Yazılar

Lenovo bilgisayarlarda yeniden arka kapı tespit edildi

lenovo-bilgisayarlarda-yeniden-arka-kapi-tespit-edildiÇin’li bilgisayar üreticisi Lenovo’nun BIOS içerisine gizlediği rootkit zararlı yazılımı tespit edildi.

Daha önce Lenovo’nun sattığı bilgisayarlara Superfish ismindeki spyware yazılımını yüklediği ortaya çıkmıştı. Bu skandalın üzerinden çok geçmeden daha tehlikeli bir zararlı uygulamaya rastlandı. UEFI seviyesinde gizli olarak yerleştirilmiş rootkit Lenovo G50-80 marka yeni alınan bir laptopta tespit edildi. Tamamen temiz olarak baştan kurulan ve Lenovo ile gelen disklerle yüklemesi yapılan sistemde tespit edildi.

İşletim sistemi yeniden kurulduktan sonra ilk reboot işleminin ardından aşağıdaki gibi bir mesaj alınıyor;

“Note: This is from the product itself and not from the network. To help you continue to upgrade system firmware and software, in order to make your system more stable, safe and high performance, download and install the Lenovo system optimization software. The software download process needs to connect to the internet. Click here to read the Lenovo License Agreement LLA”

Bunun anlamı, BIOS işletim sisteminin yeniden kurulduğunu anlıyor ve tekrar sistemde arka kapı oluşturacak dosyaları kopyalamak için uyarıyı gösteriyor. Normal bir Windows sistemle farklılıklar karşılaştırıldığında çok sayıda değişiklik yapıldığı görülüyor. Sistemde LenovoCheck.exe ve LenovoUpdate.exe gibi dosyalar da bulunuyor. Bu dosyalardan biri silinse bile tekrar sistem reboot edildiğinde aynı mesaj gözüküyor ve dosyalar yeniden kopyalanıyor.

Servisler içerisinde “Lenovo Update” olarak gösterilen servisi kapatsanız bile tekrar otomatik olarak aktif hale getiriliyor. Cihaz internete bağlandığında ise Lenovo’ya bağlanarak bir .json dosyası üzerinden çeşitli veriler alıp gönderiyor. Bu işlem için ise SSL kullanılmıyor. Tamamıyla güvensiz olan bu yöntem sayesinde uzaktan sistemde kod çalıştırmak veya iletişimi izleyerek man-in-the-middle saldırılarında bulunmak mümkün.

Problemin çözümü için BIOS güncellemesi yapılması gerekiyor fakat öncesinde yeni ROM içerisinde “NovoSecEngine2” isimli modülün bulunarak kaldırılması gerekiyor. Bu işlemi yaparken dikkatli olmak gerekli çünkü laptop kullanılamaz hale gelebilir. BIOS yeniden yazıldıktan sonra c:\Windows\system32\autochk.exe dosyasını Lenovo’nun mu yoksa Microsoft’un mu imzaladığına bakarak rootkit’in aktif olup olmadığı anlaşılabilir. Alternatif olarak Lenovo’nun yayınladığı son BIOS güncellemesi de kullanılabilir fakat kontrol etmekte yarar var gibi gözüküyor.

Lenovo’nun konu ile ilgili açıklaması ise artık LSE denilen rootkit’in Lenovo cihazlarla birlikte dağıtılmadığı, eski cihazların ise BIOS güncellemesi yaparak kurtulabileceği yönünde oldu.

Lenovo marka thin client, desktop, laptop çeşidi çok sayıda bilgisayar Türkiye’nin en kritik kamu, özel sektör kuruluşlarında kullanılıyor. Rootkit’ten etkilenen Lenovo modelleri;

Lenovo Notebook

  • Flex 2 Pro 15 (Broadwell)
  • Flex 2 Pro 15 (Haswell)
  • Flex 3 1120
  • Flex 3 1470/1570
  • G40-80/G50-80/G50-80 Touch
  • S41-70/U41-70
  • S435/M40-35
  • V3000
  • Y40-80
  • Yoga 3 11
  • Yoga 3 14
  • Z41-70/Z51-70
  • Z70-80/G70-80

Lenovo Desktop

  • A540/A740
  • B4030
  • B5030
  • B5035
  • B750
  • H3000
  • H3050
  • H5000
  • H5050
  • H5055
  • Horizon 2 27
  • Horizon 2e (Yoga Home 500)
  • Horizon 2S
  • C260
  • C2005
  • C2030
  • C4005
  • C4030
  • C5030
  • X310(A78)
  • X315(B85)
  • D3000
  • D5050
  • D5055
  • F5000
  • F5050
  • F5055
  • G5000
  • G5050
  • G5055
  • YT A5700k
  • YT A7700k
  • YT M2620n
  • YT M5310n
  • YT M5790n
  • YT M7100n
  • YT S4005
  • YT S4030
  • YT S4040
  • YT S5030

Çin ve Rusya ulusal güvenlik için teknoloji firmalarına rest çekti

cin-ve-rusya-ulusal-guvenlik-icin-teknoloji-firmalarina-rest-cekiyorArtık Çin’e satılacak donanım ve yazılım ürünlerinin kaynak kodları Çin hükümetine teslim edilecek.

