ABD medyasında yer alan iddialarla ilgili iç soruşturmanın ön sonuçları (yeni sonuçlarla güncellenmiştir)

Medyada yer alan 2015 olaylarıyla ilgili iddialara ilişkin olarak Ekim 2017’de telemetri günlüklerinin kapsamlı incelemesini başlattık. Bunlar ön sonuçlardır.

ÖZET SSS

— Bu iç soruşturma neyle ilgili?

— Ekim, 2017 tarihinde bazı ABD basın kuruluşları, 2015 yılında Kaspersky Security Network ve NSA kuruluşlarının dahil olduğu bir olayda gizli bil-gilerin sızdırıldığını iddia etti. Biz de her şeyi tekrar kontrol etmeye karar verdik.

— İddia edilen olay hakkında herhangi bir bilgi bulabildiniz mi?

— Hayır, 2015’de gerçekleştiği iddia edilen olayla ilgili hiçbir bilgi bulamadık. Ancak medyadaki haberlerde anlatılana benzerlik gösteren ve 2014 yılında gerçekleşmiş olan bir olay vardı.

— Bu olayda tam olarak ne oldu?

— Ürünümüz bir kullanıcının sisteminde daha önceden bilinen Equation kötü amaçlı yazılımını tespit etti. Daha sonra aynı sistemde Microsoft Office’in korsan sürümünden kaynaklanan ve Equation ile ilgisi olmayan bir arka kapı ve daha önce bilinmeyen kötü amaçlı bir yazılımın numunelerini içeren bir 7-Zip arşivi tespit edildi. Ürünümüz bunları tespit ettikten sonra arşivi analiz için antivirüs araştırmacılarımıza gönderdi. Arşivin, gizli işareti taşıyan birçok Word belgesinin yanı sıra Equation Group ile ilişkili gibi görünen kötü amaçlı yazılım kaynak kodu içerdiği ortaya çıktı.

— Arka kapı neydi?

— “Smoke Bot” veya “Smoke Loader” olarak da bilinen Mokes arka kapısıydı. Bu kötü amaçlı yazılımın ilginç yanı, 2011 yılında Rus yeraltı forumlarında satın alınabiliyor olmasıydı. Ayrıca bu kötü amaçlı yazılımın komuta ve kontrol sunucularının, 2014 yılının Ekim ve Kasım ayları boyunca (muhtemelen) “Zhou Lou” adlı bir Çin şirketine kayıtlı olması da dikkate değer bir noktadır.

— Söz konusu PC’ye yalnızca bu kötü amaçlı yazılım mı bulaşmıştı?

— Bunu tespit etmek zor: Ürünümüz sistemde uzun bir süre boyunca devre dışı bırakılmış. Ancak ürünümüz etkinleştirildiğinde Equation ile ilgisi olmayan farklı kötü amaçlı yazılımlar, arka kapılar, güvenlik açıklarından yararlanan yazılımlar, Truva Atları ve reklam yazılımları dahil olmak üzere 121 uyarı bildirdi. Yani görünüşe göre bu PC, kötü amaçlı yazılımlar için popüler bir hedefti.

— Yazılımınız, bu arşivi, “çok gizli”, “gizli bilgi” gibi kelimeleri aratarak kasıtlı bir şekilde aradı mı?

— Hayır, aramadı. Kötü amaçlı arşiv, proaktif koruma teknolojilerimiz tarafından otomatik olarak tespit edildi.

— Bu arşivi ve/veya içerdiği dosyaları herhangi bir üçüncü taraf ile paylaştınız mı?

— Hayır, paylaşmadık. Hatta CEO’muzun talebi doğrultusunda bu arşivi hemen sildik.

— Bu dosyaları neden sildiniz?

— Çünkü korumamızı arttırmak için bırakın gizli Word belgelerini kaynak kodlara bile ihtiyacımız yok. Derlenmiş dosyalar (ikili dosyalar) bizim için yeterlidir. Yalnızca ve yalnızca bu dosyaları saklarız.

