Yazılar

Polis kameralarına bulaşan gizli Virus

polis-kameralarina-bulasan-gizli-virus Polis kameralarına bulaşan gizli VirusPolislerin üzerlerine takılarak görev ve operasyon görüntülerini kaydeden kameralarda zararlı yazılım tespit edildi.

ABD’nin Florida eyaletinde faaliyet gösteren iPower Technologies ismindeki firma polislerin üzerine takılan Martel Frontline Camera adında GPS’li bir ürün üretmekte. Aynı zamanda iPower firması polis departmanları ve diğer devlet kurumları için bulut bağlantılı video depolama hizmeti de sunuyor. Videolar bulut üzerinde arşivlenerek buradan arama ve erişim sağlanıyor.

Fakat Martel Electronics firmasının ürünlerini analiz eden uzmanlar çarpıcı bazı sonuçlarla karşılaştılar. Polislerin üzerlerine taktığı iPower serisi kameralarda ön yüklü olarak Win32/Conficker.B!inf solucan virüsü tespit edildi. Kamera bilgisayara bağlandığında antivirus programları kolayca zararlı yazılımı tespit ederek karantina altına alınıyor. Birden fazla kamerada bu zararlı yazılım tespit edilmiş durumda. Fakat antivirus kullanılmayan ağlarda durum vahim. Öyle bir senaryoda Conficker virusu aktif hale gelerek önce kameranın bağlandığı sisteme sonrasında ise ağ yoluyla diğer sistemlere bulaşıyor.

Araştırmacılar Martel firması ile iletişime geçerek konuyla ilgili görüştüğünde ise firmanın başkanı bu durumun ciddi güvenlik sorunları yaratacağını ve sattıkları kameralarla ilgili IT bölümlerinin sorunun çözümü için çalıştığını belirtmekle yetiniyor. Martel firmasının ürünleri ABD dahil çok sayıda ülkede polis ve başka devlet kurumlarınca aktif olarak kullanılıyor. Conficker ise ilk kez Kasım 2008 tarihinde ortaya çıkmıştı ve İran’ı etkileyen Stuxnet zararlısıyla ilişkili olarak belirlenmişti. Halen çok sayıda devlet kurumu ve firmanın Windows XP benzeri eski işletim sistemleri de kullandığı düşünüldüğünde, ağa bulaşacak bu tür bir zararlı yazılım için kolayca diğer sistemlere bulaşmak mümkün.

Harkonnen Operasyonu: 12 yıl gizli kalan zararlı yazılım

harkonnen-operasyonu-12-yil-gizli-kalan-zararli-yazilim Harkonnen Operasyonu: 12 yıl gizli kalan zararlı yazılımBankalar, kurumsal firmalar ve devletleri hedef alan Harkonnen Operasyonu 12 yıl ile tarihteki en uzun süren zararlı yazılım operasyonu olarak deşifre edildi.

Operasyon öyle detaylı şekilde planlanmış ki ilk etapta İngiltere’de kayıt ettirilmiş aynı IP adresine sahip 800 kadar firma gözümüze çarpıyor. Bu siteler saldırganların dünyanın farklı ülkelerindeki bankalar, büyük firmalar, devlet kuruluşlarının sistemlerine veya ağ cihazlarına sızarak zararlı yazılım yüklemesinde yardımcı oluyor.

Harkonnen Operasyonu sayesinde saldırganların 300 kadar büyük kuruluşun sistemlerine girerek veri sızdırdığı tahmin ediliyor. İşin ilginç kısmı ise 2002’den beri bu zararlı yazılım operasyonunun hiç deşifre olmadan devam ediyor olması. Çok sayıda saldırı biçiminin kullanıldığı bu operasyondaki ana bileşenlerden biri de spear phishing saldırıları. Bu phishing saldırıları yardımıyla zararlı yazılım içeren phishing mesajları çok sayıda kullanıcıya ulaştırılıyor.

