Yazılar

Rus hackerlar APT28 ile zero day açıklarını istismar ediyor

rus-hackerlar-apt28-ile-zero-day-aciklarini-istismar-ediyorİsmine “Operation Russian doll” adı verilen yeni APT saldırısı kapsamında Adobe Flash ve Windows açıklarının kullanıldığı bir operasyon yürütülüyor.

Devlet kurumlarına karşı gerçekleştirilen bu APT saldırısı Rus hackerlar tarafından gerçekleştiriliyor. Hedefler arasında ABD Savunma Bakanlığı ile çalışan kontratlı üreticiler, Avrupalı güvenlik organizasyonları ve Doğu Avrupa devletlerine ait kamu kurumları var.

Aynı zamanda Rus hackerlar EuroNaval 2014, Eurosatory 2014, Counter Terrror Expo ve Farnborough Airshow 2014 gibi Avrupa savunma fuarlarına katılanları da hedef aldı. APT28 saldırısında Adobe Flash (CVE-2015-3043) ve Windows işletim sistemine ait (CVE-2015-1701) açıklar istismar edildi. Adobe açıklık için geçtiğimiz günlerde yama çıkartsa da Microsoft henüz yama yayınlamış değil. Firma da durumu doğrularken yama üzerinde çalıştıklarını belirtiyor.

APT28 saldırıları öyle ciddi ki 2014 yılının Kasım ayında ABD Dışişleri Bakanlığına yapılan saldırıyla veri sızdırılması ve Beyaz Saray’a ait ağa sızılarak Başkan Obama’nın ajandası gibi kritik bilgilere ulaşılması yine bu Rus saldırı ekibiyle bağlantılı. En önemlisi de hacker grubunun 2013 yılında Türkiye’de Milli Güvenlikle ilgili kamuda çalışan ve gizli sayılabilecek şekilde saklanan bazı kişilerin iletişim bilgilerini ele geçirebilmiş olması.

APT28 saldırılarını gerçekleştiren grup Rus hükümetiyle birlikte çalışıyor. Amaç diğer devletler, çok uluslu firmalara ait sırları Rusya’ya aktarmak. 2007 yılından beridir aktif olan grup ileride daha çok sayıda operasyona imza atacak gibi gözüküyor.

PDF dosyası kullanarak farkettirmeden sisteme sızmak

pdf-dosyasi-kullanarak-farkettirmeden-sisteme-sizmakGeçerli, okunabilir bir PDF dosyası içerisinde siyah beyaz JPEG dosyası kullanarak hedef sisteme sızmak mümkün.

PDF dosyaları ile sisteme sızma tekniği önceden de kullanılıyordu. Fakat bu okunamayan ve geçersiz şekilde oluşturulmuş PDF dosyaları yoluyla yapılıyordu. Antivirus yazılımları ise okunabilir olmayan PDF dosyalarını tespit ederek işaretleyerek karantinaya alabiliyordu.

Şimdi ise durum farklı. Geçerli ve açtığınızda okuyabileceğiniz PDF dosyaları içerisinde hiç hissettirmeden sistemde kod çalıştırılabiliyor. Performansı arttırmak için kullanılan DCTDecode adında bir kütüphane bu zafiyete sebep oluyor. Kullanılan kütüphanenin işlevi JPEG dosyalarının RGB renk yoğunluğunu düşürerek PDF dosyasını okurken sistemi yavaşlatmamak.

Fakat kütüphane aynı şeyi düzgün şekilde siyah beyaz JPEG dosyaları için gerçekleştiremiyor. PDF içindeki siyah beyaz JPEG dosyaları sadece siyah ve beyaz renklerin yoğunluk bilgilerini içeriyor. Araştırmacılar kısa bir scripti encode ederek, siyah beyaz bir JPEG dosyası olarak, en yüksek kaliteyle PDF içerisine yerleştirdi. Bu haliyle PDF dosyasını okuyarak siyah beyaz JPEG’i proses etmeye çalışan DCTDecode yerleştirilen zararlı kodu çalıştırdı.

İşin asıl tehdit kısmı ise bu içerisine zararlı kod yerleştirilmiş PDF dosyalarını Adobe Acrobat Reader’ın açabilmesi. Problemsiz şekilde açılan zararlı kod içeren PDF dosyaları, kurumsal ve kişisel bilgisayarlarda yaygın şekilde kullanılan Adobe Acrobat Reader tarafından okunabiliyor. Dolayısıyla zararlı kod bu yazılımın kullanıldığı sistemlerde sessizce çalıştırılıyor. An itibarı ile Adobe Acrobat Reader 9 versiyonu bu zafiyetten etkileniyor. Diğer versiyonlar için ise bazı küçük değişiklikler yapıldıktan sonra istismar etmek mümkün.