Yazılar

Polis kameralarına bulaşan gizli Virus

polis-kameralarina-bulasan-gizli-virus Polis kameralarına bulaşan gizli VirusPolislerin üzerlerine takılarak görev ve operasyon görüntülerini kaydeden kameralarda zararlı yazılım tespit edildi.

ABD’nin Florida eyaletinde faaliyet gösteren iPower Technologies ismindeki firma polislerin üzerine takılan Martel Frontline Camera adında GPS’li bir ürün üretmekte. Aynı zamanda iPower firması polis departmanları ve diğer devlet kurumları için bulut bağlantılı video depolama hizmeti de sunuyor. Videolar bulut üzerinde arşivlenerek buradan arama ve erişim sağlanıyor.

Fakat Martel Electronics firmasının ürünlerini analiz eden uzmanlar çarpıcı bazı sonuçlarla karşılaştılar. Polislerin üzerlerine taktığı iPower serisi kameralarda ön yüklü olarak Win32/Conficker.B!inf solucan virüsü tespit edildi. Kamera bilgisayara bağlandığında antivirus programları kolayca zararlı yazılımı tespit ederek karantina altına alınıyor. Birden fazla kamerada bu zararlı yazılım tespit edilmiş durumda. Fakat antivirus kullanılmayan ağlarda durum vahim. Öyle bir senaryoda Conficker virusu aktif hale gelerek önce kameranın bağlandığı sisteme sonrasında ise ağ yoluyla diğer sistemlere bulaşıyor.

Araştırmacılar Martel firması ile iletişime geçerek konuyla ilgili görüştüğünde ise firmanın başkanı bu durumun ciddi güvenlik sorunları yaratacağını ve sattıkları kameralarla ilgili IT bölümlerinin sorunun çözümü için çalıştığını belirtmekle yetiniyor. Martel firmasının ürünleri ABD dahil çok sayıda ülkede polis ve başka devlet kurumlarınca aktif olarak kullanılıyor. Conficker ise ilk kez Kasım 2008 tarihinde ortaya çıkmıştı ve İran’ı etkileyen Stuxnet zararlısıyla ilişkili olarak belirlenmişti. Halen çok sayıda devlet kurumu ve firmanın Windows XP benzeri eski işletim sistemleri de kullandığı düşünüldüğünde, ağa bulaşacak bu tür bir zararlı yazılım için kolayca diğer sistemlere bulaşmak mümkün.

Microsoft Stuxnet’e sebep olan açığı kapatamıyor

microsoft-stuxnet-sebep-olan-acigi-kapatamiyor Microsoft Stuxnet’e sebep olan açığı kapatamıyor2010 yılının ortalarında keşfedilen Stuxnet, İran’ın nükleer programını sabote etmeye yönelik hazırlanmış bir zararlı yazılım. 2009 yılında kullanılmaya başlanan Stuxnet zararlısı içerisinde çok sayıda zero day açığı içeriyordu. Bunlar arasında Windows Shell zayıflığı yani LNK dosyaları hakkında olan CVE-2010-2568 kodlu zayıflıkta yer alıyor.

Söz konusu Windows Shell zayıflığı uzaktan veya lokal olarak saldırganın zararlı .LNK veya .PIF uzantılı dosyaları Windows Explorer ile çalıştırmasına olanak tanıyordu. LNK zayıflığı İran’dan önce Pakistan bölgesinde yayılmıştı.

Zayıflık ortaya çıktıktan sonra, 2010 yılında Microsoft MS10-046 kodlu yamayı yayınladı. Fakat işler beklenildiği gibi gitmiyor. 2015 öncesi yaşanan gelişmelere göre yamanın doğru çalışmadığı tespit edildi. Bu yüzden Microsoft bu kez MS15-018 kodlu yeni bir yama yayınladı.

Windows Shell zayıflığı öyle ciddi etkilere sahip ki Kasım 2013 – Haziran 2014 arası 50 milyon kez tespit edildi. Bu saldırılarda dünya çapında 19 milyon sistem hedef alındı. Bu hedef alınan ülkelerde Vietnam ilk sırayı alırken onu Hindistan ve Endonezya takip ediyor. Türkiye ise %5.52 ile Endonezya’nın ardından en çok saldırı alan dördüncü ülke.

Bunun anlamı yamanın yayınlandığı ve açığın kapatıldığının sanıldığı 4 yıl boyunca Stuxnet aktif olarak tüm dünyada yayılımına ve hizmet ettiği amaca yönelik çalışmaya devam etti. Bu bir ülkeye ait siber savaş silahı olarak görülmemiş bir başarıya işaret ederken diğer yandan ülkelerin ulusal güvenliğini ciddi şekilde tehdit ediyor.

Regin ileri seviye casusluk yaparak devletlere veri topluyor

regin-ileri-seviye-casusluk-yaparak-devletlere-veri-topluyor Regin ileri seviye casusluk yaparak devletlere veri topluyorİleri seviye özelliklere sahip bir arka kapı zararlı yazılımı olan Regin siber casusluk operasyonu amaçlı devletlere ve altyapı sağlayıcılara karşı kullanılıyor.

Regin’in kodu incelendiğinde oldukça sofistike yöntemler kullanıldığı, teknik kapasite açısından nadir görülen kişiler tarafından yazıldığı belli oluyor. Benzerlik Flame, Duqu, Stuxnet gibi yine devletlerin hazırlayarak yaydıkları zararlı yazılımları akla getiriyor. Regin oldukça esnek bir yapıya sahip. Tek bir kişiden, tüm bir organizasyona kadar hedefi özelleştirmek mümkün. Böyle bir zararlı yazılımı tamamıyla yazmak yıllar gerektiriyor.

Tüm bu veriler ışında düşündüğümüz Regin’in bir devlet tarafından hazırlanarak farklı alanlardaki uluslararası hedeflerden veri toplama amacıyla dağıtıldığı. Regin kendini öyle iyi gizlemiş ki tüm prosesler katmanlara ayrılarak şifrelenmiş. Adeta domino taşları gibi her aşama kendini çözüp işini bitirdikten sonra bir sonraki şifreli aşamayı başlatıyor. Tüm aşamalar kontrol ediliyor ve tam bir bütünlük, başarım sağlanıyor. Bu da yıllarca zararlı yazılımın farkedilmesini engellemiş.

Regin çok sayıda yeteneğe sahip. Bulaştığı sistemde şifreleri çalma, ağ trafiğini izleme, ekran görüntüsü alma, mouse kontrol etme, silinen dosyaları geri getirme gibi işleri gerçekleştirebiliyor. Bazı modüller ise oldukça spesifik aksiyonlar için ayrılmış. Örneğin biri mobil telefon baz istasyonu cihazının trafiğini sniff ederken, bir diğeri IIS sunucusu trafiğini izlemek için yapılandırılmış. İşin ilginç tarafı Regin zararlı yazılım saldırısı ilk kez 2008 yılında ortaya çıktı ve faaliyetini uzunca bir süre farkedilmeden devam ettirdi.