Yazılar

Kaspersky görülmemiş bir yöntemle hacklendi

kaspersky-gorulmemis-bir-yontemle-hacklendiDünyaca ünlü antivirus ve bilgi güvenliği yazılımları üreticisi Kaspersky şimdiye dek görülmemiş bir operasyonla hacklendi.

Kim olduğu bilinmeyen, Kaspersky iç ağına kadar sızan siber suçluların Duqu benzeri bir zararlı yazılım kullandıkları biliniyor. Kaspersky’nin araştırmalarında saldırının ileride derecede karmaşık olduğunu ve neredeyse görünmez biçimde gerçekleştirildiği ortaya çıktı. Yapılan incelemelerde bu tarz bir operasyonu yapmanın yönetim ve diğer kısımlar dikkate alındığında 10 milyon doların üzerinde bir maliyeti olduğu ortaya çıkıyor.

Saldırganlar iç ağa sızmak için sistemlerde üç ayrı zero day açığından faydalandılar. Dolayısıyla bu saldırılar sırasında bazı izler de bıraktılar. Zararlı yazılım Kaspersky iç ağında MSI (Microsoft Software Installer) kullanılarak dağıtıldı. MSI genellikle sistem yöneticileri tarafından Windows sistemlere uzaktan yazılım kurmak için kullanılıyor. Saldırı sonucu bazı izlere ulaşılsa da, saldırganlar ağ içerisinde hareket ederken hiçbir dosya bırakmayarak, ayar değiştirmedi. Bu da hack olayının tespitini oldukça zor hale getirdi.

Planlama, ileri düzeydeki teknik kapasite göz ealındığında 2011 yılındaki Duqu saldırısını yapan kişilerle aynı olduğu ortaya çıkıyor. Büyük ihtimalle bu zararlı yazılımın da üretilmesinde bir gizli servisin büyük payı var. Kaspersky uzmanlarınca ağlarındaki bu zararlının keşfi ise hayli ilginç. Uzmanlar yeni antivirus ürünlerini kendi ağlarında denerken bazı garipliklerle karşılaşıyorlar. Araştırma derinleştirildikçe kullanılan üç ayrı zero day açığının da yamaları tamamen yapılmış Microsoft sistemlerde kullanıldığını farkediliyor. Kaspersky’nin yaptığı açıklamaya göre saldırganlar sadece bilgi güvenliğiyle ilgili ar-ge çalışmalarının yapıldığı sunucular, satış pazarlama ve hukuk departmanlarını hedef aldı. Amaçlarının ise tam olarak ne olduğu bilinmiyor.

Kişiselleştirilmiş akıllı keylogger üretmek

Siber suçlular özelleştirilmiş araçlar sunmaya devam ediyorlar. Bu “kendin yap” tarzı araçlar yardımıyla zararlı aktivitelerden kazanılan ekonomi gün geçtikçe daha da ivme kazanıyor.

Sonuncusu bir keylogger bazlı botnet/zararlı yazılım geliştirme aracı. Web tabanlı yapıya sahip bu araç yardımıyla sadece istenilen özellikleri taşıyan keyloggerler yapılandırmak mümkün. Kullanışlı bir arabirime sahip bu zararlı yazılımda hedefe ve operasyona göre çok detaylı ayarlar yapmak mümkün.

Bu web tabanlı zararlı yazılımda sadece keylogging özelliği bulunmuyor. Bunun yanında DDoS fonksiyonu da eklenmiş durumda. Aşağıda bu zararlı yazılımdan bazı ekran görüntüleri bulunuyor.

kisisellestirilmis-akilli-keylogger-uretmek-1

kisisellestirilmis-akilli-keylogger-uretmek-2

kisisellestirilmis-akilli-keylogger-uretmek-3

kisisellestirilmis-akilli-keylogger-uretmek-4

kisisellestirilmis-akilli-keylogger-uretmek-5

 

Web tabanlı ve 300 GB/s DDoS kapasiteli zararlı yazılım

Siber suçlular sürekli yeni projeler ile karşımıza çıkıyorlar. Bunlardan biri de web tabanlı, botnet/zararlı yazılım oluşturan bir araç. Bir nevi framework gibi çalışan bu platform kullanan kişilerin de katkılarıyla büyüyerek yeni tekniklere daha çabuk adapte oluyor.

Zararlı yazılımın botnet tarafındaki ajan dosya C ile yazılmış ve kendi obfuscation ve paketleme algoritmasına sahip. Çalıştırılabilir dosyanın boyutu ortalama 30 KB. Komuta kontrol sunucusu ile ajanlar arasındaki iletişimin tamamı şifreli olarak sağlanıyor. Fiyat ise 2500$ olarak belirlenmiş.

web-tabanli-botnet-zararli-yazilim-ddos

web-tabanli-botnet-zararli-yazilim-ddos2

web-tabanli-botnet-zararli-yazilim-ddos3

web-tabanli-botnet-zararli-yazilim-ddos4

web-tabanli-botnet-zararli-yazilim-ddos5

web-tabanli-botnet-zararli-yazilim-ddos6

Yeni botnet sizi kullanarak başkalarını hackliyor

sql-injection-zayifligi-botnet-zararli-yazilimYeni bir botnet hızla yayılmaya başladı. Marifeti bulaştığı sistemler üzerinden başka web sitelerindeki/sistemlerdeki zayıflıkları istismar etmek. Diğer bir deyişle bu botnet sizin sisteminize bulaştıktan sonra, sizin üzerinizden başkalarını hackliyor.