Çin hükümeti devreye aldığı yeni regülasyonlar sayesinde kritik kurumlara satılan yabancı ürünlerin kaynak kodlarını talep ediyor. Örneğin bir Çin bankasına satışı yapılan yabancı yazılımın kaynak kodu devlete teslim edilecek ve bu kod üzerinde olabilecek arka kapılara karşı kaynak kod analizi gerçekleştirilecek.

Çin hükümetinin yayınladığı doküman yaklaşık 22 sayfadan oluyor. Yeni regülasyonlar 2014 yılı sonunda kabul edilerek yürürlüğe girdi. Burada amaç kritik önemdeki sektörlerde Çin’in siber güvenlik altyapısını güçlendirmek. Diğer yandan bu yeni kurallar bütünü ABD’li firmaları büyük fırsatlar içeren Çin pazarına girememek konusunda endişelendiriyor. ABD Ticaret Odası yaptığı açıklamada Çin’li yetkilileri diyaloga çağırarak bu durumun Çin’in büyük oranda milli ürünleri kullanması ile sonuçlanacağını belirtti.

Tek çekince bu değil. Diğer bir çekince ise satışı yapılacak donanım/yazılımların kaynak kodları teslim edildikten sonra Çin’in siber savaş komutanlığı olan PLA’in bunları inceleyerek zero day güvenlik açıklarını tespit etme ihtimali. Bu durumda ABD ürünlerinin kaynak kodlarını inceleyen Çin, ABD’de bu ürünlerin kullanıldığı ağlara izinsiz erişebilir. ABD’li üreticiler ise teslim edecekleri kaynak kodlarının Çin’li teknoloji firmalarına sızdırılabileceği için endişeli görünüyor. ABD ile aynı ürünlerin ucuz versiyonlarını üretmekle ünlü oldukları için ABD’li üreticiler teknolojilerinin kopyalanmasını istemiyorlar. Çin’in hedefi 2019 yılına gelindiğinde ulusal güvenliği ilgilendirebilecek altyapıların %75’inde Çin menşeili ürünler kullanmak.

Rusya’da Çin’in benzeri bir planı devreye sokarak 1 Ocak 2015 itibarı ile yabancı ürünlerin kritik altyapılarda kullanılmasının önüne geçme kararı aldı. Hatta bu adımı ileri götürerek bazı kritik toplantılarda hazırlanan tutanakların bilgisayar yerine mekanik daktilolar ile kağıda dökülmesi kararı almıştı.

Türkiye ise ulusal güvenlik açısından ABD, Fransa, İsrail ve Çin’li üreticilere teslim gözüküyor. En kritik altyapılarda bile ana bileşenler ağırlıklı olarak bu dört ülkedeki üreticiler tarafından hazırlanıyor.

420 bin cihazdan zombi ordusu

Carna BotnetÜnlü internet bağlantılı elektronik cihaz üreticisi Çinli firma ZTE’nin varsayılan veya ürün içerisine kodlanmış şifreler bulunan yüzbinlerce cihazı keşfedildi.

İsmi henüz bilinmeyen araştırmacıların yazdıkları Carna botnet ağıyla ilgili elde ettikleri verileri haritalandırdıkları çalışma esnasında keşfedilen bilgiler bu olayı açığa çıkardı. Araştırma kapsamında neredeyse tüm IPv4 blokları taranarak Carna botnet ağının emrinde çalışabilecek 420.000’in üzerinde embedded veya dışarıya açık online cihaza rastlandı.

Bu varsayılan şifreye sahip 420 bin cihaz üzerine yüklenen ve port scanner içeren bir kod sayesinde neredeyse tüm internet taranabildi. Tarama 4.3 milyar ip adresine gerçekleştirildi. Bunlardan 1.3 milyar adedi kullanımda, 141 milyonu firewall arkasında, 729 milyonu ise dns adresine sahipti. Geriye kalan 2.3 milyar adedi ise kullanılmıyordu.

