve kuruluşları da yer alıyor. Zararlıyazılımdan etkilenenlerin önemli bir bölümü Kenya ve Yemen’de bulunuyor.
Slingshot operasyonu, araştırmacıların yazılankarakterleri kaydeden şüpheli bir programı fark edip, kodun başka bir yerdekullanılıp kullanılmadığını görmek için davranışsal tespit işaretioluşturmasının ardından keşfedildi. Bu yöntemin kullanılmasıyla, sistemklasöründe scesrv.dll adlı şüpheli bir dosyanın yer aldığı bir bilgisayartespit edildi. Araştırmacılar incelemeyi derinleştirmeye karar verdiler. Dosyaanaliz edildiğinde, yasal gibi gözükse de aslında scesrv.dll modülünde zararlıkodlar bulunduğu görüldü. Bu arşiv, sistem ayrıcalıklarına sahip ‘services.exe’ile birlikte yüklendiğinden aynı yetkileri elde ediyordu. Araştırmacılar bu sayedeçok gelişmiş bir saldırganın, bilgisayarların en temel merkezine girebildiğinianladılar.
Slingshot’ın en çok dikkat çeken özelliği, pek de yaygınolmayan saldırı yöntemlerini kullanması. Araştırmacılar daha fazla kurbankeşfettikçe, çoğunda yazılımın ele geçirilmiş router’lardan bulaştığınıgördüler. Slingshot’ın arkasındaki grubun saldırı sırasında router’ları elegeçirip, içine zararlı bir dinamik bağlantı arşivi yerleştirdiği belirlendi. Buarşiv aslında diğer zararlı bileşenlerin indirilmesini sağlıyordu. Bir sistemyöneticisi router’ı yapılandırmak için giriş yaptığında, router’ın yönetimyazılımı zararlı modülü sistem yöneticisinin bilgisayarına indiripçalıştırıyor. Router’ların nasıl ele geçirildiği ise henüz bilinmiyor.
Bulaşmasının ardından, Slingshot kurbanın cihazına çoksayıda modül yüklüyor. Bunlar arasında iki adet çok büyük ve güçlü modülbulunuyor: Cahnadr ve GollumApp. Bağlı bu iki modül; bilgi toplama, süreklilikve dışarı veri sızdırma konularında birbirine destek oluyor.
Slingshot’ın siber casusluk amacıyla kullanıldığıdüşünülüyor. Yapılan analizlerde yazılımın; ekran görüntüleri, klavye verileri,ağ verileri, parolalar, USB bağlantıları, diğer masaüstü aktiviteleri ve panoverilerini toplayabildiği anlaşıldı. Zaten yazılımın kernel erişiminin olmasıistediği her şeyi çalabileceği anlamına geliyor.
Bu gelişmiş kalıcı tehdit, tespit edilmesini önlemek içinde bazı yöntemler kullanıyor. Bunların arasında modüllerdeki tüm dizilerişifreleme, güvenlik ürünlerinden kaçınmak için doğrudan sistem servisleriniçağırma, hata ayıklamaya karşı teknikler kullanma ve çalışan güvenlik çözümüsüreçlerine göre hangi süreçleri etkileyeceğini belirleme gibi yöntemler yeralıyor.
Pasif bir arka kapı şekline çalışan Slingshot’takodlanmış bir komut ve kontrol adresi bulunmuyor. Ancak bu adresi, kernelmodundaki tüm ağ paketlerinin arasına girip başlıkta kodlanmış iki adet sihirlisabit olmadığını kontrol ederek operatörden alıyor. Başlıkta iki adet sihirlisabitin yer alması o pakette komut ve kontrol adresi olduğu anlamına geliyor.Daha sonra Slingshot, komut ve kontrol adresiyle şifreli bir iletişim kanalıkuruyor ve çaldığı verileri bunun üzerinden aktarmaya başlıyor.
Araştırmacıların incelediği örneklerin ‘sürüm 6.x’ olarakişaretlenmiş olması, tehdidin çok uzun bir süredir kullanıldığını ortayakoyuyor. Slingshot’ın karmaşık araçlarını geliştirmek için gereken zaman,beceri ve paranın çok yüksek olduğu tahmin ediliyor. Tümü bu ipuçları bir arayagetirildiğinde, Slingshot’ın arkasındaki grubun organize, profesyonel vemuhtemelen devlet destekli bir grup olduğu düşünülebilir. Kodlardaki metinler,grubun İngilizce konuşan kişilerden oluşabileceğini gösteriyor. Ancak bu gibidurumlarda doğru tahmin yapmak ve kişileri tam olarak belirlemek imkânsız olmasabile epey zor, manipülasyona ve hataya açık oluyor.
Kasperky Lab Zararlı Yazılım Baş Analisti Alexey Shulmin,“Slingshot, bugüne kadar yalnızca en gelişmiş saldırılarda gördüğümüz kernelmodu modülleri gibi birçok araç ve yöntem kullanan oldukça karmaşık bir tehdit.Yazılımın sahip olduğu işlevler saldırganlar için çok değerli. Bu daSlingshot’ın neden yaklaşık altı yıldır kullanıldığını açıklayabilir” dedi.
Kaspersky Lab’in tüm ürünleri bu tehdidi tespit edipengelleyebiliyor.
Kaspersky Lab araştırmacıları bu tür bir saldırıdanetkilenmemek için şunları öneriyor:
Mikrotik router’larını kullananlar, bilinen açıklardankorunmak için en kısa sürede yazılımlarını son sürüme yükseltmeli. Ek olarak, Mikrotik Winbox artık router’dankullanıcı bilgisayarına hiçbir şey indirilmesine izin vermiyor.
Gelişmiş hedefli saldırıları tespit edip yakalayabilmekve ağ anormalliklerini analiz edebilmek için Kaspersky Lab'in HedefliSaldırıdan Koruma çözümü Kaspersky Anti Targeted Attack Platform ve Tehditİstihbaratı Hizmetleri gibi kanıtlanmış kurumsal sınıf güvenlik çözümlerikullanın.
Kaspersky Threat Management and Defence çözümü gibi,hedefli saldırıları önleyen teknolojilere ve tehdit istihbaratı özelliğinesahip kurumsal düzeyde bir güvenlik çözümü kullanın. Bu çözümler, ağdakianormallikleri analiz edip siber güvenlik ekiplerinin tüm ağı görebilmesini veotomatik tepki vermesini sağlayarak gelişmiş hedefli saldırılarıyakalayabiliyor.
Güvenlik ekiplerinin en son tehdit istihbaratı verilerineerişmesini sağlayın. Bu sayede, hedefli saldırıları önlemeleri için sızmabelirtileri (IOC), YARA ve özel gelişmiş tehdit raporlaması gibi faydalıaraçlara sahip olabilirler.
Bir hedefli saldırının ilk belirtilerini tespitettiyseniz gelişmiş tehditleri önceden tespit etmenizi sağlayan yönetimligüvenlik servislerini kullanın. Böylece tehdidin sistemde kalma süresiniazaltıp zamanında karşılık verebilirsiniz.
