Bilişim dünyası son zamanlarda; bir grup bilgisayar korsanlarının beş yıl önce yazdıkları ve bu zamana kadar tespit edilmeden çalışan "Red October" kısaca "Rocra" adı verilen zararlı yazılımın ortaya çıkmasıyla çalkalanıyor.
Rocra ilk olarak Kaspersky Labs'ın çalışmaları sonucu ortaya çıktı. Kaspersky'ın raporlarına göre, Rocra adı verilen zararlı yazılımın ağırlıklı olarak Microsoft Office programları olan MS Excel, MS Word ve Adobe'nin pdf doküman görüntüleyicisi olarak bilinen Acrobat Reader üzerinde buldukları açıklarla sistemler arasında yayılmış. İlk bulgular veya tahminler bu şekilde olsa da ilerleyen zamanlarda, web tabanlı Java açıklarından da faydalandığı bilinmektedir.
Rocra'nın kimler tarafından yayıldığı şimdilik bilinmiyor fakat çalışma prensiplerinin Çin'li bilgisayar korsanlarının kullandığı bazı teknikleri kullanması bu ülkeye yönelik şüpheler oluşturmakta. Kaspersky'ın tahminlerine göre bu yazılım; ilk ortaya çıktığı Mayıs 2007 yılından itibaren terabaytlarca veri elde etmiş. Kaspersky Labs'ın raporları, dünya üzerinde bilgisayar kullanan tüm ülkelerde enfeksiyona bir şekilde rastlandığına işaret ediyor.
ROCRA Diplomatik ve Devlet Kurumlarına Etkisi
Üst düzey bir siber casusluk oluşumu; mobil cihazlardan, bilgisayar sistemlerinden ve ağ donanımlarından veri ve istihbarat toplama amaçlı diplomatik, resmi ve bilimsel araştırma kuruluşlarının ağlarına sızmışlar. Yapılan araştırmalar Rocra zararlı yazılımının Doğu Avrupa, Rusya, Orta Asya ülkeleri, Batı Avrupa ve Kuzey Amerika da aktif yayılım politikası izlediği görülüyor.
Rocra zararlı yazılımı, Dünya üzerindeki belirli ülkelerdeki diplomatik ve devlet kurumları ağlarına bulaşıp gereksiz gibi görünen verileri daha büyük saldırılarda kullanmak, parola ve ağ kimlikleri tahmin etmek amacı ile önceden oluşturulmuş özellikle Almanya ve Rusya da bulunan 60 dan fazla domain adı ve birçok sunucu hosting bölgelerine veri sızdırmaktadır. Command and control (C&C) alt yapısı ile beş yıldır bilinen yöntemleri kullanarak gizli kalması ve arka arkaya proxy kullanarak sunucuların tespitinin mümkün olmaması tehlikenin boyutunu artırıyor.
Çalışma/Yayılma Yöntemleri
Rocra'nın bulaştığı sistemlerden veri sızdırmanın yanında;
* Bu sistemlere bağlanan akıllı telefonlarda da çalıştırılabiliyor.
* Bu sistemlere bağlanan harici belleklerdeki silinen verileri dahil kurtarıp okuyabiliyor.
* Cisco marka ağ cihazlarının konfigürasyon bilgisini okuyabiliyor.
* E-postaların okunması, klavye hareketlerini kaydedici, ekran görüntüsü veya ekran kaydı, İnternet geçmişi ve birçok casus programının içerdiği bileşenleri hiçbir virüs programına görünmeden çalışabiliyor.
Nasıl çalışıyor?
Rocra'nın sisteme girişi; zararlı bir kod enjekte edilen bir belge ile başlıyor. Belgenin çalıştırılmasıyla birlikte zararlı kod da arka planda çalışarak; Rocra'nın kontrol merkezi ile iletişim yolu kurarak, zararlı yazılımların sisteme indirilmesi sağlanıyor.
Rocra ile iletişim kuran sunucunun devre dışı kalması halinde, gönderilecek bir e-posta ile kontrol noktası başka bir konuma aktarılabiliyor. Karmaşık proxy katmanları arkasına gizlenen Rocra sunucularının gerçek kaynağını bulmak ise son derece zorlaşıyor.
Şekil-1 Atağın ilk adımı olan MS Office açıklarının kullanılması
Sıkıştırılan «LHAFD.GCP» dosyası RC4 algoritması ile şifrelenmiştir. Bu dosya aslında bir arka kapı olup svchost.exe modülü altında çalışıyor. C&C makinesi ile iletişimin sağlanması ise şifreli dosyanın sistem hafızasına enjekte edilmesi ile sağlanıyor.
