Connect with us

Aramak İstediğiniz Terimi Giriniz

Teknoloji

TunnelSnake Operasyonu: Yeni keşfedilen rootkit, Asya ve Afrika’daki organizasyon ağlarını gizlice kontrol etmek için kullanıldı

Kaspersky araştırmacıları, 2019’dan beri etkin olan ve Asya ve Afrika’daki bölgesel diplomatik kuruluşları maksat alan gelişmiş kalıcı tehdit …

Kaspersky araştırmacıları, 2019’dan beri etkin olan ve Asya ve Afrika’daki bölgesel diplomatik kuruluşları maksat alan gelişmiş kalıcı tehdit (APT) kampanyası TunnelSnake’i ortaya çıkardı. Saldırganlar bunun için daha evvel bilinmeyen, Moriya isminde bir rootkiti kulandılar. İşletim sistemi üzerinde neredeyse mutlak güce sahip olan bu berbat emelli rootkit, tehdit aktörlerinin ağ trafiğini engellemesini ve virüs bulaşmış ana bilgisayarlara gönderilen makus gayeli komutları gizlemesini sağladı. Bu, saldırganların hedeflenen kuruluşların ağlarını birkaç ay boyunca gizlice denetim etmesiyle sonuçlandı.

Saldırganlara virüs bulaşmış bir bilgisayara neredeyse sınırsız ve bilinmeyen erişim yetkisi sağlayan makus emelli programlar yahut yazılım araçları rootkit olarak isimlendiriliyor. Rootkitler, işletim sisteminin yapısına ahenk sağlama yetenekleri nedeniyle saklılık ve tespitten kaçabilmeleriyle ünlü. Yıllar boyunca Microsoft tarafından sistemleri korumak için alınan tedbirler sayesinde rootkit bileşenlerinin başarılı bir formda yerleştirilmesi ve yürütülmesi güç bir misyon haline geldi. Bu nedenle birçok Windows rootkit artık TunnelSnake üzere yüksek profilli APT hücumlarında kullanılıyor.

Kaspersky, kampanyayla ilgili yaptığı araştırmada hedeflenen ağlarda eşsiz bir rootkit tespit etmesinin akabinde eserlerinden emsal bir dizi ihtar almaya başladı. Moriya olarak isimlendirilen bu rootkit, işletim sistemi çekirdeğinin bulunan, olarak sadece ayrıcalıklı ve sağlam kodun çalıştığı bir bellek bölgesi olan Windows çekirdeğinin adres alanından geçen ağ paketlerini yakalıyor ve denetliyor. Bu, makus maksatlı yazılımın kendisine teslim edilen eşsiz berbat maksatlı paketleri işletim sisteminin ağ yığını tarafından işlenmeden evvel yakalamasına müsaade veriyor.

Bu teknik sayesinde saldırganlar güvenlik tahlilleri tarafından tespit edilmekten kaçınmayı başardı. İkinci olarak rootkit, yaygın kullanılan art kapılardan farklı olarak komut istemek için rastgele bir sunucuya ulaşma yoluna gitmedi. Bunun yerine bunları makus maksatlı yazılımın incelediği ağ trafiğinin büyük bir kısmıyla harmanlanmış, özel olarak işaretlenmiş paketler halinde teslim aldı. Bu teknik rootkitin komuta denetim altyapısını sürdürme muhtaçlığını ortadan kaldırmasına, tahlilleri engellemesine ve aktivitesini gizlemesine müsaade verdi.

Moriya, çoğunlukla hedeflenen tertip içindeki savunmasız web sunucularına yönelik hücumlar sonucunda konuşlandırıldı. Bir örnekte saldırganlar, virüslü sunucunun uzaktan denetimine müsaade veren berbat maksatlı bir kod olan China Chopper web kabuğunu sunucuya bulaştırdı. Bu web kabuğu ile elde edilen erişim sayesinde Moriya dağıtılmış oldu.

Ayrıyeten saldırganların lokal ağdaki ana bilgisayarları taramasına, yeni gayeler bulmasına ve yanal hareket gerçekleştirmesine imkan tanıyan, rootkit ile birlikte özel olarak yapılmış yahut daha evvel çeşitli Çince konuşan aktörler tarafından kullanıldığı görülen çeşitli araçlara da rastlandı.

Kaspersky Global Araştırma ve Tahlil Grubu Kıdemli Güvenlik Araştırmacısı Giampaolo Dedola, şunları söz ediyor: “Söz konusu kampanyayı muhakkak bir aktöre bağlayamasak da APT’de kullanılan gayeler ve araçlar Çince konuşan kümelerle kontaklı. Bu nedenle aktörün muhtemelen Çince konuştuğunu düşünüyoruz. Ayrıyeten 2018 yılında bağımsız bir taarruzda kullanılan ve en az 2018’den beri faal olan bir aktörün kullanıldığını gösteren, Moriya’nın eski bir versiyonuna da rastladık. Maksatların profili ve araç seti, kampanyadaki hedefin casusluk olduğunu gösteriyor.”

Kaspersky Global Araştırma ve Tahlil Grubu Kıdemli Güvenlik Araştırmacısı Mark Lechtik şunları ekliyor: “Hedeflenen ataklara karşı daha düzgün savunma sınırı kurma uğraşlarımıza tehdit aktörleri stratejilerini değiştirerek karşılık veriyorlar. Aktörlerin mümkün olduğunca uzun mühlet radarın altında kalmak için ek adımlar attıkları, yeni araç setlerine yatırım yaptıkları, daha özel, karmaşık ve tespit edilmesi sıkıntı TunnelSnake üzere kampanyaları sıkça görüyoruz. Bununla birlikte son keşfimizde de görüldüğü üzere son derece bilinmeyen araçlar da tespit edilebiliyor ve durdurulabiliyor. Bu, güvenlik tedarikçileri ve tehdit aktörleri ortasında devam eden bir yarış. Bu yarışta öne geçmek için siber güvenlik topluluğu olarak birlikte çalışmamız gerekiyor.”

Kaynak: (BHA) – Beyaz Haber Ajansı

Yorum Yapmak İçin Tıkla

Leave a Reply

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

İlginizi Çekebilecek Haberler