“Advanced Power” adlı bu botnet zararlı yazılımı kendisini bir Firefox eklentisi olarak sunuyor. İsmi “Microsoft .NET Framework Assistant” olarak geçiyor. Yaptığı genellikle bulaştığı sistemler üzerinden başka web sitelerindeki SQL injection açıklarını kullanmak.

Advanced Power öncelikle zayıflık bulunan web sitelerinin bir listesini güncelliyor. Botnet sadece açığı kullanmakla kalmıyor. Aynı zamanda bulaştığı web sitelerine zararlı kodlar yerleştirerek daha fazla sisteme, siteye bulaşıyor. Bu da hedef olabilecek sistemlerin, sitelerin sayısını ciddi şekilde arttırıyor.

Botnetin çok sayıda hassas bilgiyi çalabilme yeteneği var. Fakat henüz bu özellik aktive edilmemiş. Yani sadece komuta kontrol sistemi bulaştığı sistemleri, web sitelerini yöneterek daha da yayılmayı seçiyor. Şu an 12.500’ün üzerinde sistemin bu zararlı yazılımdan etkilendiği, 1.800 web sitesinin ise SQL injection açığının veritabanında bulunduğu biliniyor.

Diğer bir sıkıntı ise üzerinden başka yerlerin hacklendiği botnet kurbanları. Bu kişiler yasal olarakta o sisteme sızmış olarak kabul ediliyorlar. Bunun cezai yaptırımlarıyla yüzyüze gelmek zorunda kalıyorlar. Diğer bir önemli nokta ise adli süreçler başlayıp, bilirkişiler inceleme yapıp zararlı yazılım bulunmadan kendilerini aklamaları zor gözüküyor.

420 bin cihazdan zombi ordusu

Carna BotnetÜnlü internet bağlantılı elektronik cihaz üreticisi Çinli firma ZTE’nin varsayılan veya ürün içerisine kodlanmış şifreler bulunan yüzbinlerce cihazı keşfedildi.

İsmi henüz bilinmeyen araştırmacıların yazdıkları Carna botnet ağıyla ilgili elde ettikleri verileri haritalandırdıkları çalışma esnasında keşfedilen bilgiler bu olayı açığa çıkardı. Araştırma kapsamında neredeyse tüm IPv4 blokları taranarak Carna botnet ağının emrinde çalışabilecek 420.000’in üzerinde embedded veya dışarıya açık online cihaza rastlandı.

Bu varsayılan şifreye sahip 420 bin cihaz üzerine yüklenen ve port scanner içeren bir kod sayesinde neredeyse tüm internet taranabildi. Tarama 4.3 milyar ip adresine gerçekleştirildi. Bunlardan 1.3 milyar adedi kullanımda, 141 milyonu firewall arkasında, 729 milyonu ise dns adresine sahipti. Geriye kalan 2.3 milyar adedi ise kullanılmıyordu.

Varsayılan veya cihaz içerisine kodlanmış şifrelerden etkilenerek Carna botnet ağının parçası olan cihazlarda aslan payını ise Çinli üreticilerin cihazları alıyor. Carna botnetin kontrolünde olan 420 bin cihaz içerisinde %28 ile en büyük payı Çinli firma ZTE alıyor. %9 ile ikinci sırayı Portekizli firma SMD Informatica, %8 ile üçüncü sırayı Çinli üretici Shenzhen Gongjin Electronics Co. takip ediyor. Listenin altlarında %2 ile Dlink, %1 ile Sony bulunuyor.

İşin ilginç tarafı ise listede epeyi aşağılarda yer alan firma Airties ile ilgili. Carna botnet ağına dahil edilen 87,815 cihazı olan yerli üretici Airties araştırma ile ilgili ilk somut adım atarak konuyu araştıran firma.

İlk önlem olarak telekom firmaları ve bazı üreticiler dışarıya açık gelen yönetim portu olan telnet portunu filtrelemeye başladılar.

Fort Disco ile WordPress ve Joomla hedefte

fort-disco-wordpress-joomla-botnet-windowsFort Disco adındaki botnet ağı 6000’den fazla içerik yönetim sistemine sahip Joomla, WordPress, Datalife Engine çalıştıran web sitesine bulaştı ve bu sayı hızla artıyor.

Fort Disco botnet aşağı yukarı bulaştığı 25.000 Windows sistemden oluşuyor ve bu sayı aktif olarak artıyor. Bu 25.000 enfekte olmuş zombie sistemi yöneten ise 6 komuta kontrol sunucusu. Botnet, sitelere brute force yöntemi ile şifre deneyerek saldırıyor. Erişim sağladığı takdirde ise sisteme FilesMan PHP backdoor yükleyerek uzaktan kurbanın web sitesini kontrol ediyor.

