Yazılar

Lenovo bilgisayarlarda yeniden arka kapı tespit edildi

lenovo-bilgisayarlarda-yeniden-arka-kapi-tespit-edildiÇin’li bilgisayar üreticisi Lenovo’nun BIOS içerisine gizlediği rootkit zararlı yazılımı tespit edildi.

Daha önce Lenovo’nun sattığı bilgisayarlara Superfish ismindeki spyware yazılımını yüklediği ortaya çıkmıştı. Bu skandalın üzerinden çok geçmeden daha tehlikeli bir zararlı uygulamaya rastlandı. UEFI seviyesinde gizli olarak yerleştirilmiş rootkit Lenovo G50-80 marka yeni alınan bir laptopta tespit edildi. Tamamen temiz olarak baştan kurulan ve Lenovo ile gelen disklerle yüklemesi yapılan sistemde tespit edildi.

İşletim sistemi yeniden kurulduktan sonra ilk reboot işleminin ardından aşağıdaki gibi bir mesaj alınıyor;

“Note: This is from the product itself and not from the network. To help you continue to upgrade system firmware and software, in order to make your system more stable, safe and high performance, download and install the Lenovo system optimization software. The software download process needs to connect to the internet. Click here to read the Lenovo License Agreement LLA”

Bunun anlamı, BIOS işletim sisteminin yeniden kurulduğunu anlıyor ve tekrar sistemde arka kapı oluşturacak dosyaları kopyalamak için uyarıyı gösteriyor. Normal bir Windows sistemle farklılıklar karşılaştırıldığında çok sayıda değişiklik yapıldığı görülüyor. Sistemde LenovoCheck.exe ve LenovoUpdate.exe gibi dosyalar da bulunuyor. Bu dosyalardan biri silinse bile tekrar sistem reboot edildiğinde aynı mesaj gözüküyor ve dosyalar yeniden kopyalanıyor.

Servisler içerisinde “Lenovo Update” olarak gösterilen servisi kapatsanız bile tekrar otomatik olarak aktif hale getiriliyor. Cihaz internete bağlandığında ise Lenovo’ya bağlanarak bir .json dosyası üzerinden çeşitli veriler alıp gönderiyor. Bu işlem için ise SSL kullanılmıyor. Tamamıyla güvensiz olan bu yöntem sayesinde uzaktan sistemde kod çalıştırmak veya iletişimi izleyerek man-in-the-middle saldırılarında bulunmak mümkün.

Problemin çözümü için BIOS güncellemesi yapılması gerekiyor fakat öncesinde yeni ROM içerisinde “NovoSecEngine2” isimli modülün bulunarak kaldırılması gerekiyor. Bu işlemi yaparken dikkatli olmak gerekli çünkü laptop kullanılamaz hale gelebilir. BIOS yeniden yazıldıktan sonra c:\Windows\system32\autochk.exe dosyasını Lenovo’nun mu yoksa Microsoft’un mu imzaladığına bakarak rootkit’in aktif olup olmadığı anlaşılabilir. Alternatif olarak Lenovo’nun yayınladığı son BIOS güncellemesi de kullanılabilir fakat kontrol etmekte yarar var gibi gözüküyor.

Lenovo’nun konu ile ilgili açıklaması ise artık LSE denilen rootkit’in Lenovo cihazlarla birlikte dağıtılmadığı, eski cihazların ise BIOS güncellemesi yaparak kurtulabileceği yönünde oldu.

