?>

Kaspersky Lab, yeni bir gelişmiş kalıcı tehdit keşfetti

Kaspersky Lab APAC Global Araştırma ve Analiz Ekibi Direktörü Vitaly Kamluk: "Yapılan saldırının asıl amacı tam olarak belli değil. Saldırganların kim olduğu ise araştırılıyor. ipuçları, ShadowHammer’ın muhtemelen BARIUM APT ile ilişkili olduğunu gösteriyor" dedi

Medya - 6 yıl önce

İSTANBUL (AA) - Kaspersky Lab, "tedarik zinciri saldırısı" olarak bilinen bir yöntemle çok sayıda kullanıcıyı etkileyen yeni bir gelişmiş kalıcı tehdit (APT) keşfetti.

Kaspersky Lab'den yapılan açıklamaya göre, yapılan araştırmada, ShadowHammer Operasyonu’nun ardındaki tehdit grubunun 2018 Haziran-Kasım'da bir arka kapı aracılığıyla ASUS Live Update kullanıcılarını hedef aldığı tespit edildi.

En tehlikeli ve etkili saldırı vektörlerinden biri olan tedarik zinciri saldırıları, son yıllarda ShadowPad ve CCleaner gibi örneklerde de görüldüğü gibi gelişmiş operasyonlarda sıkça kullanılmaya başlandı.

Bu saldırılarda, ürünlerin ilk geliştirilme aşamasından son kullanıcıya ulaşmasına kadar geçen sürece dahil olan insanlar, kurumlar, malzemeler ve fikri kaynaklar arasında bağlantı kuran sistemlerdeki belirli zayıflıklar hedef alınıyor. Markaların altyapıları güvenli olsa da hizmet sağlayıcılarında tedarik zincirini sabote etmek için kullanılabilecek açıklar bulunabiliyor. Bu da beklenmeyen yıkıcı veri sızıntılarına yol açabiliyor.

ShadowHammer’ın arkasındaki tehdit grupları ilk bulaşma noktası olarak ASUS Live Update aracını hedef aldı. Çoğu yeni ASUS bilgisayara ön yüklü olarak gelen bu araç otomatik BIOS, UEFI, sürücü ve uygulama güncellemeleri için kullanılıyor.

- Tespit edilmemeye büyük önem veriyorlar

Yasal ikilileri imzalamak için ASUS’un kullandığı dijital sertifikaları çalan saldırganlar, ASUS yazılımının eski sürümleri üzerinde değişiklik yaparak kendi zararlı kodlarını bulaştırdı. Aracın Truva atına dönüştürülen sürümleri yasal sertifikalarla onaylandıktan sonra ASUS’un resmi güncelleme sunucularından dağıtıldı. Bu nedenle koruma çözümlerinin çoğu bunu tespit edemedi.

Böylece yazılımı kullanan herkes potansiyel kurban haline gelse de ShadowHammer’ın arkasındaki gruplar daha önceden haklarında bilgi sahibi oldukları birkaç yüz kullanıcıya odaklandı.

Kaspersky Lab araştırmacıları her arka kapı kodunda, MAC adreslerinden oluşan tablolar bulunduğunu keşfetti. Bir bilgisayarı ağa bağlamak için kullanılan ağ adaptörleri bu MAC adresleriyle ayırt ediliyor.

Arka kapı çalışmaya başlayınca MAC adresini bu tabloyla doğruluyor. MAC adresi listedekilerden biriyle eşleştiğinde zararlı kodun diğer aşaması indiriliyor. Eşleşme olmadığında ise sisteme sızan yazılım ağda hiçbir etkinlik göstermiyor, bu sayede uzun süre tespit edilmeden kalabiliyor. Güvenlik uzmanları toplamda 600’den fazla MAC adresi belirlemeyi başardı. Bunlara birbirinden farklı kabuk kodlarına sahip 230 benzersiz arka kapı örneğiyle saldırı düzenlendi.

Zararlı yazılımı çalıştırırken kod veya veri sızıntısını önlemek için kullanılan modüler yaklaşım ve alınan ekstra önlemler, bu gelişmiş saldırının arkasındaki isimlerin belirli hedefleri hassas bir şekilde vururken tespit edilmemeye büyük önem verdiğini gösteriyor. Derinlemesine teknik analizlerde grubun üst düzey saldırganlardan oluştuğu ve çok gelişmiş araçlara sahip olduğu görüldü.

Benzer zararlı yazılımlara yönelik yapılan aramalarda, Asya’dan üç başka markanın da çok yakın yöntemler ve teknikler kullanılarak hedef alındığı ortaya çıktı. Kaspersky Lab bu sorunu Asus ve diğer markalara bildirdi.

- Kaspersky Lab ürünleri ShadowHammer Operasyonu'nda kullanılan zararlı yazılımları engelleyebiliyor

Verilen bilgiye göre, Kaspersky Lab uzmanları saldırının tüm dünyada bir milyondan fazla kişiyi etkilemiş olabileceğini tahmin ediyor. Kaspersky Lab ürünleri ShadowHammer Operasyonu’nda kullanılan zararlı yazılımları tespit edip engelleyebiliyor.

