Son zamanlarda, araştırmacılarımız Asya, Avrupa ve Afrika’daki diplomatik kurumları ve STK’ları hedef alan gelişmiş hedefli bir saldırıyı gün yüzüne çıkardılar. Tespit edebildiğimiz kadarıyla, tüm kurbanlar, kâr amacı gütmeyen faaliyetler veya diplomatik ilişkiler yoluyla bir şekilde Kuzey Kore ile bağlantılıydı.
Saldırganlar, araştırmacılarımızın MosaicRegressor adını verdiği gelişmiş modüler bir siber casusluk çerçevesi kullandı. Araştırmamız, bazı durumlarda kötü amaçlı yazılımın kurbanların bilgisayarlarına değiştirilmiş UEFI’ler aracılığıyla girdiğini ortaya çıkardı. Bu, son derece nadir rastlanılan bir olay. Ancak birçok durumda, saldırganlar daha geleneksel bir yöntem olan hedef odaklı kimlik avını kullandılar.
UEFI nedir ve bootkit neden tehlikelidir?
Yerine geçtiği BIOS gibi UEFI de işletim sistemi başlatılmadan bile önce, bilgisayar çalıştığında harekete geçen bir yazılımdır. Ayrıca UEFI, sabit sürücüde değil, ana kartta bulunan bir yongada saklanır. Siber suçlular UEFI kodunu değiştirirse, bu kodu kurbanın sistemine kötü amaçlı yazılım göndermek için kullanabilmeleri de mümkün olur.
Yukarıda açıklanan saldırıda keşfettiğimiz şey de tam olarak bu. Dahası, saldırganlar değiştirilmiş UEFI donanım yazılımlarını oluştururken, çevrimiçi olarak sızdırılan bir Hacking Team bootkiti olan VectorEDK’in kaynak kodunu kullandılar. Kaynak kodu 2015 yılında halka açık hâle gelmesine rağmen, bu kodu siber suçluların kullandığına dair gördüğümüz ilk kanıt.
Sistem başladığında, bootkit kötü amaçlı IntelUpdate.exe dosyasını sistem başlangıç klasörüne yerleştiriyor. Yürütülebilir dosya, bilgisayara başka bir MosaicRegressor bileşenini indirip kuruyor. UEFI’nin göreceli darlığı göz önüne alındığında, bu kötü amaçlı dosya tespit edilse bile, kaldırılması neredeyse imkansızdır. Ne dosyayı silmenin ne de işletim sistemini yeniden yüklemenin bir faydası olur. Sorunu çözmenin tek yolu ana kartı yeniden başlatmaktır.
MosaicRegressor nasıl tehlike yaratır?
Kurbanların C&C sunucularına bağlı bilgisayarlarına (güvenliği ihlal edilmiş bir UEFI veya hedef odaklı kimlik avı yoluyla) giren MosaicRegressor bileşenleri, ek modüller indirip çalıştırdı. Daha sonra, bu modüller bilgi çalmak için kullanıldı. Örneğin, bir tanesi yakın zamanda açılmış belgeleri siber suçlulara gönderdi.
C&C sunucularıyla iletişim kurmak için çeşitli mekanizmalar kullanıldı: cURL kitaplığı (HTTP/HTTPS için), Arka Plan Akıllı Aktarım Hizmeti (BITS) arabirimi, WinHTTP programlama arabirimi ve POP3S, SMTPS veya IMAPS protokolünü kullanan genel posta hizmetleri.
Bu Securelist yazısı, risk göstergelerine ek olarak kötü amaçlı MosaicRegressor çerçevesinin daha ayrıntılı bir teknik incelemesini paylaşıyor.
Kendinizi MosaicRegressor’dan nasıl korursunuz
MosaicRegressor’dan korunmak için etkisiz hale getirmeye karşı ilk tehdit, en gelişmiş saldırıların başlangıç noktası olan hedef odaklı kimlik avıdır. Bu tip saldırılar konusunda çalışanlarınızın bilgisayarlarında maksimum koruma sağlamak için, kimlik avına karşı gelişmiş koruma teknolojileri ile güvenlik ürünlerini bir arada kullanmanızı ve çalışan bilinci oluşturmak için eğitim verilmesini öneriyoruz.
Güvenlik çözümlerimiz, veri hırsızlığı ile görevlendirilmiş kötü amaçlı modülleri tespit eder.
Güvenliği ihlal edilen donanım yazılımına gelince, maalesef bootkit setinin kurbanların bilgisayarlarına nasıl girdiğini tam olarak bilmiyoruz. HackingTeam sızıntısından elde edilen verilere dayanarak, saldırganların muhtemelen fiziksel erişime ihtiyacı olduğunu ve makinelere virüs bulaştırmak için bir USB sürücü kullandıklarını söylemek mümkün. Ancak, diğer UEFI ihlal yöntemleri göz ardı edilemez.
MosaicRegressor UEFI bootkit’ine karşı koruma sağlamak için:
- Donanımınızın UEFI yazılımının yetkisiz olarak değiştirilmesini önleyen Intel Boot Guard’ı destekleyip desteklemediğini öğrenmek için bilgisayarınızın veya ana kart üreticinizin internet sitesini kontrol edin.
- Bir bootkitin yükünü yüklemesini önlemek için tam disk şifrelemesini kullanın.
- Bu tür tehditleri tarayabilen ve tanımlayabilen güvenilir güvenlik çözümlerini kullanın. 2019’dan beri ürünlerimiz, ROM BIOS ve UEFI donanım yazılımlarında gizlenen tehditleri arayabiliyor. Aslında, özel Firmware Scanner teknolojimiz bu saldırıyı ilk tespit eden teknolojiydi.