spacer.png, 0 kB
Bilgi için: bilgi at bilgiguvenligi gov tr   

 

spacer.png, 0 kB
spacer.png, 0 kB
Red October ve Türkiye'deki Etkileri Yazdır E-posta
Veysel HATAŞ - Uğur Cihan KOÇ, TÜBİTAK BİLGEM   
13.02.2013

Bilişim dünyası son zamanlarda; bir grup bilgisayar korsanlarının beş yıl önce yazdıkları ve bu zamana kadar tespit edilmeden çalışan “Red October”, kısaca “Rocra” adı verilen zararlı yazılımın ortaya çıkmasıyla çalkalanıyor.

Rocra ilk olarak Kaspersky Labs'ın çalışmaları sonucu ortaya çıktı. Kaspersky’ın raporlarına göre, Rocra adı verilen zararlı yazılımın ağırlıklı olarak Microsoft Office programları olan MS Excel, MS Word ve Adobe’nin pdf doküman görüntüleyicisi olarak bilinen Acrobat Reader üzerinde buldukları açıklarla sistemler arasında yayılmış. İlk bulgular veya tahminler bu şekilde olsa da ilerleyen zamanlarda, web tabanlı Java açıklarından da faydalandığı bilinmektedir.

Rocra’nın kimler tarafından yayıldığı şimdilik bilinmiyor fakat çalışma prensiplerinin Çin’li bilgisayar korsanlarının kullandığı bazı teknikleri kullanması bu ülkeye yönelik şüpheler oluşturmakta. Kaspersky’ın tahminlerine göre bu yazılım; ilk ortaya çıktığı Mayıs 2007 yılından itibaren terabaytlarca veri elde etmiş. Kaspersky Labs’ın raporları, dünya üzerinde bilgisayar kullanan tüm ülkelerde enfeksiyona bir şekilde rastlandığına işaret ediyor.

ROCRA  Diplomatik ve Devlet Kurumlarına Etkisi

Üst düzey bir siber casusluk oluşumu; mobil cihazlardan, bilgisayar sistemlerinden ve ağ donanımlarından veri ve istihbarat toplama amaçlı diplomatik, resmi ve bilimsel araştırma kuruluşlarının ağlarına sızmışlar. Yapılan araştırmalar Rocra zararlı yazılımının Doğu Avrupa, Rusya, Orta Asya ülkeleri, Batı Avrupa ve Kuzey Amerika da aktif yayılım politikası izlediği görülüyor.

Rocra zararlı yazılımı, Dünya üzerindeki belirli ülkelerdeki diplomatik ve devlet kurumları ağlarına bulaşıp gereksiz gibi görünen verileri daha büyük saldırılarda kullanmak, parola ve ağ kimlikleri tahmin etmek  amacı ile önceden oluşturulmuş özellikle Almanya ve Rusya da bulunan 60 dan fazla domain adı ve birçok sunucu hosting bölgelerine veri sızdırmaktadır. Command and control (C&C) alt yapısı ile beş yıldır bilinen yöntemleri kullanarak gizli kalması ve arka arkaya proxy kullanarak sunucuların tespitinin mümkün olmaması tehlikenin boyutunu artırıyor.

Çalışma/Yayılma Yöntemleri

Rocra’nın bulaştığı sistemlerden veri sızdırmanın yanında;

  • Bu sistemlere bağlanan akıllı telefonlarda da çalıştırılabiliyor.

  • Bu sistemlere bağlanan harici belleklerdeki silinen verileri dahil kurtarıp okuyabiliyor.

  • Cisco marka ağ cihazlarının konfigürasyon bilgisini okuyabiliyor.

  • E-postaların okunması, klavye hareketlerini kaydedici, ekran görüntüsü veya ekran kaydı, İnternet geçmişi ve birçok casus programının içerdiği bileşenleri hiçbir virüs programına görünmeden çalışabiliyor.

Nasıl çalışıyor?

Rocra’nın sisteme girişi; zararlı bir kod enjekte edilen bir belge ile başlıyor. Belgenin çalıştırılmasıyla birlikte zararlı kod da arka planda çalışarak; Rocra’nın kontrol merkezi ile iletişim yolu kurarak, zararlı yazılımların sisteme indirilmesi sağlanıyor.

Rocra ile iletişim kuran sunucunun devre dışı kalması halinde, gönderilecek bir e-posta ile kontrol noktası başka bir konuma aktarılabiliyor. Karmaşık proxy katmanları arkasına gizlenen Rocra sunucularının gerçek kaynağını bulmak ise son derece zorlaşıyor.

resim-1.png

Şekil-1 Atağın ilk adımı olan MS Office açıklarının kullanılması

Sıkıştırılan «LHAFD.GCP» dosyası RC4 algoritması ile şifrelenmiştir. Bu dosya aslında bir arka kapı olup, svchost.exe modülü altında çalışıyor. C&C makinesi ile iletişimin sağlanması ise şifreli dosyanın sistem hafızasına enjekte edilmesi ile sağlanıyor.