Varsayılan veya cihaz içerisine kodlanmış şifrelerden etkilenerek Carna botnet ağının parçası olan cihazlarda aslan payını ise Çinli üreticilerin cihazları alıyor. Carna botnetin kontrolünde olan 420 bin cihaz içerisinde %28 ile en büyük payı Çinli firma ZTE alıyor. %9 ile ikinci sırayı Portekizli firma SMD Informatica, %8 ile üçüncü sırayı Çinli üretici Shenzhen Gongjin Electronics Co. takip ediyor. Listenin altlarında %2 ile Dlink, %1 ile Sony bulunuyor.

İşin ilginç tarafı ise listede epeyi aşağılarda yer alan firma Airties ile ilgili. Carna botnet ağına dahil edilen 87,815 cihazı olan yerli üretici Airties araştırma ile ilgili ilk somut adım atarak konuyu araştıran firma.

İlk önlem olarak telekom firmaları ve bazı üreticiler dışarıya açık gelen yönetim portu olan telnet portunu filtrelemeye başladılar.

Red October: 5 senelik gizemli tehdit

red-october-kizil-ekim-roctaSon keşfedilen Çin kaynaklı Kızıl Ekim (Red October) operasyonunun daha çok etkileri üzerine odaklanılırken,  antivirüs ve ağ saldırı tespit sistemlerinden en az 5 yıl süreyle kaçınmayı başaran amacına gösterilen ilgi ise oldukça yetersizdi.

Bu operasyonda kullanılan zararlı yazılım keylogger gibi birçok geleneksel işlev içeriyordu. Fakat bu geleneksel yeterlilikler üzerine odaklanmak çok önemli bir kilit noktasının gözden kaçırılmasına neden oldu: Kimlik bilgileri ve kişisel dosyalar gibi yerel verilerin çalınması.

Kızıl Ekim iki ilginç durum içeriyordu:

– Saldırganların, yeni kurbanlarına gönderdikleri maillere aynı sektörde yer alan önceki kurbanlarının bilgilerinden elde ettikleri ilgi çekecek verileri ekleyerek daha az şüphe uyandırmaları.

– Önemli veri merkezlerini belirleme ve ulaşım yeteneği.

Bu siber-casusluk operasyonun kurbanları ise en çok koruma altında olan ve tehditlerin farkında olan sektörler; hükümet, enerji, havacılık ve askeri üsler vs. gibi. Bu kurbanlardan ele geçirilecek potansiyel bilgiler içeriğine ve çeşidine göre farklılık göstermekte: Toplantılara, stratejik planlara ait sunum ve dosyalar, finansal kayıtlara sahip veri tabanları, CRM kayıtları, silah ve altyapıya ait teknik çizimler, önemli email yazışmaları ve daha fazlası.

Kızıl Ekim operasyonunda kullanılan zararlı yazılımın adı Rocra. Rocra APT saldırısı için gerekli her bir element için spesifik modüller içeriyor:  Keşif toplama, yayma, devamlılık, veri çekme ve dışarı veri aktarma. Bu malware özellikle hem yapılandırılmamış veri (dosya) hem de yapısal veri (veritabanı kayıtlarına) erişim yeteneğine sahip dahası yüklenmiş yazılımlardan en çokta Oracle tabanlı veritabanlarından bilgi toplayabilir özellikte. 

Peki bu modüller ne yapar, bazılarını açıklayalım:

– “Recon – Keşif toplama” modülünün amacı saldırganın doğru veriyi bulmasına yardımcı olmak.red-october-kizil-ekim-saldiri-moduller

– “Exfiltration – Veri dışarı aktarma” modülünün amacı veriyi saldırgana ulaştırmak.

Genel olarak Rocra modülleri, FTP sunucularına erişim, ağ paylaşımlarının, yerel disk sürücülerinin kontrolü ve bu kaynaklardan dosya kopyalama yeteneğine sahip. Saldırganın isteğine bağlı olarak devre dışı bırakılabilen “Recon” modülünün aksine “Exfiltration” modülü sürekli olarak çalışıp sadece yeni değerli veri getirmek için tasarlanmıştır.

Kurbanların ağlarına ve uç noktalarına sızma, özenle hazırlanmış email mesajlarına eklenen Excel ve Word dosyaları üzerinden gerçekleştiriliyor. Ekli dosyalarda kurbanla aynı sektörden eski kurbanlara ait veriler bulundurularak şüpheli olabilecek bir e-mail böylelikle meşru bir e-mail olarak yansıtılıyor. Rocra, C&C ile dosya içeriği aynı zamanda dosya boyutunu değiştiren bir veri aktarımı protokolü uyguladığından bu saldırıda muhtemelen DLP çözümleri de yenilgiye uğramış durumda.

Bu veri hırsızlığı tespit etmek ve önlemek mümkün müydü? Evet. Sadece ağ çevresini ve uç noktalarını izlemek yerine kurbanların kendi verilerini daha yakından izlemesi, zayıflıklarının denetlenmesi sağlanabilirdi.