Kaspersky Lab araştırmacıları, tanınmış veya tanınmamış bir tehdit grubu tarafından düzenlenen bu tür bir saldırıdan etkilenmemek için şunları öneriyor:

"Mutlaka bulunması gereken uç nokta koruma çözümlerinin yanı sıra gelişmiş tehditleri ilk aşamada ağ düzeyindeyken tespit eden, Kaspersky Anti Targeted Attack Platform gibi kurumsal sınıf bir güvenlik çözümü kullanın. Uç nokta seviyesinde tespit, soruşturma ve vakalara zamanında müdahale için Kaspersky Endpoint Detection and Response gibi bir EDR çözümü kullanılmasını veya profesyonel bir vaka müdahale ekibiyle iletişime geçilmesini tavsiye ediyoruz. SIEM ve diğer güvenlik kontrollerine Tehdit İstihbaratı akışlarını ekleyerek, ileride karşılaşabileceğiniz saldırılara hazırlanmak için sizinle ilgili güncel tehdit verilerine ulaşın."

Kaspersky Lab, ShadowHammer Operasyonu hakkında topladığı tüm bulguları 9-11 Nisan'da Singapur’da düzenlenecek "Güvenlik Analistleri Zirvesi 2019"da sunacak. ShadowHammer saldırısı hakkında hazırlanan rapor Kaspersky İstihbarat Raporları Servisi müşterilerine sunuldu. Saldırıyı özetleyen blog yazısının yanı sıra kullanıcıların cihazlarının hedef olup olmadığını öğrenmesini sağlayan aracı Securelist adresinde bulunabiliyor. Cihaz kontrol işlemi ayrıca bu web sitesinden de yapılabiliyor.

- "Saldırganlar bu markaların geniş müşteri kitlesinden yararlanmak istemiş"

Açıklamada görüşlerine yer verilen Kaspersky Lab APAC Global Araştırma ve Analiz Ekibi Direktörü Vitaly Kamluk, seçilen markaların APT grupları için çok çekici hedefler olduğunu belirterek, "Saldırganlar bu markaların geniş müşteri kitlesinden yararlanmak istemişler. Yapılan saldırının asıl amacı ise henüz tam olarak belli değil. Saldırganların kim olduğu ise halen araştırılıyor. Ancak yetkisiz kod çalıştırma için kullanılan teknikler ve keşfedilen diğer ipuçları, ShadowHammer’ın muhtemelen BARIUM APT ile ilişkili olduğunu gösteriyor. Bu grup daha önce ShadowPad ve CCleaner vakalarıyla gündeme gelmişti. Yeni olay, günümüzde akıllıca düzenlenen bir tedarik zinciri saldırısının ne kadar gelişmiş ve tehlikeli olabileceğinin bir örneği." ifadelerini kullandı.

Haftanın Öne Çıkanları

YouTuber Mia Khalifa, dünya evine giriyor!

2019-03-22 17:27 - Medya

Birevim otomotiv sektörüne nefes aldırıyor

2019-03-19 20:10 - Genel

İHÜ’nün lisansüstü programlarına ‘Strateji’ alt dalı eklendi

2019-03-21 00:17 - Eğitim

Halk ozanı Neşet Ertaş’ın kardeşi vefat etti

2019-03-23 21:36 - Genel

Türkistan İslam Partisi’ni Çin Halk Kurtuluş Ordusu ile gerilla savaşına kim hazırladı?

2019-03-26 09:32 - En Son Yazılar

Modern Eğitim Koleji ortaokul öğrencileri JMUN etkinliğinde

2019-03-24 17:34 - Eğitim

Vatan ve millet sevdalısı bir lider: Muhsin Yazıcıoğlu

2019-03-24 15:43 - Çevre-Hayat

Bakan Varank ’Milli Nişangahları’ inceledi

2019-03-23 23:25 - Genel

'Aşk.. Bir Zamanlar...' oyunu tiyatroseverlerle buluştu

2019-03-25 15:32 - Kültür Sanat

Beyin ölümü gerçekleşen kişinin organları 8 kişiye umut odu

2019-03-21 02:02 - Sağlık

İlgili Haberler

BM raportörlerinden Gazze'de İsrail saldırısında yaralanan gazeteci için acil tıbbi tahliye talebi

22:18 - Medya

Rusya'dan Telegram'a 7 milyon ruble ceza

17:44 - Medya

İsrail basınına göre, Netanyahu Lübnan'da ateşkese onay verdi

10:58 - Medya

RTÜK Başkanı Şahin'den milli ve manevi değerleri tahrip eden yayınlara karşı uyarı

22:18 - Medya

İsrail'in Gazze Şeridi'ne düzenlediği saldırılarda öldürdüğü gazeteci sayısı 189'a çıktı

14:27 - Medya

Günün Manşetleri

Gazze’de ateşkes için yeni süreç başlıyor

00:52 - Dünya

Gazze’de ateşkes için yeni bir süreç başlıyor

00:48 - Dünya

Köy Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun Teklifi, TBMM Genel Kurulunda

00:27 - Siyaset

İsrail'in Gazze kentinde bir evi bombalaması sonucu 7 Filistinli öldü

00:22 - Dünya

Enerji ve Tabii Kaynaklar Bakanı Bayraktar, EBRD Başkanı Odile Renaud-Basso ile görüştü

00:18 - Ekonomi