— Kurumsal ağınızın ele geçirildiğine dair herhangi bir kanıta ulaştınız mı?

— Duqu 2.0 olayı haricinde, hiçbir ele geçirilme kanıtına ulaşmadık. Zaten Duqu 2.0 olayı gerçekleştikten sonra bunu kamuyla paylaşmıştık.

— Verilerinizi üçüncü bir taraf ile paylaşmaya hazır mısınız?

— Evet, tüm verilerimizi bağımsız bir denetim için paylaşmaya hazırız. Araş-tırmalarımız sürerken Securelist üzerindeki bu raporumuzdan teknik ayrıntıları ince-leyebilirsiniz.

SONUÇ

Kaspersky Lab, medyada yer alan 2015 olaylarıyla ilgili iddialara ilişkin olarak Kasım 2017 tarihinde telemetri günlüklerinin kapsamlı incelemesini başlatmıştır. Şu ana kadar haberdar olduğumuz tek olay, 2014 yılında bir APT soruşturması sırasında tespit alt sistemlerimizin Equation kötü amaçlı yazılım kaynak kod dosyaları gibi görünen dosyaları bulmasıyla gerçek-leşmiştir. Soruşturma kapsamında, buna benzer başka olayların olup olma-dığının araştırılmasına karar verildi. Ayrıca sözde 2015 olayı zamanında Duqu 2.0 dışında herhangi bir üçüncü tarafın sistemlerimize yetkisiz erişim sağlayıp sağlamadığının da araştırılması kararlaştırıldı.

2014 yılındaki vakayla ilgili kapsamlı bir soruşturma gerçekleştirdik. Bu soruşturmada ortaya çıkan ön sonuçlar aşağıdaki gibidir:

