Yazılar

Çin’li Lenovo’nun casus yazılım krizi Superfish

cin-lenovo-casus-yazilim-krizi-superfish Çin’li Lenovo’nun casus yazılım krizi SuperfishLenovo en büyük hatalardan birine düşerek sattığı bilgisayarlara Superfish adındaki bir casus yazılım yükledi. Bu yazılımın işlevi ise HTTPS dahil tüm web trafiğini araya girip izleyerek reklam göstermek.

Aslına bakarsak Lenovo’nun yüklediği bu yazılımı “zararlı yazılım” olarakta nitelendirmek mümkün. Sistemlere yüklü olarak gelen Superfish aynı zamanda yazılım gibi firmanın da ismi. Merkezi İsrail, Tel Aviv’de bulunan ve ileri seviye görsel arama teknolojileri geliştirdiğini söyleyen bir firma. Lenovo, Superfish yazılımını Google arama sonuçları içerisine istediği reklamları yerleştirmek için kullanıyordu. Bu şekilde gelir elde ediyordu. Reklamlar yerleştirilirken ise HTTP ve HTTPS trafiği içerisinde web sayfalarına JavaScript inject ediliyor.

HTTP ve HTTPS trafiğinin izlenmesi zararlı yazılımlardan sıkça gördüğümüz Man-in-Middle saldırısı anlamına geliyor. Lenovo sitelerin gerçek SSL sertifikalarını atlayarak Superfish sertifikasıyla gösterek güvenilirliği teyit etmeyi de engelliyor. Superfish gezdiğiniz siteyi algılayarak Facebook veya Google için bile şifreleme sertifikası üretebiliyor.

Burada gizlilikle ilgili birden fazla tehdit varken başka sıkıntılar da göze çarpıyor. Bunlardan ilki iletişiminizi izleyen veya aynı ağda olan kişilerle ilgili. Superfish’in özel anahtarını kıran biri başka bir Lenovo bilgisayarın trafiğini izlemek için kullanabiliyor. Yani bu bir Wi-Fi erişim noktası, iç ağ gibi lokasyonlardan internete bağlanırken tüm trafiğin izlenebilmesi demek.

Superfish’in özel anahtarının şifresini kırmakta pek güç değil. Sadece 2203 kelime içeren basit bir wordlist ile saldırı yapıldığında şifre rahatlıkla ele geçirilebiliyor. Bulunan şifre ise “komodia”.

cin-lenovo-casus-yazilim-krizi-superfish-2 Çin’li Lenovo’nun casus yazılım krizi Superfish

Gelen tepkiler üzerine skandal uygulamayla ilgili geri adım atan Lenovo, bundan böyle üretilen yeni bilgisayarlarda Superfish’in yüklü gelmeyeceğini açıkladı. Hali hazırda yüklü sistemlerde ise “etkisiz” hale getirileceğini belirtti. Halen Superfish’in yüklü olduğu ve satılan 16 milyon bilgisayar olduğu tahmin ediliyor. Bunların bir kısmı iş istasyonu amacıyla kullanılan sistemler. Türkiye’de de sıkça kullanılan, özellikle de kamu sektöründe iş istasyonu, taşınabilir bilgisayar olarak tercih edilen Lenovo dünyanın en büyük PC üreticilerinden biri.

Internet bankacılığı zararlısı Zeus ve Carberp güç birleştirdi

internet-bankaciligi-trojani-zeus-ve-carberp-guc-birlestirdi Internet bankacılığı zararlısı Zeus ve Carberp güç birleştirdiYeni bir internet bankacılığı trojanı dünya çapında 450’nin üzerinde finansal kurumu tehdit etmeye başladı. Bu yeni internet bankacılığı trojanı Zeus ve Carberp zararlı yazılım ailesinin özelliklerini birleştirebilmiş olmasıyla öne çıkıyor.

Yeni zararlı yazılım Zberp sistemlerden hedeflenmiş verileri sızdırıyor, ekran görüntüleri alarak bunları iletiyor, SSL sertifikalarına müdahale ederek online formlara girilen verileri yakalıyor, FTP ve POP3 şifrelerini ele geçiriyor, MITB tekniğiyle kullanıcı ile browser arasına girerek oturumları değiştirebiliyor. Yeni zararlının bunun dışında da özellikleri bulunuyor ve yapı olarak oldukça komplike bir internet bankacılığı odaklı zararlı yazılım.

Zberp ileri seviye obfuscation ve evade detection özellikleriyle kendisini gizleyerek antivirus yazılımlarını atlatabiliyor. Aynı zamanda uzaktan, C&C sunucusu yardımıyla kendisini statik veya dinamik olarak değiştirebilme yeteneğine de sahip. Zberp’in faydalandığı zararlı yazılımlardan Zeus’un kaynak kodu yıllar önce bir web sitesinde yayınlanmıştı. Zberp, Zeus’un evade detection, konfigürasyon dosyalarını gönderirken stegonography’den faydalanma gibi özelliklerini alırken sisteme yerleşme tekniklerini ise Carberp’ten almış gözüküyor.

İşin korkutucu yanlarından biri ise Zberp zararlı yazılımı günler önce keşfedildiğinde, bilinen neredeyse hiçbir antivirus yazılımı bu zararlıyı tespit edemiyordu.

iBanking bot mobil bankacılık zararlı yazılımı

iBanking yeni bir mobil bankacılık zararlı yazılımı ve siber mafya tarafından ortalama 5000 dolar gibi rakamlara satışına başlandı.

Zeus ve Carberp gibi iBanking’de kaynak kodları ile birlikte yayınlanmaya başlandı. Çok sayıda insan kendi özel eklentilerini ve versiyonlarını geliştirmekle meşgul. Özellikle de MaaS yani Malware as a Service olarak yazılımı hizmet olarak satmak şu sıralar popüler.

ibanking-mobil-zararli-yazilim iBanking bot mobil bankacılık zararlı yazılımı

Bu bot özelliğine sahip zararlı yazılım SMS veya HTTP üzerinden C&C sunucusu yardımıyla kolayca yönetilebiliyor. Bu verilen komutlarla aşağıdaki işlemleri gerçekleştirmek mümkün;

  • Tüm gelen/giden SMS mesajlarını yakalamak
  • Gelen tüm sesli aramaları başka bir numaraya yönlendirmek
  • Gelen/giden/cevapsız çağrıları silmek, kontrol etmek
  • Cihazın mikrofonunu kontrol ederek ses kaydetmek
  • Telefon defterini ele geçirmek
  • URL durumunu yakalamak. Burada amaç MITM yöntemiyle click-fraud tarzı saldırılar düzenlemek.

ibanking-mobil-zararli-yazilim2 iBanking bot mobil bankacılık zararlı yazılımı

iBanking bot mobil zararlı yazılımı aynı zamanda iki aşamalı kimlik doğrulaması kullanan bankacılık sistemlerini de atlatmakta başarılı. Kaynak kodlarının dağıtılıyor olması da herkesin farklı bankalarla ilgili yeni zararlı yazılımlar üretip paketleyerek kullanabileceği anlamına geliyor.