Kaspersky araştırmacıları, kullanıcı ile web sitesi arasında
şifreli iletişim kurmakta kullanılan rastgele sayı üreticilerini
yamayarak kurbanların HTTPS web siteleri ile etkileşiminin arasına
giren yeni bir zararlı yazılım keşfetti. Hileli dijital sertifkilar
yükleyen bu zararlı yazılım, kurbanların tarayıcı faaliyetlerinin de
gözetlenmesini sağlıyor.
HTTPS kısaltmasındaki "S" harfi, güvenli anlamına gelen "Secure"
sözcüğünü temsil etse de tarayıcı ile web sitesi arasında iletilen
bilgilerin başkaları tarafından görülemeyeceğini iddia eden bu
protokolü aşan yetenekli ve yüksek profilli saldırganlar mevcut.
Reductor tam da bu amaçla geliştirilen bir araç. Bağımsız Devletler
Topluluğu'na dahil ülkelerdeki diplomatik kurumlarda siber casusluk
için kullanılan bu araçtan çalışanların internet trafiğini takip
etmekte yararlanılıyor. Tespit edilen modüllerde uzaktan yönetim
araçlarının da bulunduğu ve zararlı yazılımın yapabildiklerinin
neredeyse sınırsız olduğu belirtildi.
Reductor yazılımını dağıtanlar iki ana saldırı vektöründen
yararlanıyor. Bunlardan biri, Rusça konuşan kişilerden oluşan Turla
tehdit grubuna atfedilen COMPfun zararlı yazılımı kullanılarak
modüllerin indirilmesiyle gerçekleşiyor. Diğer vektörde ise daha sinsi
bir yol izleniyor. Saldırganlar, yasal web sitelerindeki temiz
yazılımları, kullanıcıların bilgisayarlarına indirilirken
yamayabiliyorlar. Korsan yazılımların ücretsiz indirilebildiği
sitelerden alınan kurulum dosyalarında da bu işlem yapılabiliyor. Bu
web sitelerindeki orijinal kurulum dosyalarında zararlı yazılım
bulunmasa bile kurbanın bilgisayarına indirilirken zararlı yazılım
bulaştırılıyor. Kaspersky araştırmacıları, bu değişimin indirme işlemi
sırasında yapıldığını ve bunun için Reductor'ı kullananların hedefin
ağı üzerinde kontrol sahibi olması gerektiği kanısına vardılar.
Reductor kurbanın cihazına ulaştığında kurulu dijital
sertifikaları değiştirebiliyor, tarayıcıda kullanıcı ile HTTPS web
siteleri arasındaki trafiği şifrelemekte kullanılan rastgele sayı
üreticisini yamayabiliyor. Siber suçlular, trafiği ele geçirilen
kurbanları tanımlamak için her bir kurbana ayrı bir donanım ve yazılım
tabanlı kimlik atıyor ve artık o kadar da rastgele olmayan sayı
üreticisiyle elde edilen sayılarla her birini işaretliyor. Zararlı
yazılım bulaşan cihazdaki tarayıcı yamandığında, tehdit grubu tarayıcı
ile yapılan tüm faaliyetlerden haberdar oluyor. Kurbanlar ise hiçbir
şeyin farkında olmuyor.
"Zararlı yazılım geliştiricilerinin tarayıcı şifrelemesiyle bu
şekilde etkileşime geçtiklerini daha önce hiç görmemiştik." diyen
Kaspersky Global Araştırma ve Analiz Ekibi Güvenlik Araştırmacısı Kurt
Baumgartner, ardından şunları söyledi: "Bu çok incelikli bir yöntem ve
saldırganlar uzun süre fark edilmeden çalışabiliyor. Saldırı
yönteminin karmaşıklığı, Reductor'ın yaratıcılarının son derece
profesyonel olduğunu gösteriyor. Bu düzey, devlet destekli gruplarda
sıkça görülüyor. Ancak, bu zararlı yazılımın bilinen tehdit
gruplarıyla bağlantısını gösterecek herhangi bir somut teknik ipucu
bulamadık. Hassas verilerle çalışan tüm kurumlara dikkatli olmalarını
ve düzenli olarak ayrıntılı güvenlik denetimleri yapmalarını tavsiye
ediyoruz."
Kaspersky ürünleri, Reductor adlı zararlı yazılımı başarılı bir
şekilde tespit edip engelliyor.
Reductor gibi zararlı yazılımlardan etkilenmemek için Kaspersky
şunları öneriyor:
Kurumun BT altyapısına düzenli olarak güvenlik denetimleri yapın.
Kaspersky Endpoint Security for Business gibi, sisteme tespit
edilmeden sızmak için şifreli kanalları kullanmaya çalışan tehditleri
tespit edip önleyebilme özelliklerine sahip, başarısı kanıtlanmış bir
güvenlik çözümü kullanın.
Mutlaka bulunması gereken uç nokta koruma çözümlerinin yanı sıra
gelişmiş tehditleri ilk aşamada ağ düzeyindeyken tespit eden,
Kaspersky Anti Targeted Attack Platform gibi kurumsal sınıf bir
güvenlik çözümü kullanın.
Güvenlik merkezi ekiplerinizin en yeni Tehdit İstihbaratı
verilerine ulaşmasını sağlayın. Böylece tehdit grupları tarafından
kullanılan yeni araçlar, teknikler ve taktikler hakkında güncel
bilgiye sahip olabilirler.
Çalışanlar için güvenlik farkındalığı eğitimleri düzenleyin.
Böylece korsan yazılımların farkını anlayıp, bunlarla ilgili riskleri
öğrenebilirler.
Bu yeni zararlı yazılım hakkında daha fazla bilgiyi Securelist.com
adresinde bulabilirsiniz.
Foreks Haber Merkezi (
[email protected] )
http://www.foreks.com
http://twitter.com/ForeksTurkey