Lenovo marka thin client, desktop, laptop çeşidi çok sayıda bilgisayar Türkiye’nin en kritik kamu, özel sektör kuruluşlarında kullanılıyor. Rootkit’ten etkilenen Lenovo modelleri;

Lenovo Notebook

  • Flex 2 Pro 15 (Broadwell)
  • Flex 2 Pro 15 (Haswell)
  • Flex 3 1120
  • Flex 3 1470/1570
  • G40-80/G50-80/G50-80 Touch
  • S41-70/U41-70
  • S435/M40-35
  • V3000
  • Y40-80
  • Yoga 3 11
  • Yoga 3 14
  • Z41-70/Z51-70
  • Z70-80/G70-80

Lenovo Desktop

  • A540/A740
  • B4030
  • B5030
  • B5035
  • B750
  • H3000
  • H3050
  • H5000
  • H5050
  • H5055
  • Horizon 2 27
  • Horizon 2e (Yoga Home 500)
  • Horizon 2S
  • C260
  • C2005
  • C2030
  • C4005
  • C4030
  • C5030
  • X310(A78)
  • X315(B85)
  • D3000
  • D5050
  • D5055
  • F5000
  • F5050
  • F5055
  • G5000
  • G5050
  • G5055
  • YT A5700k
  • YT A7700k
  • YT M2620n
  • YT M5310n
  • YT M5790n
  • YT M7100n
  • YT S4005
  • YT S4030
  • YT S4040
  • YT S5030

Regin ileri seviye casusluk yaparak devletlere veri topluyor

regin-ileri-seviye-casusluk-yaparak-devletlere-veri-topluyorİleri seviye özelliklere sahip bir arka kapı zararlı yazılımı olan Regin siber casusluk operasyonu amaçlı devletlere ve altyapı sağlayıcılara karşı kullanılıyor.

Regin’in kodu incelendiğinde oldukça sofistike yöntemler kullanıldığı, teknik kapasite açısından nadir görülen kişiler tarafından yazıldığı belli oluyor. Benzerlik Flame, Duqu, Stuxnet gibi yine devletlerin hazırlayarak yaydıkları zararlı yazılımları akla getiriyor. Regin oldukça esnek bir yapıya sahip. Tek bir kişiden, tüm bir organizasyona kadar hedefi özelleştirmek mümkün. Böyle bir zararlı yazılımı tamamıyla yazmak yıllar gerektiriyor.

Tüm bu veriler ışında düşündüğümüz Regin’in bir devlet tarafından hazırlanarak farklı alanlardaki uluslararası hedeflerden veri toplama amacıyla dağıtıldığı. Regin kendini öyle iyi gizlemiş ki tüm prosesler katmanlara ayrılarak şifrelenmiş. Adeta domino taşları gibi her aşama kendini çözüp işini bitirdikten sonra bir sonraki şifreli aşamayı başlatıyor. Tüm aşamalar kontrol ediliyor ve tam bir bütünlük, başarım sağlanıyor. Bu da yıllarca zararlı yazılımın farkedilmesini engellemiş.

Regin çok sayıda yeteneğe sahip. Bulaştığı sistemde şifreleri çalma, ağ trafiğini izleme, ekran görüntüsü alma, mouse kontrol etme, silinen dosyaları geri getirme gibi işleri gerçekleştirebiliyor. Bazı modüller ise oldukça spesifik aksiyonlar için ayrılmış. Örneğin biri mobil telefon baz istasyonu cihazının trafiğini sniff ederken, bir diğeri IIS sunucusu trafiğini izlemek için yapılandırılmış. İşin ilginç tarafı Regin zararlı yazılım saldırısı ilk kez 2008 yılında ortaya çıktı ve faaliyetini uzunca bir süre farkedilmeden devam ettirdi.

Linksys, Netgear, Cisco routerlarda ikinci kez gizli arka kapı bulundu

linksys-netgear-cisco-routerlarda-ikinci-kez-gizli-arka-kapi-bulunduBu yıl başlarında TCP/32764 portunda çalışan bir arka kapının Linksys, Netgear, Cisco ve Diamond marka routerlarda bulunduğu ortaya çıkmıştı. TCP/32764 portuna bağlanan biri şifre girmeden admin haklarıyla shell erişimi kazanıyordu.

SerComm’un ürettiği bu cihazlarda bulunan arka kapı sonrasında SerComm arka kapıyı kapattığını açıklayarak yeni bir firmware güncellemesi yayınladı. Fakat bu yama niteliği taşıyan firmware güncellemesinin açığı kapatarak aynı arka kapıyı farklı bir şekilde cihaza eklediği ortaya çıktı.