Şekil-2 Kullanılan komuta merkezlerinin (C&C) bilgileri
Şekil-3 Arka kapının C&C makineleri ile iletişime geçmesi
ABD, Rusya, Türkiye, İsrail ve birçok ülkenin devlet kurumları ve diplomatik kurumlarından bilgi sızdırmak için yapılan saldırılar, bir sonraki saldırı için birer veri kaynağı olarak da kullanılmış. Bu yöntem sayesinde daha genel verilerden daha özel verilere ulaşmayı hedefleyen saldırganlar, altmışın üzerinde alan adı oluşturup çoğunluğu Almanya ve Rusya'da olan sunucular kullanmışlar.
Şekil-4 Rocra'nun yayıldığı yerler
Kaspersky'a göre; Rocra saldırısında bir kurumdan elde edilen sisteme giriş bilgileri, zararlı yazılımın kontrolü dahilinde veri tabanlarına aktarılarak aynı ülkedeki sonraki saldırılarda kullanılabilecek şekilde saklanıyor. Rocra'nın hedefindeki dosya uzantıları; txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa olarak bilinmekte. Bu dosya uzantıları arasında dikkat çeken ise; 'acid' ile biten dosya türleri. Bu dosyalar NATO, AB ve birçok üst düzey kurumda "Acid Cryptofier" olarak bilinen yazılımın dosya uzantısıdır.
Şekil-5 Rocra'nın yayıldığı yerler
Şekil-5 Rocra'nın malware analizinin bir bölümü yer almaktadır. Rocra sistemde çalıştıktan sonra kendi altında çalışan truva atlarını/zararlı yazılımları indiriyor.
Rocra Tehlike Boyutu
Rocra kötü amaçlı yazılım modülünü tehlikeli yapan ise 5 yıl boyunca saldırıların hepsinin hedefinde aralarında Türkiye'nin de bulunduğu Doğu Avrupa ülkeleri, Kuzey Amerika ve Batı Avrupa ülkeleri hükümet ağları ve diplomatik kurumların olması ve halen yayılmaya devam etmesidir. Saldırganlar tarafından çalınan ve amacı geniş kapsamlı bilgi toplama gibi görünse de hedefinde gizli bilgi ve jeopolitik istihbarat toplama olan, devletler tarafından kullanılabilecek üst düzey bilgiler, yer altı işlem gören yerlerde rahatlıkla satılabilir.
Kaspersky Labs adlı kuruluşun bu tarz atakların tespiti için oluşturduğu Kaspersky Güvenlik Ağı (KSN) istatistiklerine göre 2011-2012 yıllarında yapılan taramalarda 300 den fazla sistemde bahsedilen trojan kiti tespit edilmiştir. Türkiye için 4 adet enfeksiyona rastlanmakta
Şekil-6 Birden fazla enfeksiyona maruz kalmış ülkeler
Obruk (Sinkhole) diye tabir edilen 95.211.172.143 ip adresi altında Kaspersky Lab. tarafından saldırı tespiti için sunucular oluşturuldu. 2 Kasım 2012 10 Ocak 2013 tarihleri arsında kaydedilen 55000 bağlantı arasında en fazla dll-host-update.com alanı (domain) yer alıyor
KSN + sinkhole tarafından tespit edilmiş hedefteki IP adreslerin WHOIS bilgisi veya uzak masaüstü isimleri ;
Korunmak için ne yapmalı?
Rocra'nın tespit edilmesiyle birlikte bundan sonra gelebilecek tehditlerin güncellemelerle birlikte antivirüs yazılımları tarafından önlenebileceğini gösteriyor. Rocra gibi bilinen güvenlik açıklarından faydalanan zararlı yazılımlara karşı kullandığımız güvenlik yazılımlarının güncelleştirmelerini gerçekleştirmek son derece önem arz ediyor. Bunun dışında kaynağından emin olmadan alınan belgeleri açmamak şüpheli web sitelerinden uzak durmak gerekiyor.
Red October bilgisayarımıza bulaşmışsa hemen bir anti-virüs ve anti-malware programı edinip güncelleştirmelerini yaptıktan sonra tam sistem taraması çalıştırılmalıdır. Bu iş için spyware bulma ve temizleme konusunda alanının en güçlü yazılımlarından olan SpyHunter casus yazılım temizleme programı kullanılabilir.
Hiç yorum yok:
Yorum Gönder