Kaspersky araştırmacıları, işletim sistemi yine başlatılsa yahut Windows yine yüklense bile kurbanın makinesinde kalan ve onu uzun vadede çok tehlikeli hale getiren gelişmiş bir kalıcı tehdit (APT) aktörü tarafından geliştirilen yeni bir rootkiti ortaya çıkardı. “CosmicStrand” olarak isimlendirilen bu UEFI firmware rootkit, Vietnam, İran ve Rusya’da ender görülen olaylarla, büyük ölçüde Çin’deki özel şahıslara saldırmak için kullanıldı.
UEFI firmware, donanımların büyük çoğunluğunda kritik bir bileşendir. İçeriğindeki kod aygıtı başlatmaktan, işletim sistemini yükleyen yazılım bileşenini çalıştırmaktan sorumludur. UEFI firmware bir halde berbat emelli kod içerecek biçimde değiştirilirse, bu kod işletim sisteminden evvel başlatılacak ve aktifliğini potansiyel olarak güvenlik tahlilleri ve işletim sisteminin savunması tarafından görünmez hale getirecektir. Bunun sabit diskten başka bir yonga üzerinde bulunması, UEFI bellenimine yönelik taarruzları kaçamak ve kalıcı hale getirir. Zira işletim sistemi kaç sefer yine yüklenirse yüklensin, makus maksatlı yazılım aygıtta kalır.
Kaspersky araştırmacıları tarafından yapılan son UEFI firmware keşfi olan CosmicStrand, daha evvel bilinmeyen bir Çince konuşan aktöre atfediliyor. Saldırganların kesin amaçları bilinmemekle birlikte, etkilenen kurbanların kurumsal bilgisayarların tersine kişisel kullanıcılar olduğu gözlemlendi.
Saldırıya uğrayan tüm makineler Windows tabanlıydı. Bilgisayar her açıldığında, Windows başlatıldıktan sonra bir ölçü makus gayeli kod yürütüldü. Maksadı bir C2 (komut ve kontrol) sunucusuna bağlanmak ve ek bir makûs gayeli yürütülebilir evrak indirmekti.
Araştırmacılar, birinci etapta rootkitin virüslü makinelere nasıl bulaştığını belirleyemediler. Lakin çevrimiçi olarak keşfedilen doğrulanmamış hesaplar, birtakım kullanıcıların çevrimiçi donanım bileşenleri sipariş ederken güvenliği ihlal edilmiş aygıtlar aldığını gösteriyor.
CosmicStrand’in en çarpıcı istikameti, UEFI implantının 2016’nın sonundan beri (UEFI hücumlarının kamuoyuna açıklanmaya başlamasından çok önce) açık ortamda kullanıldığı görülüyor.
Kaspersky Global Araştırma ve Tahlil Grubu (GReAT) Kıdemli Güvenlik Araştırmacısı Ivan Kwiatkowski, şunları söylüyor: “Yakın vakit evvel keşfedilmesine karşın CosmicStrand UEFI firmware rootkit epeyce uzun bir müddettir kullanılıyor üzere görünüyor. Bu, kimi tehdit aktörlerinin 2017’den beri gözlerden uzak tutmayı başardıkları çok gelişmiş yeteneklere sahip olduğunu gösteriyor. Dahası şimdi keşfetmediğimiz hangi yeni araçları yarattıklarını da merak ediyoruz.”
CosmicStrand çerçevesinin ve bileşenlerinin daha detaylı bir tahlili Securelist’te yer alıyor.
Kaspersky, CosmicStrand üzere tehditlerden korunmak için şunları öneriyor:
- SOC grubunuza en son tehdit istihbaratına (TI) erişimini sağlayın. Kaspersky Tehdit İstihbarat Portalı, TI için 20 yılı aşkın müddettir Kaspersky tarafından toplanan siber atak dataları ve öngörüleri sağlayan tek bir erişim noktasıdır.
- Kaspersky Endpoint Detection and Response üzere uç nokta seviyesinde olay algılama, araştırma ve süratle düzeltme için EDR tahlillerini kullanın.
- Hedefli akınların birden fazla kimlik avı yahut başka toplumsal mühendislik teknikleriyle başladığı için işçinize temel siber güvenlik hijyeni eğitimi sağlayın.
- Kaspersky Endpoint Security for Business üzere firmware ihlalini algılayabilen sağlam bir uç nokta güvenlik eseri kullanın.
- UEFI sabit yazılımınızı nizamlı olarak güncelleyin ve sadece sağlam satıcıların eser yazılımını kullanın.
Kaynak: (BYZHA) – Beyaz Haber Ajansı
