Yazılar

Red October: 5 senelik gizemli tehdit

red-october-kizil-ekim-roctaSon keşfedilen Çin kaynaklı Kızıl Ekim (Red October) operasyonunun daha çok etkileri üzerine odaklanılırken,  antivirüs ve ağ saldırı tespit sistemlerinden en az 5 yıl süreyle kaçınmayı başaran amacına gösterilen ilgi ise oldukça yetersizdi.

Bu operasyonda kullanılan zararlı yazılım keylogger gibi birçok geleneksel işlev içeriyordu. Fakat bu geleneksel yeterlilikler üzerine odaklanmak çok önemli bir kilit noktasının gözden kaçırılmasına neden oldu: Kimlik bilgileri ve kişisel dosyalar gibi yerel verilerin çalınması.

Kızıl Ekim iki ilginç durum içeriyordu:

– Saldırganların, yeni kurbanlarına gönderdikleri maillere aynı sektörde yer alan önceki kurbanlarının bilgilerinden elde ettikleri ilgi çekecek verileri ekleyerek daha az şüphe uyandırmaları.

– Önemli veri merkezlerini belirleme ve ulaşım yeteneği.

Bu siber-casusluk operasyonun kurbanları ise en çok koruma altında olan ve tehditlerin farkında olan sektörler; hükümet, enerji, havacılık ve askeri üsler vs. gibi. Bu kurbanlardan ele geçirilecek potansiyel bilgiler içeriğine ve çeşidine göre farklılık göstermekte: Toplantılara, stratejik planlara ait sunum ve dosyalar, finansal kayıtlara sahip veri tabanları, CRM kayıtları, silah ve altyapıya ait teknik çizimler, önemli email yazışmaları ve daha fazlası.

Kızıl Ekim operasyonunda kullanılan zararlı yazılımın adı Rocra. Rocra APT saldırısı için gerekli her bir element için spesifik modüller içeriyor:  Keşif toplama, yayma, devamlılık, veri çekme ve dışarı veri aktarma. Bu malware özellikle hem yapılandırılmamış veri (dosya) hem de yapısal veri (veritabanı kayıtlarına) erişim yeteneğine sahip dahası yüklenmiş yazılımlardan en çokta Oracle tabanlı veritabanlarından bilgi toplayabilir özellikte. 

Peki bu modüller ne yapar, bazılarını açıklayalım:

– “Recon – Keşif toplama” modülünün amacı saldırganın doğru veriyi bulmasına yardımcı olmak.red-october-kizil-ekim-saldiri-moduller

– “Exfiltration – Veri dışarı aktarma” modülünün amacı veriyi saldırgana ulaştırmak.

Genel olarak Rocra modülleri, FTP sunucularına erişim, ağ paylaşımlarının, yerel disk sürücülerinin kontrolü ve bu kaynaklardan dosya kopyalama yeteneğine sahip. Saldırganın isteğine bağlı olarak devre dışı bırakılabilen “Recon” modülünün aksine “Exfiltration” modülü sürekli olarak çalışıp sadece yeni değerli veri getirmek için tasarlanmıştır.

Kurbanların ağlarına ve uç noktalarına sızma, özenle hazırlanmış email mesajlarına eklenen Excel ve Word dosyaları üzerinden gerçekleştiriliyor. Ekli dosyalarda kurbanla aynı sektörden eski kurbanlara ait veriler bulundurularak şüpheli olabilecek bir e-mail böylelikle meşru bir e-mail olarak yansıtılıyor. Rocra, C&C ile dosya içeriği aynı zamanda dosya boyutunu değiştiren bir veri aktarımı protokolü uyguladığından bu saldırıda muhtemelen DLP çözümleri de yenilgiye uğramış durumda.

Bu veri hırsızlığı tespit etmek ve önlemek mümkün müydü? Evet. Sadece ağ çevresini ve uç noktalarını izlemek yerine kurbanların kendi verilerini daha yakından izlemesi, zayıflıklarının denetlenmesi sağlanabilirdi.