  • Equation APT (Gelişmiş Kalıcı Tehdit) soruşturması sırasında, dünya genelinde 40’dan fazla ülkede bu tehdidin yayıldığı gözlemlendi.
  • ABD’de de bu yazılımın bazı cihazlara bulaştığı tespit edildi.
  • Kaspersky Lab, rutin bir prosedür olarak ABD’de gerçekleşen aktif APT saldırıları hakkında ilgili ABD kamu kurumlarını bilgilendirir.
  • ABD’de tespit edilen virüslerden birisi, Equation grubu tarafından kullanılan yeni ve bilinmeyen hata ayıklama değişkenlerinden oluşmaktaydı.
  • Yeni Equation numunulerinin tespit edildiği olayda, ev kullanıcıları için geliştirilen ürün serimiz kullanılmaktaydı. KSN etkinleştirildiğinde yeni ve bilinmeyen kötü amaçlı yazılımla ilgili otomatik numune gönderimi de etkinleştirilmiş oldu.
  • Bu olayda Equation kötü amaçlı yazılımının ilk kez tespit edilmesi 11 Eylül 2014’te gerçekleşmiştir. Aşağıdaki örnek tespit edilmiştir:
    ○ 44006165AABF2C39063A419BC73D790D
    ○ mpdkg32.dll
    Karar: HEUR:Trojan.Win32.GrayFish.gen
  • Bu tespitlerin ardından kullanıcı, yasa dışı bir Microsoft Office aktivasyon anahtarı oluşturucusundan (diğer adıyla “keygen”) anlaşıldığı üzere makinelerine korsan yazılım indirmiş ve yüklemiştir. (md5: a82c0575f214bdc7c8ef5a06116cd2a4: tespitin kapsamı için kötü amaçlı yazılım bulaştığı ortaya çıkan bu VirusTotal bağlantısına bakın). Kaspersky Lab ürünleri bu kötü amaçlı yazılımı Backdoor.Win32.Mokes.hvl kararıyla tespit etmiştir.
  • Kötü amaçlı yazılım, “Office-2013-PPVL-x64-en-US-Oct2013.iso” adında bir klasörün içinde tespit edilmiştir. Bu durum, sisteme sanal sürücü/klasör olarak bağlı bir ISO görüntüsüne işaret etmektedir.
  • Backdoor.Win32.Mokes.hvl (sahte keygen) tespiti, 2013 yılından itibaren Kaspersky Lab ürünlerinde yer almaktadır.
  • Bu makinede kötü amaçlı (sahte) keygen’in ilk tespiti 4 Ekim 2014’te gerçekleşmiştir.
  • Bu keygeni yüklemek ve çalıştırmak için kullanıcı cihazındaki Kasperksy ürünlerini devre dışı bırakmıştır. Antivirüsün tam olarak ne zaman devre dışı bırakıldığı telemetri ile anlaşılamamıştır. Ancak daha sonra keygen kötü amaçlı yazılımının sistemde çalışması, antivirüsün devre dışı bırakıldığını veya keygen çalıştırılırken çalıştırılmadığını gösterir. Antivirüs etkinken keygen aracını yürütmek imkânsızdır.
  • Kullanıcı, ürünün pasif durumda olduğu belirsiz bir dönem boyunca bu kötü amaçlı yazılımın saldırısına uğramıştır. Truva Atı’na dönüştürülmüş keygen tarafından yüklenen kötü amaçlı yazılım, tamamen açık bir arka kapıdır ve kullanıcının bilgisayarına üçüncü tarafların erişim sağlamasına olanak tanımış olabilir.
  • Daha sonra kullanıcı antivirüsü tekrar etkinleştirmiş ve ürün bu kötü amaçlı yazılımı (karar: “Backdoor.Win32.Mokes.hvl“) tespit ederek çalışmaya devam etmesine engel olmuştur.
  • Devam eden araştırmamızın bir parçası olarak Kaspersky Lab araştırmacıları, bu arka kapıyı ve bu bilgisayardan gönderilen Equation olmayan, tehditle ilgili telemetriyi derinlemesine inceledi. Mokes arka kapısının (diğer adıyla “Smoke Bot” veya “Smoke Loader”), Rus yeraltı forumlarında ortaya çıktığı ve 2011 yılında satışa sunulduğu kamuoyunca bilinmektedir.  Kaspersky Lab araştırmaları, 2014 yılının Ekim ve Kasım ayları boyunca bu kötü amaçlı yazılıma ait komuta ve kontrol sunucularının (muhtemelen) “Zhou Lou” adlı bir Çin şirketine kayıtlı olduğunu göstermiştir. Mokes arka kapısının teknik analizini burada bulabilirsiniz.
  • İki aylık süreç boyunca söz konusu sistemde kurulu olan ürün; arka kapılar, açıklardan yararlanan yazılımlar, Truva Atları ve reklam yazılımları dahil olmak üzere Equation ile ilgisi olmayan 121 öge hakkında bildirimde bulunmuştur: Mevcut telemetrinin kısıtlı sayıda olması ürünümüzün bu tehditleri fark ettiğini doğrulamamızı sağlar. Ancak ürünün devre dışı bırakıldığı sürede bu tehditlerin çalışıp çalışmadığını belirlemek imkânsızdır. Kaspersky Lab, diğer kötü amaçlı numuneleri araştırmaya devam etmektedir ve analiz tamamlanır tamamlanmaz diğer sonuçlar da açıklanacaktır.
  • Backdoor.Win32.Mokes.hvl kötü amaçlı yazılımı bulaştıktan sonra, kullanıcı bilgisayarını birçok kez taratmış ve bu taramaların sonucunda Equation APT kötü amaçlı yazılımının yeni ve bilinmeyen değişkenleri tespit edilmiştir.
  • Bu makinedeki son tespit 17 Kasım 2014’te olmuştur.
  • Ürün tarafından Equation APT kötü amaçlı yazılımının yeni değişkeni olarak tespit edilen dosyalardan biri 7zip arşiv dosyasıdır.
  • Arşivin kendisi, kötü amaçlı yazılım olarak tespit edilmiş ve analiz için Kaspersky Lab’e gönderilerek analistlerimizden biri tarafından işlenmiştir. İşlendikten sonra arşivin; birçok kötü amaçlı yazılım numunesi, Equation kötü amaçlı yazılımına ait gibi görünen kaynak kod ve gizlilik işareti taşıyan dört Word belgesi içerdiği anlaşılmıştır.
  • Şüpheli Equation kötü amaçlı yazılım kaynak kodu keşfedildikten sonra analist olayı CEO’ya bildirmiştir. CEO’dan gelen bir talep doğrultusunda arşiv tüm sistemlerimizden silinmiştir. Arşiv herhangi bir üçüncü taraf ile paylaşılmamıştır.
  • Bu olay nedeniyle tüm kötü amaçlı yazılım analistleri için yeni bir ilke belirlenmiştir: Analistlerin artık kötü amaçlı yazılım araştırması sırasında yanlışlıkla toplanan her türlü olası gizli materyali silmeleri gerekmektedir.
  • Kaspersky Lab’in bu dosyaları silmesinin ve gelecekte de benzer dosyaları silmeye devam edecek olmasının iki nedeni vardır: Birincisi korumayı geliştirmek için yalnızca kötü amaçlı yazılım ikili dosyalarına ihtiyaç duyarız. İkincisi ise olası gizli materyallerin yönetimi konusunda endişelerimiz var.
  • 2015 yılında bu kullanıcıyla ilgili başka bir tespit alınmamıştır.
  • Şubat 2015 tarihinde Equation ile ilgili duyurumuzun ardından, KSN’nin etkin olduğu birçok kullanıcımızın orijinal tespit ile aynı IP aralığında olduğu görülmüştür. Bu bilgisayarların, her bilgisayara Equation ile ilgili çeşitli numunelerin yüklendiği “sanal sunucular” (honeypots) olarak yapılandırıldığı tahmin edilmektedir. Bu “sanal sucunularda” hiçbir olağan dışı (yürütülemez) numune tespit edilmemiş ve gönderilmemiştir ve tespitler herhangi bir özel yöntem kullanılarak işlenmemiştir.
  • Soruşturma sonucunda; 2015, 2016 veya 2017 yıllarında bu konuyla ilgili başka herhangi bir olay ortaya çıkmamıştır.
  • Kaspersky Lab ağlarında Duqu 2.0 haricinde herhangi bir üçüncü taraf yetkisiz erişimi tespit edilmemiştir.
  • Soruşturma sonucunda, Kaspersky Lab ürünlerinde hiçbir zaman “çok gizli” ve “gizli” gibi anahtar kelimelere dayalı tehdit oluşturmayan (kötü amaçlı olmayan) belgelerin tespit edilmediği onaylanmıştır.

