Yazılar

GCHQ ve NSA “Şirinler” ile hackliyor

gchq-nsa-sirinler-ile-hackliyorEski NSA ajanı Edward Snowden yine yaptığı açıklamalarla ABD’nin casusluk kapasitesine dair önemli bilgiler verdi. Özellikle akıllı telefonlarla ilgili tehdit boyutu çok geniş.

Edward Snowden İngiliz gizli servisi GCHQ ve ABD Ulusal Güvenlik Ajansı NSA’in neredeyse tüm cep telefonlarına sahibinin izni olmadan erişebildiğini açıkladı. Örneğin GCHQ şifrelenmiş bir mesaj göndererek arka kapıyı aktive ediyor ve sonrasında cep telefonu kamerasını aktive ederek fotoğraf çekip, ortam dinlemesi gerçekleştirebiliyor.

GCHQ’nun bu gizli takip sistemine “Smurf Suite” adı veriliyor. Smurf Suite içerisindeki Dreamy Smurf aracı güç yönetimini sağlıyor. Bunun anlamı GCHQ telefonunuzu izniniz dışında açıp, kapatabiliyor. Nosey Smurf aracı ise mikrofon kontrolü sağlıyor. GCHQ istediği zaman uzaktan mikrofonunuzu aktive edebiliyor ve sonrasında ortam dinlemesi gerçekleştirebiliyor. Tracker Smurf ise coğrafi konum elde etmek için. Nerede olduğunuzu baz istasyonları aracılığı ile tespit ederek merkeze bildiriyor.

Üstelik bu araçlar öyle ustaca tasarlanmış ki telefonunuzda bir gariplik olduğunu farkedip servise götürseniz bile tespit edilemiyorlar. Herhangi bir uzman veya teknisyenin tespit edemeyeceği kadar başarılı tasarlanmış. Elbette amaç geniş. Telefon kullanıcısının kimi aradığı, kiminle mesajlaştığı, hangi web sitelerini gezdiği, kişi listesi, nerelerde bulunduğu, hangi kablosuz ağlara bağlandığı gizli servislerin hedefinde olan bilgiler.

Bu teknolojilerde GCHQ ile NSA arasında ciddi bir ortaklık bulunuyor. NSA teknolojiyi geliştirirken, GCHQ ise operasyonel kısmı üstleniyor. İngilizlerin sadece cep telefonlarını takip etmek için 1 milyar dolar gibi bir bütçe ayırdıkları biliniyor. İngiliz ve ABD’li yetkililer bazı casusluk faaliyetleri olduğunu doğrularken bunları yasalara uygun şekilde pedofili ve terörizmle savaş için gerçekleştirdiklerini belirtiyorlar. Hatta Snowden’ın açıklamalarına göre bu sözde yasal sınırı çoktan aşan İngilizler Pakistan’a satılan Cisco ağ cihazları üzerinden ciddi miktarda veriyi çekerek yine casusluk amaçlı inceliyor.

Lenovo bilgisayarlarda yeniden arka kapı tespit edildi

lenovo-bilgisayarlarda-yeniden-arka-kapi-tespit-edildiÇin’li bilgisayar üreticisi Lenovo’nun BIOS içerisine gizlediği rootkit zararlı yazılımı tespit edildi.

Daha önce Lenovo’nun sattığı bilgisayarlara Superfish ismindeki spyware yazılımını yüklediği ortaya çıkmıştı. Bu skandalın üzerinden çok geçmeden daha tehlikeli bir zararlı uygulamaya rastlandı. UEFI seviyesinde gizli olarak yerleştirilmiş rootkit Lenovo G50-80 marka yeni alınan bir laptopta tespit edildi. Tamamen temiz olarak baştan kurulan ve Lenovo ile gelen disklerle yüklemesi yapılan sistemde tespit edildi.

İşletim sistemi yeniden kurulduktan sonra ilk reboot işleminin ardından aşağıdaki gibi bir mesaj alınıyor;

“Note: This is from the product itself and not from the network. To help you continue to upgrade system firmware and software, in order to make your system more stable, safe and high performance, download and install the Lenovo system optimization software. The software download process needs to connect to the internet. Click here to read the Lenovo License Agreement LLA”

Bunun anlamı, BIOS işletim sisteminin yeniden kurulduğunu anlıyor ve tekrar sistemde arka kapı oluşturacak dosyaları kopyalamak için uyarıyı gösteriyor. Normal bir Windows sistemle farklılıklar karşılaştırıldığında çok sayıda değişiklik yapıldığı görülüyor. Sistemde LenovoCheck.exe ve LenovoUpdate.exe gibi dosyalar da bulunuyor. Bu dosyalardan biri silinse bile tekrar sistem reboot edildiğinde aynı mesaj gözüküyor ve dosyalar yeniden kopyalanıyor.

