KasperskyLab, dünyadaki çeşitli devlet kurum ve kuruluşlarında casusluk yapmak için tasarlanan yeni bir zararlı program “MiniDuke”yikeşfetti. Bu zararlı yazılımın arka kapısı, saldırganlardan talimat almak için birisi Panama’da diğeri ise Türkiye’de bulunan iki sunucuya bağlanıyor.
KasperskyLab’in uzman ekibi dün yeni bir araştırma raporu yayınladı. Raporda, yeni keşfedilen ve AdobeReader’da etkinleşen açıklardan yararlanma amaçlı PDF kodunun (CVE-2013-6040) ve “MiniDuke” olarak bilinen, yüksek düzeyde özelleştirilmiş yeni bir zararlı yazılımın kullanımıyla ilgili bir dizi ciddi güvenlik olayının analiz edildiği yayınlandı. MiniDuke arka kapısının, geçtiğimiz hafta içinde tüm dünyada birden çok devlet kurum ve kuruluşuna saldırıda bulunmak amacıyla kullanıldığı da belirtildi. CrySysLab ile işbirliği içinde çalışan KasperskyLab uzmanları, saldırıları ayrıntılı olarak analiz ettiler ve elde ettikleri bulguları yayınladılar.
KasperskyLab’in analizine göre, Ukrayna, Belçika, Portekiz, Romanya, Çek Cumhuriyeti ve İrlanda’daki devlet kurumları dahil, bazı yüksek profilli hedefler MiniDuke saldırılarından etkilenmiş bulunuyor. Ayrıca, ABD’deki bir araştırma enstitüsü, iki think-tank kuruluşu ve bir sağlık hizmetleri sağlayıcısının yanı sıra, Macaristan’daki önde gelen bir araştırma vakfı da saldırılardan etkilendi.
KasperskyLab Kurucusu ve CEO’su EugeneKaspersky, konuyla ilgili olarak, “Bu, sık karşılaşılmayan bir siber saldırı” açıklamasını yaptı. Kaspersky sözlerini şu şekilde sürdürdü: “Bu zararlı yazılım programlama tarzının 1990’ların sonunda ve 2000’lerin başında görüldüğünü hatırlıyorum. Bu tür zararlı yazılımları yazan ve on yıldan uzun süredir kış uykusuna yatmış olan kişiler aniden uyanıp, siber dünyada aktif durumda bulunan ileri düzey tehdit aktörleri grubuna mı katıldılar acaba diye düşünüyorum. ‘Eski ekol’ zararlı yazılımları yazan bu elit kod yazarları yüksek düzeyde karmaşık virüsler yaratma konusunda geçmişte çok etkili olmuşlardı ve şimdi de çeşitli ülkelerdeki devlet kurumlarını veya araştırma enstitülerini hedeflemek amacıyla, bu becerilerini yeni geliştirilen ve sandbox denetiminden kaçınabilen açıklardan yararlanma amaçlı kodlarla birleştiriyorlar.”
Kaspersky ayrıca, “MiniDuke”nin yüksek düzeyde özelleştirilmiş arka kapısının yalnızca 20kb olan çok küçük bir boyuta sahip olduğunu ekledi. Ayrıca eski ekolun zararlı yazılım yazan ve yeni keşfedilen açıklardan yararlanma amaçlı kodları kullanan deneyimli kod yazarlarının yüksek profilli hedefleri tehdit altında bırakmak üzere akıllı sosyal mühendislik yaklaşımıyla bir araya getirilmesi aşırı tehlikeli bir durum olduğunu da hatırlattı.