Örnek olarak SerComm üretimi Netgear DGN1000 marka router üzerinde çalışan 1.1.0.55 versiyon firmware incelendiğinde dosya içerisinde “scfgmgr” adında bir dosya dikkat çekiyor. Bu dosya arka kapı özelliği içeriyor. Yine unpack sırasında dikkat çeken “ft_tool” adında bir dosya oluyor bu “-f” parametresi ile kullanıldığında ise arka kapıyı aktif hale getiriyor.

Bunun anlamı ise herhangi bir kişinin güncel bir firmware kullanmasına rağmen SerComm’un ürettiği Linksys, Netgear, Cisco, Diamond marka routerların 24 ayrı modelinde, TCP/32764 portunda çalışan shell erişimini aktif hale getirip cihaz üzerinde tam yönetim sağlayabilecek olması. Saydığımız markaların gerek kamu, gerekse özel sektörde çok sayıda yerde kullanılıyor olması ise riskin boyutlarını bir kademe yukarıya taşıyor.

Yeni sanayi casusluğu yazılımı Fokirtor beklenildiğinden yetenekli

fokirtor-sanayi-casuslugu-zararli-yazilim-backdoorYeni keşfedilen Fokirtor isimli backdoor yazılımı Linux sistemlere yüklenerek kendini başarı ile saklıyor. Fokirtor şimdiye kadar dünyanın en büyük hosting firmalarından birinin de arasında bulunduğu çok sayıda firmaya kesintisiz, gizli erişim sağlamak için arka kapı olarak sistemlere yüklenmiş.

Yazılımın en ilginç yeteneği ise kendi trafiğini olağan SSH bağlantıları arasında gizleyerek farkedilmeyi engellemesi. Yazılım ele geçirdiği bilgileri ise Blowfish şifreleme algoritması kullanarak komuta yönetim sistemlerine iletiyor. Fokirtor sisteme bulaştığında aşağıdaki bilgileri komuta kontrol merkezine aktarıyor;

– Sistemin hostname ve IP adresi

– Portları

– Şifresi

– SSH anahtarı

– Kullanıcı adları

Bu bilgilerin tümü komuta kontrol merkezine şifrelenerek aktarılıyor. Bu arka kapı yazılımının bulaştığı Linux sistemlerde ise kolayca tüm bilgiler ele geçirilebiliyor ve her türlü zararlı aktivite için yazılım yüklenebiliyor. Fokirtor iletişim kurmak için sunucuda herhangi bir port açmadığı, servis başlatmadığı için tespit etmekte güçleşiyor.

Fokirtor bugüne kadar geliştirilmiş hiçbir trojan, backdoor veya zararlı yazılımla aynı kodu paylaşmıyor. Tamamıyla yeniden yazılmış, sanayi casusluğuna sonuna kadar hizmet veren bir yazılım olarak siber mafya tarafından hazırlanmış.

Teknoloji üreticileri ve devletler

Teknoloji şirketleri ile devletler arasıdaki bağlar her zaman tartışma konusu olmuştur. Yazılım üreticilerinin ürünlerine “bilerek” koyduğu iddia edilen arka kapılar, network altyapı ürünü üreticisi firmaların ulusal güvenlik sebebiyle bazı ülkelerde satışına izin verilmemesi veya Prizma gibi takip altyapılarıyla popüler ürün ve servislerin izlenmesi gibi konular sıkça bilgi güvenliği endüstrisinin gündemine gelmeye başladı.

TerraMedusa Siber İstihbarat adına internet dediğimiz yaşam alanı ve bilgisayar dediğimiz araçlarla ilgili yapıtaşlarını oluşturan firmaların hangi ülkelerle ilişkide olduğunu haritalandırdı.

teknoloji-sirketleri-ile-devletler-arasindaki-baglar