Servisler içerisinde “Lenovo Update” olarak gösterilen servisi kapatsanız bile tekrar otomatik olarak aktif hale getiriliyor. Cihaz internete bağlandığında ise Lenovo’ya bağlanarak bir .json dosyası üzerinden çeşitli veriler alıp gönderiyor. Bu işlem için ise SSL kullanılmıyor. Tamamıyla güvensiz olan bu yöntem sayesinde uzaktan sistemde kod çalıştırmak veya iletişimi izleyerek man-in-the-middle saldırılarında bulunmak mümkün.

Problemin çözümü için BIOS güncellemesi yapılması gerekiyor fakat öncesinde yeni ROM içerisinde “NovoSecEngine2” isimli modülün bulunarak kaldırılması gerekiyor. Bu işlemi yaparken dikkatli olmak gerekli çünkü laptop kullanılamaz hale gelebilir. BIOS yeniden yazıldıktan sonra c:\Windows\system32\autochk.exe dosyasını Lenovo’nun mu yoksa Microsoft’un mu imzaladığına bakarak rootkit’in aktif olup olmadığı anlaşılabilir. Alternatif olarak Lenovo’nun yayınladığı son BIOS güncellemesi de kullanılabilir fakat kontrol etmekte yarar var gibi gözüküyor.

Lenovo’nun konu ile ilgili açıklaması ise artık LSE denilen rootkit’in Lenovo cihazlarla birlikte dağıtılmadığı, eski cihazların ise BIOS güncellemesi yaparak kurtulabileceği yönünde oldu.

Lenovo marka thin client, desktop, laptop çeşidi çok sayıda bilgisayar Türkiye’nin en kritik kamu, özel sektör kuruluşlarında kullanılıyor. Rootkit’ten etkilenen Lenovo modelleri;

Lenovo Notebook

  • Flex 2 Pro 15 (Broadwell)
  • Flex 2 Pro 15 (Haswell)
  • Flex 3 1120
  • Flex 3 1470/1570
  • G40-80/G50-80/G50-80 Touch
  • S41-70/U41-70
  • S435/M40-35
  • V3000
  • Y40-80
  • Yoga 3 11
  • Yoga 3 14
  • Z41-70/Z51-70
  • Z70-80/G70-80

Lenovo Desktop

  • A540/A740
  • B4030
  • B5030
  • B5035
  • B750
  • H3000
  • H3050
  • H5000
  • H5050
  • H5055
  • Horizon 2 27
  • Horizon 2e (Yoga Home 500)
  • Horizon 2S
  • C260
  • C2005
  • C2030
  • C4005
  • C4030
  • C5030
  • X310(A78)
  • X315(B85)
  • D3000
  • D5050
  • D5055
  • F5000
  • F5050
  • F5055
  • G5000
  • G5050
  • G5055
  • YT A5700k
  • YT A7700k
  • YT M2620n
  • YT M5310n
  • YT M5790n
  • YT M7100n
  • YT S4005
  • YT S4030
  • YT S4040
  • YT S5030

20 dolarlık USB cihazıyla Mac OS X sistemleri hacklemek

20-dolarlik-usb-cihaziyla-mac-os-x-sistemleri-hacklemekSadece 20 dolar değerindeki bir USB Micro Controller yardımıyla OS X sistemleri hacklemek mümkün. Peki bu nasıl oluyor?

Teensy 3.1 USB Micro Controller 20 dolar değerinde, klavye ve mouse’u emüle etmeye yarayan bir cihaz. Aslında bu hack için üretilmiş bir cihaz değil, tamamıyla kullanım kolaylığı için yapılmış.

USBdriveby adındaki araç ise burada yardımcı faktör. Kendisine takılan USB cihazlarını varsayılan olarak kabul eden sistemleri istismar ediyor. USB cihazı sisteme takıldığında, firewall’u kapatmak, zararlı yazılım indirmek, DNS adreslerini değiştirmek gibi yetenekleri mevcut. USB cihazı sistemden çıkarıldıktan sonra kurbanın sistemi çoktan kontrol altına girmiş oluyor.

Burada klavye ve mouse emüle edildiği için sistem sahibinin nasıl zararlı yazılım bulaştığı ile ilgili bir fikir edinmesi oldukça zor. Normal şartlarda bir sisteme mouse ya da klavye takıldığında çalışması için bir onay istenmiyor. Burada istismar edilen şey Spotlight, Alfred, Quicksilver gibi uygulamaların belirli tuş kombinasyonlarıyla çalıştırılmasına dayanıyor. Üstelik sistemde aktif firewall’u da kapatmak mümkün.