Yukarıdaki sonuçların, 2014 yılındaki olayın doğru bir analizi olduğuna inanıyoruz. Soruşturma hâlen devam etmektedir ve şirket, yeni teknik bilgilere ulaştıkça bunları paylaşacaktır. Teknik ayrıntılar dahil olmak üzere bu olay hakkındaki tüm bilgileri, Global Şeffaflık Girişimi‘mizin parçası olarak çapraz inceleme için güvenilir bir üçüncü taraf ile paylaşmayı planlamaktayız.

Bu gönderi zaman damgaları ve SSS eklenerek 27 Ekim 2017 tarihinde güncellenmiştir. 16 Kasım 2017 tarihinde ise yeni bulgular eklenmiştir. Daha çok teknik ayrıntıya Securelist’te yayınlanan bu rapordan ulaşabilirsiniz.

 

Bad Rabbit: Yeni bir fidye yazılımı salgını yükselişe geçiyor

Bu yıl iki büyük ölçekli fidye yazılımı salgınıyla karşılaşmıştık: WannaCry ve ExPetr (Petya ve NotPetya olarak da bilinir) salgınlarından bahsediyoruz. Görünüşe göre üçüncü bir salgın kapıda: Yeni kötü amaçlı yazılıma Bad Rabbit (Yaramaz Tavşan) adı veriliyor. Daha doğrusu, fidye yazılımı notuyla bağlantılı darknet web sitesinin belirttiği isim bu.

İpuçları