Trojan bir süredir gfiltersvc.exe, wmdmps32.exe dosyalarını kullanıyor ve genel trojan ailesine ait olan Trojan.win7.generic!.bt olarak bazı antivirusler tarafından tanınabiliyor. Edinilen izlenim ise bu zararlı yazılım operasyonunun bir suç örgütünün planladığı aktiviteden çok aslında devletler arası bir casusluk faaliyeti olduğu yönünde. Yapılan yatırımın 150 bin doları bulduğu bu operasyonda yüzlerce alan adı, IP adresi, SSL sertifikası kullanılıyor.

Bu vakanın da doğruladığı gibi aslında en büyük tehdit ağ ve sistemlere girerek oradan verileri alarak sessizce çıkan saldırganlar. İstikrarlı veri sızıntıları amaçlı yapılan saldırılar kurumlara en büyük zararları vermeye devam ediyor.

iBanking mobil trojan Facebook’u kullanıyor

ibanking-mobil-trojan-facebook-kullaniyor_1 iBanking mobil trojan Facebook’u kullanıyorHTML injection özelliğine sahip mobil internet bankacılığı trojanı iBanking’in yeni bir türevi kendisini güvenlik Facebook üzerinden tanıtarak bulaşıyor.

Daha önce de incelediğimiz iBanking zararlı yazılımı siber mafya tarafından 5000 dolar gibi bir rakama satılıyor. Çift aşamalı kimlik doğrulama gibi bankacılık sitelerinde kullanılan teknikleri de atlatabiliyor bu trojan.

iBanking SMS veya HTTP üzerinden komuta kontrol merkezinden yönetilebiliyor ve gönderilen komutları çalıştırarak çıktılarını merkeze iletiyor. Bu komutlar SMS mesajlarını okuma/iletme, aramaları yönlendirme, adres defterini çekme, mikrofonu aktive edip ortamı dinleme olarak sayılabilir.

iBanking’in yeni varyantı ise Facebook kullanıcılarını hedef alarak kandırıyor. Zararlı yazılım Javascript kullanarak kendini Facebook sayfalarına inject ediyor. Diğer yandan sahte Facebook kimlik doğrulama sayfaları oluşturuyor. Facebook kimlik doğrulama sayfasına ulaşan kurban cep telefonu bilgilerini girdiğinde ise cep telefonununa bir URL ve QR kodu gönderiliyor. ibanking-mobil-trojan-facebook-kullaniyor_2 iBanking mobil trojan Facebook’u kullanıyor

Bu URL veya QR koddan dosya indirildikten sonra ise artık telefon komuta kontrol merkezinin yönetimine geçmiş oluyor ve zararlı yazılım aktif hale geliyor. HTML injection daha önce kullanılan bir yöntem fakat iBanking bunu Facebook üzerinde yaparak tamamen yeni bir tekniğe imza atmış oluyor.

Zararlı kodları internette yaymak için özel servis

Siber suçlular hazırladıkları virus, worm, trojan gibi zararlı içerikleri internette yaymak için sürekli yeni olanaklar peşinde. Buna giden en etkili yol ise herhangi bir kara veya gri listeye girmemiş IP adreslerinden geçiyor.

Siber mafya tarafından sunulan site yönlendirme (redirector) servisiyle web filtreleme sistemlerini de atlatarak zararlı içeriğe yönlendirmek daha da kolay hale geliyor. Fiyatlandırma ise; Dilediğiniz zararlı kod içeren yere 30.000 yönlendirme 50$, 100.000 yönlendirme 150$ gibi paketler halinde belirlenmiş. Servis için yüzbinlerce alan adı kayıt ettirilmiş, kullanım durumunda.

Yönlendirme servisi için kullanılan yazılımlardan birinin ekran görüntüsü;

zararli-kodlari-internette-yaymak-icin-ozel-servis Zararlı kodları internette yaymak için özel servis