NSA’in fiziksel olarak sistemlerde arka kapı konumlandırmak için yıllarca bu yöntemi kullandığı düşünülüyor. Arkada iz bırakmaması ve kolay şekilde gerçekleştirilmesi yöntemi oldukça popüler kılıyor.

Regin ileri seviye casusluk yaparak devletlere veri topluyor

regin-ileri-seviye-casusluk-yaparak-devletlere-veri-topluyorİleri seviye özelliklere sahip bir arka kapı zararlı yazılımı olan Regin siber casusluk operasyonu amaçlı devletlere ve altyapı sağlayıcılara karşı kullanılıyor.

Regin’in kodu incelendiğinde oldukça sofistike yöntemler kullanıldığı, teknik kapasite açısından nadir görülen kişiler tarafından yazıldığı belli oluyor. Benzerlik Flame, Duqu, Stuxnet gibi yine devletlerin hazırlayarak yaydıkları zararlı yazılımları akla getiriyor. Regin oldukça esnek bir yapıya sahip. Tek bir kişiden, tüm bir organizasyona kadar hedefi özelleştirmek mümkün. Böyle bir zararlı yazılımı tamamıyla yazmak yıllar gerektiriyor.

Tüm bu veriler ışında düşündüğümüz Regin’in bir devlet tarafından hazırlanarak farklı alanlardaki uluslararası hedeflerden veri toplama amacıyla dağıtıldığı. Regin kendini öyle iyi gizlemiş ki tüm prosesler katmanlara ayrılarak şifrelenmiş. Adeta domino taşları gibi her aşama kendini çözüp işini bitirdikten sonra bir sonraki şifreli aşamayı başlatıyor. Tüm aşamalar kontrol ediliyor ve tam bir bütünlük, başarım sağlanıyor. Bu da yıllarca zararlı yazılımın farkedilmesini engellemiş.

Regin çok sayıda yeteneğe sahip. Bulaştığı sistemde şifreleri çalma, ağ trafiğini izleme, ekran görüntüsü alma, mouse kontrol etme, silinen dosyaları geri getirme gibi işleri gerçekleştirebiliyor. Bazı modüller ise oldukça spesifik aksiyonlar için ayrılmış. Örneğin biri mobil telefon baz istasyonu cihazının trafiğini sniff ederken, bir diğeri IIS sunucusu trafiğini izlemek için yapılandırılmış. İşin ilginç tarafı Regin zararlı yazılım saldırısı ilk kez 2008 yılında ortaya çıktı ve faaliyetini uzunca bir süre farkedilmeden devam ettirdi.

Zararlı Java applet dağıtım platformu

Siber suç dünyasında Java’nın ciddi bir önemi bulunuyor. Siber suçlular ise sürekli yeni araçlar, yöntemler yardımıyla Java gibi yüksek risk içeren platformlara dair istismarlarda bulunuyorlar. Bu yeni platform ise doğrudan Rodecap botnet ağına bağlanarak, web tabanlı bir Java applet dağıtım platformu sunuyor.

zararli-java-applet-dagitim-platformu

zararli-java-applet-dagitim-platformu-2

Linksys, Netgear, Cisco routerlarda ikinci kez gizli arka kapı bulundu

linksys-netgear-cisco-routerlarda-ikinci-kez-gizli-arka-kapi-bulunduBu yıl başlarında TCP/32764 portunda çalışan bir arka kapının Linksys, Netgear, Cisco ve Diamond marka routerlarda bulunduğu ortaya çıkmıştı. TCP/32764 portuna bağlanan biri şifre girmeden admin haklarıyla shell erişimi kazanıyordu.

SerComm’un ürettiği bu cihazlarda bulunan arka kapı sonrasında SerComm arka kapıyı kapattığını açıklayarak yeni bir firmware güncellemesi yayınladı. Fakat bu yama niteliği taşıyan firmware güncellemesinin açığı kapatarak aynı arka kapıyı farklı bir şekilde cihaza eklediği ortaya çıktı.

Örnek olarak SerComm üretimi Netgear DGN1000 marka router üzerinde çalışan 1.1.0.55 versiyon firmware incelendiğinde dosya içerisinde “scfgmgr” adında bir dosya dikkat çekiyor. Bu dosya arka kapı özelliği içeriyor. Yine unpack sırasında dikkat çeken “ft_tool” adında bir dosya oluyor bu “-f” parametresi ile kullanıldığında ise arka kapıyı aktif hale getiriyor.