Yüklenen arka kapı sayesinde komuta kontrol sunucuları tek komutla tüm sistemleri yönetebiliyor. İstenilen zararlı yazılımları ek olarak yükleyebiliyor. Fort Disco botnetinin sahip olduğu veritabanında kullanıcılar ve sistem yöneticileri tarafından sıkça kullanılan 123456 vb. basit şifreler yer alıyor. Örneğin “123456” şifresi tam 588 web sitesinde işe yaramış. Şifre olarak kullanılan “admin” ise 893 sisteme girişi sağlamış.

Bu zararlı yazılımda da kural bozulmamış. Eğer sistemde Rusya bölgesinden bir ayar veya dil seti yüklenmişse ve Rus ip adresine sahip bir siteye saldırılacaksa Fort Disco botneti bunu anlayıp saldırıyı durduruyor.

Mobilde Android botnet problemi

android-sms-spam-botnetAraştırmacılar, tüm büyük ABD mobil ağlarında çalışan, tehlikeli cihazlardan oluşan ve SMS spam iletmek amacıyla kullanılan bilinen ilk Android botnetin tespit edildiğini açıkladılar.

Aralık ayının başlarında yapılan tespite göre; botnet, kullanıcıların farkında olmadan yükledikleri SpamSoldier adlı trojan içeren zararlı bir oyun uygulaması indirmeleriyle büyüyor. Virüs bulaşmış cihazlar bir komuta-kontrol sunucusu ile bağlantıya geçerek 100’den fazla telefon numarasına SMS göndermeyi sağlayan talimatlar alıyor.

Bu numaralara gönderilen mesajlarla birlikte, virüslü telefonlar yaklaşık bir dakika içerisinde yeni bir hedef listesine ulaşmış oluyor. Bu kötü amaçlı yazılım, bilinmeyen numaralardan gelen ve giden mesajları da engelleyerek, kurbanlarının diğer kullanıcılar veya mobil servis sağlayıcılar tarafından spam yaydıkları konusunda uyarılmasının da önüne geçmiş oluyor. Bu botnetin kurucuları, kurbanlarını sahte hediye çeki vaat eden linkler yoluyla kişisel bilgi talebinde bulunan dolandırıcı pazarlama sitelerine yönlendirmek başta olmak üzere buna benzer pek çok strateji kullanarak kazanım sağlıyorlar.

Tipik bir SMS spam tekniğinde, spammer bir mağazaya gider ve hazır SIM kartlardan alarak bunları spam mesajlar göndermek için kullanır. Teknolojinin bu metodu yakalamasıyla spammerların bu yolla elde ettiği kazanımlar çok çok azaldı. SpamSoldier kampanyasında, dolandırıcılar spam masraflarını kurbanlarının omuzlarına yüklüyorlar. Botnet, geleneksel PC ortamındaki benzerlerine nazaran daha “ilkel” olarak tanımlanabilir ama bu taktik saldırganlar tarafından kullanılacak bir gelecek modeli gibi görünüyor.

Şu ana kadar 800’den fazla spam gönderen numara tespit edildi ve virüs bulaşmış cihaz sayısının 1000 civarında olduğunu düşünülüyor. Ağlarında Spamsoldier sms-spam-botnet-mesajmesajlarının giriş çıkışına rastlanan ABD servis sağlayıcıları arasında Verizon, AT&T, Sprint ve T-Mobile yer alıyor. Mobil operatorlerden gelen yorum ise, düşük seviyede kötü amaçlı yazılım oluşumlarına rastlandığını doğruladı ve kullanıcı ya da servis sağlayıcılar tarafından fark edilmediği takdirde daha büyük olumsuzluklar yaşanabileceğini gösteriyor.  İlk negatif etki, gönderilen çok fazla sayıdaki SMS’ten dolayı kurbanlarının yükümlü olacağı borçlara ilaveten servis sağlayıcı ağlarında oluşacak potansiyel yavaşlama. Servis sağlayıcıların bu tür bir sorunu tespit edip gidermekte çok hızlı davranamayacakları olası bir durum ve bundan dolayı kullanıcılara uygulanacak ilk standart prosedür olarak telefonun mesaj gönderme işlevini devre dışı bırakmaları.

Android platformunun sahibi Google ise bu konuda yorum yapmaktan kaçınıyor ki geçtiğimiz temmuz ayında Android cihazlarda açığa çıkan spam botnet varlığına ilişkin çelişkili raporları da aynı şekilde inkar etmişlerdi. Google her nasılsa bu spam mesajların virüslü bilgisayarlar ve sahte mobil imzalar kullanılarak Android uygulamalarından biri olan Yahoo Mail’e yönelik yapılan kötü amaçlı bir saldırı olduğu sonuca varmıştı. Anlaşılan ileriki zamanlarda Google bile Android üzerinde dolaşan tehdit bulutlarını inkar edemeyecek gibi gözüküyor.