resim-2.png

Şekil-2 Kullanılan komuta merkezlerinin (C&C) bilgileri

resim-3.png

Şekil-3 Arka kapının C&C makineleri ile iletişime geçmesi

ABD, Rusya, Türkiye, İsrail ve birçok ülkenin devlet kurumları ve diplomatik kurumlarından bilgi sızdırmak için yapılan saldırılar, bir sonraki saldırı için birer veri kaynağı olarak da kullanılmış. Bu yöntem sayesinde daha genel verilerden daha özel verilere ulaşmayı hedefleyen saldırganlar, altmışın üzerinde alan adı oluşturup çoğunluğu Almanya ve Rusya'da olan sunucular kullanmışlar.

resim-4.png

Şekil-4 Rocra'nun yayıldığı yerler

Kaspersky'a göre; Rocra saldırısında bir kurumdan elde edilen sisteme giriş bilgileri, zararlı yazılımın kontrolü dahilinde veri tabanlarına aktarılarak aynı ülkedeki sonraki saldırılarda kullanılabilecek şekilde saklanıyor. Rocra'nın hedefindeki dosya uzantıları; txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa olarak bilinmekte. Bu dosya uzantıları arasında dikkat çeken ise; 'acid' ile biten dosya türleri. Bu dosyalar NATO, AB ve birçok üst düzey kurumda "Acid Cryptofier" olarak bilinen yazılımın dosya uzantısıdır.

resim-5.png

Şekil-5 Rocra'nın yayıldığı yerler

Şekil-5'te Rocra'nın malware analizinin bir bölümü yer almaktadır. Rocra sistemde çalıştıktan sonra kendi altında çalışan truva atlarını/zararlı yazılımları indiriyor.

Rocra Tehlike Boyutu

Rocra kötü amaçlı yazılım modülünü  tehlikeli yapan ise 5 yıl boyunca saldırıların hepsinin hedefinde  aralarında Türkiye’nin de bulunduğu Doğu Avrupa ülkeleri,  Kuzey Amerika ve Batı Avrupa ülkeleri hükümet ağları ve diplomatik kurumların olması ve halen yayılmaya devam etmesidir. Saldırganlar tarafından çalınan ve amacı geniş kapsamlı bilgi toplama gibi görünse de hedefinde gizli bilgi ve jeopolitik istihbarat toplama olan, devletler tarafından kullanılabilecek üst düzey bilgiler, yer altı işlem gören yerlerde rahatlıkla satılabilir.

Kaspersky Labs adlı kuruluşun bu tarz atakların tespiti için oluşturduğu Kaspersky Güvenlik Ağı (KSN) istatistiklerine göre 2011-2012 yıllarında yapılan taramalarda 300 den fazla sistemde bahsedilen trojan kiti tespit edilmiştir. Türkiye için 4 adet enfeksiyona rastlanmakta.

resim-6.png

Şekil-6 Birden fazla enfeksiyona maruz kalmış ülkeler

Obruk (Sinkhole) diye tabir edilen  95.211.172.143 ip adresi altında Kaspersky Lab. tarafından  saldırı tespiti için sunucular oluşturuldu. 2 Kasım 2012 – 10 Ocak 2013 tarihleri arsında kaydedilen 55000 bağlantı arasında en fazla dll-host-update.com alanı (domain) yer alıyor.

resim-7.png

KSN + sinkhole tarafından tespit edilmiş  hedefteki IP adreslerin WHOIS bilgisi veya uzak masaüstü isimleri ;

resim-8.png

Korunmak için ne yapmalı?

Rocra’nın tespit edilmesiyle birlikte bundan sonra gelebilecek tehditlerin güncellemelerle birlikte antivirüs yazılımları tarafından önlenebileceğini gösteriyor. Rocra gibi bilinen güvenlik açıklarından faydalanan zararlı yazılımlara karşı kullandığımız güvenlik yazılımlarının güncelleştirmelerini gerçekleştirmek son derece önem arz ediyor. Bunun dışında kaynağından emin olmadan alınan belgeleri açmamak şüpheli web sitelerinden uzak durmak gerekiyor.

Red October bilgisayarımıza bulaşmışsa hemen bir anti-virüs ve anti-malware programı edinip güncelleştirmelerini yaptıktan sonra tam sistem taraması çalıştırılmalıdır. Bu iş için spyware bulma ve temizleme konusunda alanının en güçlü yazılımlarından olan SpyHunter casus yazılım temizleme programı kullanılabilir.

Kaynaklar

[1]http://www.securelist.com/en/analysis/204792262/Red_October_Diplomatic_Cyber_Attacks_Investigation#11

[2]https://www.securelist.com/en/analysis/204792262/Red_October_Diplomatic_Cyber_Attacks_Investigation

[3]http://www.turk.internet.com/portal/yazigoster.php?yaziid=40660

[4]http://www.btnet.com.tr/64275-the-hunt-for-the-red-october-dunya-5-yillik-uykusundan-uyaniyor.html


Favori olarak ekle (0) | Görüntüleme sayısı: 7514

Bu yazıya ilk yorumu yazın

Sadece kayıtlı kullanıcılar yorum yazabilir.
Lütfen sisteme giriş yapın veya kayıt olun.

 
spacer.png, 0 kB
spacer.png, 0 kB
Copyright 2017 TÜBİTAK-BİLGEM. Sitenin teknik altyapısında Joomla kullanılmıştır. Yazar ve site referans gösterilmeden alıntı yapılamaz. Görüşleriniz
spacer.png, 0 kB