Bunun anlamı ise herhangi bir kişinin güncel bir firmware kullanmasına rağmen SerComm’un ürettiği Linksys, Netgear, Cisco, Diamond marka routerların 24 ayrı modelinde, TCP/32764 portunda çalışan shell erişimini aktif hale getirip cihaz üzerinde tam yönetim sağlayabilecek olması. Saydığımız markaların gerek kamu, gerekse özel sektörde çok sayıda yerde kullanılıyor olması ise riskin boyutlarını bir kademe yukarıya taşıyor.

Yeni sanayi casusluğu yazılımı Fokirtor beklenildiğinden yetenekli

fokirtor-sanayi-casuslugu-zararli-yazilim-backdoorYeni keşfedilen Fokirtor isimli backdoor yazılımı Linux sistemlere yüklenerek kendini başarı ile saklıyor. Fokirtor şimdiye kadar dünyanın en büyük hosting firmalarından birinin de arasında bulunduğu çok sayıda firmaya kesintisiz, gizli erişim sağlamak için arka kapı olarak sistemlere yüklenmiş.

Yazılımın en ilginç yeteneği ise kendi trafiğini olağan SSH bağlantıları arasında gizleyerek farkedilmeyi engellemesi. Yazılım ele geçirdiği bilgileri ise Blowfish şifreleme algoritması kullanarak komuta yönetim sistemlerine iletiyor. Fokirtor sisteme bulaştığında aşağıdaki bilgileri komuta kontrol merkezine aktarıyor;

– Sistemin hostname ve IP adresi

– Portları

– Şifresi

– SSH anahtarı

– Kullanıcı adları

Bu bilgilerin tümü komuta kontrol merkezine şifrelenerek aktarılıyor. Bu arka kapı yazılımının bulaştığı Linux sistemlerde ise kolayca tüm bilgiler ele geçirilebiliyor ve her türlü zararlı aktivite için yazılım yüklenebiliyor. Fokirtor iletişim kurmak için sunucuda herhangi bir port açmadığı, servis başlatmadığı için tespit etmekte güçleşiyor.

Fokirtor bugüne kadar geliştirilmiş hiçbir trojan, backdoor veya zararlı yazılımla aynı kodu paylaşmıyor. Tamamıyla yeniden yazılmış, sanayi casusluğuna sonuna kadar hizmet veren bir yazılım olarak siber mafya tarafından hazırlanmış.

Teknoloji üreticileri ve devletler

Teknoloji şirketleri ile devletler arasıdaki bağlar her zaman tartışma konusu olmuştur. Yazılım üreticilerinin ürünlerine “bilerek” koyduğu iddia edilen arka kapılar, network altyapı ürünü üreticisi firmaların ulusal güvenlik sebebiyle bazı ülkelerde satışına izin verilmemesi veya Prizma gibi takip altyapılarıyla popüler ürün ve servislerin izlenmesi gibi konular sıkça bilgi güvenliği endüstrisinin gündemine gelmeye başladı.

TerraMedusa Siber İstihbarat adına internet dediğimiz yaşam alanı ve bilgisayar dediğimiz araçlarla ilgili yapıtaşlarını oluşturan firmaların hangi ülkelerle ilişkide olduğunu haritalandırdı.

teknoloji-sirketleri-ile-devletler-arasindaki-baglar

Fort Disco ile WordPress ve Joomla hedefte

fort-disco-wordpress-joomla-botnet-windowsFort Disco adındaki botnet ağı 6000’den fazla içerik yönetim sistemine sahip Joomla, WordPress, Datalife Engine çalıştıran web sitesine bulaştı ve bu sayı hızla artıyor.

Fort Disco botnet aşağı yukarı bulaştığı 25.000 Windows sistemden oluşuyor ve bu sayı aktif olarak artıyor. Bu 25.000 enfekte olmuş zombie sistemi yöneten ise 6 komuta kontrol sunucusu. Botnet, sitelere brute force yöntemi ile şifre deneyerek saldırıyor. Erişim sağladığı takdirde ise sisteme FilesMan PHP backdoor yükleyerek uzaktan kurbanın web sitesini kontrol ediyor.

Yüklenen arka kapı sayesinde komuta kontrol sunucuları tek komutla tüm sistemleri yönetebiliyor. İstenilen zararlı yazılımları ek olarak yükleyebiliyor. Fort Disco botnetinin sahip olduğu veritabanında kullanıcılar ve sistem yöneticileri tarafından sıkça kullanılan 123456 vb. basit şifreler yer alıyor. Örneğin “123456” şifresi tam 588 web sitesinde işe yaramış. Şifre olarak kullanılan “admin” ise 893 sisteme girişi sağlamış.

Bu zararlı yazılımda da kural bozulmamış. Eğer sistemde Rusya bölgesinden bir ayar veya dil seti yüklenmişse ve Rus ip adresine sahip bir siteye saldırılacaksa Fort Disco botneti bunu anlayıp saldırıyı durduruyor.