KasperskyLab’in Araştırmada Elde Ettiği Önemli Bulgular:
• MiniDuke saldırılarını gerçekleştirenler şu anda hala aktif durumda ve zararlı yazılım üretmeye 20 Şubat 2013 tarihi itibarıyla devam ediyorlar. Saldırganlar, kurbanlarını tehdit altında bırakmak için, hedeflere zararlı kod içeren PDF belgelerinin gönderildiği çok etkili sosyal mühendislik teknikleri kullandılar. İnsan hakları semineri bilgileri (ASEM) ile Ukrayna’nın dış politikası ve NATO üyeliği planlarının uydurma versiyonlarının yer aldığı PDF belgelerinin içeriği, seçilen hedeflerle çok alakalıydı. Bu kötü amaçlı PDF dosyaları, sandbox denetimini atlayarak AdobeReader’ın 9, 10 ve 11 sürümlerine saldıran açıklardan yararlanma amaçlı kodlarla donatılmıştı. İstismar amaçlı bu kodları yaratmak için bir araç seti kullanıldı ve bu araç setinin FireEye tarafından raporlanan son saldırıda kullanılanla aynı olduğu görülüyor. Bununla birlikte, MiniDuke saldırılarında kullanılan açıklardan yararlanma amaçlı kodlar farklı amaçlarla yaratılmıştı ve kendi özelleştirilmiş zararlı yazılımları vardı.
• Açıklarından yararlanılarak sisteme erişildiğinde, yalnızca 20kb büyüklüğünde olan çok küçük bir indirme programcığı kurbanın diskine bırakılıyor. Her sistem için özel olarak hazırlanan bu indirme programcığı, Assembler’da yazılan özelleştirilmiş bir arka kapı içeriyor. Sistem başlatılırken yüklendiğinde, indirme programcığı bir dizi matematiksel hesaplama kullanarak bilgisayarın benzersiz parmak izini belirliyor ve daha sonraki iletişimlerini benzersiz şekilde şifrelemek için bu verilerden yararlanıyor. Ayrıca, VMware gibi belirli ortamlarda sabit olarak kodlanmış bir araç seti kullanılarak yapılacak analizlerden de kurtulacak şekilde programlanıyor. Bu göstergelerden herhangi birini bulması durumunda, diğer bir aşamaya geçip kendisini daha da açarak işlevselliğini daha fazla sergilemek yerine, ortamda etkinlikte bulunmayacağı bir şekilde çalışmaya yöneliyor; bu özellik, zararlı yazılımı yazanların, antivirüs ve BT uzmanlarının zararlı yazılımları analiz etmek ve belirlemek için neler yaptığını bildiklerini gösteriyor.
• Hedefin sistemi önceden tanımlanan gereksinimleri karşılarsa, zararlı yazılım Twitter’ı (kullanıcı tarafından bilinmeden) kullanıyor ve önceden hazırlanan hesaplardan gelecek belirli tweet’leri aramaya başlıyor. Bu hesaplar MiniDuke’nin Komuta ve Kontrol (C2) operatörleri tarafından yaratılmış oluyor ve tweet’ler arka kapılar için şifrelenmiş URL’leri işaretleyen özel etiketleri sağlıyor. Bu URL’ler C2’lere erişim sağlıyor ve onlar da potansiyel komutları ve GIF dosyaları yoluyla ek arka kapıların şifrelenmiş olarak sisteme aktarılmasını sağlıyor.
• Yapılan analizlere göre, MiniDuke’nin yaratıcıları ayrıca radara yakalanmadan uçabilen dinamik bir yedekleme sistemi de sağlıyorlar. Twitter çalışmıyorsa veya hesaplar kapalıysa, zararlı yazılım sonraki C2’ye ilişkin şifrelenmiş dizeleri bulmak için Google Arama özelliğini kullanabiliyor. Bu esnek bir model ve operatörlerin, gerektiğinde daha fazla komutun veya zararlı kodun arka kapılar üzerinden nasıl alınacağını sürekli olarak değiştirebilmelerine olanak tanıyor.
• Zararlı yazılımın bulaştığı sistem C2’nin yerini belirlediğinde, GIF dosyaları içine gizlenen ve kurbanın makinesinde resim olarak görünen şifrelenmiş arka kapıları alıyor. Arka kapılar makineye indirildiğinde, onlar da, dosya kopyalama, dosya taşıma, dosya yeniden adlandırma, dizin oluşturma, işlem sonlandırma ve tabii ki yeni zararlı yazılımları indirme ve çalıştırma gibi çeşitli temel işlemleri gerçekleştiren daha büyük bir arka kapıyı indirebiliyorlar.
• Zararlı yazılımın arka kapısı, saldırganlardan talimat almak için birisi Panama’da diğeri ise Türkiye’de bulunan iki sunucuya bağlanıyor.