Maske – Dünyanın En Sofistike APT Saldırısını Ortaya Çıkarmak

Kaspersky araştırmacılarının şimdiye kadar gördükleri en gelişmiş sürekli tehdit (APT) olarak adlandırdıkları saldırılar, bilinmeyen bir devlet tarafından desteklenen bir hacking grubu aracılığı ile beş yılı aşkın süredir çeşitli devlet dairelerini,

Kaspersky araştırmacılarının şimdiye kadar gördükleri en gelişmiş sürekli tehdit (APT) olarak adlandırdıkları saldırılar, bilinmeyen bir devlet tarafından desteklenen bir hacking grubu aracılığı ile beş yılı aşkın süredir çeşitli devlet dairelerini, elçilikleri, diplomatik ofisleri ve enerji şirketlerini hedef alarak sürüyordu.

Bu saldırı dün, şirketin Dominik Cumhuriyetinde gerçekleştirilen Güvenlik Analizi Zirvesinde “Careto” adıyla ortaya çıktı. “Careto” İspanyolcada “çirkin surat” veya “maske” anlamına geliyor. Görünün o ki İspanyolca konuşanlar arasında bu konuda bir anlaşmazlık var.

Bu saldırıların endişe verici olmasının sebebi çok açık: dışarıda, belirlenmiş hedeflere karşı virüs bulaştırma, casusluk ve veri çalma konularında yeteneklerini sürekli geliştiren üstün yetenekli saldırganlar var. Diğer endişe verici olan konu ise Maskenin 2007 yılından beri radara yakalanmadan hassas verileri sessizce çalıyor olması. Kaspersky Global Araştırma ve Analiz Takımı direktörü Costin Raiu, saldırganların eski sürüm bir Kaspersky ürünündeki yamanmış güvenlik açığını delmeyi denememelerini araştırmacılarının bu açığı hiç bulamamış olmaları ihtimali olarak açıklıyor.

Raiu, Maske prezantasyonunda “Kaspersky ürünlerinin güvenlik açıklarını delmeye çalışmak hiç akıllıca olmazdı” diye belirtiyor.

Bu tür çok sofistike APT saldırıları genellikle devlet daireleri ve enerji şirketleri gibi yerlerde çalışan ve çok belirli ağlara erişimi olan kişilerin makinalarını ele geçirmeye çalışırlar. Diğer bir deyişle, saldırganlar büyük çoğunluğu oluşturan diğer insanlar ile ilgilenmezler. Endişelerinizi dindirecek sebep ise bu saldırılardan kim sorumluysa, Kaspersky’nin Global Araştırma ve Analiz Takımı bu APT saldırısı hakkında bir ön izleme yayınladıktan bir kaç saat sonra saldırıları durdurdu.

Kaspersky ürünlerinin güvenlik açıklarını delmeye çalışmak hiç akıllıca olmazdı

Kaspersky araştırmacıları yaptıkları araştırmalar sonucunda bu saldırılar ile ilgili kullanılan 90 civarında komuta ve kontrol alan adı ortaya çıkardı. Raiu, konuyla ilgili yazının yayınlanmasından sonra dört saat içinde Maske operatörlerinin her şeyi kapattıklarını söyledi. Araştırmacılar komuta kontrol merkezlerini tespit etmek için sinkholing denilen bir teknik uyguluyorlar. Bu teknikte araştırmacılar botnet veya zararlı yazılımın iletişim altyapısını zorlayarak bu trafiği saldırıyı kontrol eden kötü amaçlı sunuculardan başka bir yöne çeviriyorlar.

Raiu’ya göre saldırganlar eğer isterlerse çok fazla uğraşmaya gerek duymadan sistemi dirilterek operasyonu kolayca yeniden başlatabilirler.

Bu saldırıların kayda değer olmasının pek çok sebebi daha var. Bir tanesi, bu tür saldırılar genellikle çin orijinli olurken bu saldırıların Çin ile bir bağlantısı olmadığının gözlenmesi. Bir diğer enteresan konu ise saldırıyı ortaya yönetenlerin büyük ihtimalle İspanyol olması. Bu alışılmamış bir durum, fakat o kadar da şaşırtıcı değil çünkü İspanyolca dünya çapında 400 milyon kişi tarafından konuşulması sebebiyle Mandarin’den sonra ikinci dil olması. Maske saldırısının hedefi ağırlıklı olarak 30’dan fazla ülkede yaşayan İspanyolca konuşan insanlardan oluşuyor.

Bunun ötesinde, grubun elinde Mac OS X, Linux ve hatta iOS ve Android cihazları hedef alan en az bir adet sıfırıncı-gün Maske zararlı yazılımı bulunduğu söylenebilir. Raiu’ya göre en azından Fas’taki kurbanlardan birine ait cihaz komuta kontrol merkeziyle mobil 3G ağı üzerinden haberleşiyordu.

“Bu saldırganlar, altyapılarını yönetmeleri açısından Flame APT grubundan daha bilgililer. Hız ve profesyonellik gerek Flame gerekse daha önce gördüğümüz her şeyden daha ileri” diyor Raiu.

Referans olması açısında belirtmek gerekirse, Flame 2012 yılında Kaspersky araştırmacıları tarafından ortaya çıkarılan başka bir APT saldırıydı. Orta Doğu ülkelerini hedef alıyordu ve Microsoft tarafından üretilmiş gibi gözüken sahte dijital sertifikalar yaratma konusunda çok gelişmiş özelliklere sahipti.

Pek çok vakada olduğu gibi Maske saldırısını düzenleyenler de, kurbanlarını güvenlik açıklarını delme işlemlerini gerçekleştirdikleri kötü niyetli web sitelerine yönlendirmek için mızrakla balık avlama yöntemi epostalar kullanmışlar. Bu siteler aslında pek çok virüs ile donatılmıştır ve sadece saldırganların kurbanlarına gönderdikleri direk linkler ile ulaşılabilir durumdadırlar.

Raiu ya göre saldırganların emrinde, kurbanlarının makinalarında sürekli kalmalarını sağlamak için oluşturulmuş TCP ve UDP (Internet üzerinde iletişim için kullanılan iki farklı protokol) iletişimine gerçek zamanlı müdahale eden ve ele geçirilen makinanın görünmez olarak kalmasını sağlayan çok çeşitli araçlar bulunuyor. Kurbanların makinaları ve komuta kontrol merkezi sunucuları arasındaki tüm iletişim ise şifreli olarak gerçekleştiriliyor.

İpuçları