Kaspersky araştırmacıları Çince konuşan Gelişmiş Kalıcı Tehdit APT odağı LuoYu tarafından yayılan WinDealer isimli makûs czech taxi porno gayeli yazılımın man on the side yandaki adam taarruz tekniğiyle müsaadesiz girişler gerçekleştirme yeteneğine sahip olduğunu keşfetti Bu çığır açan gelişme tehdit odağının ağ trafiğini makûs emelli yazılımlar eklemek için digitalplayground porno değiştirmesine imkan tanıyor Bu cins hücumlar bilhassa tehlikeli ve yıkıcı niteliğe sahip zira başarılı bir bulaşmaya yol açmak için maksatla rastgele bir etkileşime gerek duymuyorlar
TeamT5’in bulgularını takip eden Kaspersky dvd porno araştırmacıları WinDealer makûs hedefli yazılımını yaymak için operatörler tarafından uygulanan yeni bir dağıtım yolu keşfetti Bu sistem ağ trafiğini okuyarak yeni bildiriler ekleyebildikleri özel bir teknik kullanıyor Man on the ensest porno side Yandaki adam olarak isimlendirilen bu hücumun genel konsepti saldırganın ağda belli bir kaynağa yönelik istek gördüğünde ortaya girerek kurbana legal sunucudan daha süratli cevap göndermesine ve kendi istediği içerikleri fake agent porno iletmesine dayanıyor Saldırgan ‘yarışı’ kazanırsa gaye makine olağan datalar yerine saldırgan tarafından sağlanan bilgileri kullanıyor Saldırganlar birden fazla teşebbüste sonuca ulaşamasalar dahi başarılı olana kadar tekrar deniyorlar ve sonunda birçok aygıta bulaşmayı başarıyorlar
Saldırının akabinde maksat aygıta etkileyici ölçüde bilgi toplayabilen bir casus yazılım uygulaması gönderiliyor Saldırganlar bu sayede aygıtta depolanan belgeleri görüntüleyebiliyor indirebiliyor ve tüm evraklarda anahtar söz araması yapabiliyor LuoYu çoklukla Çin’de kurulan yabancı diplomatik kuruluşları akademik topluluğun üyelerini savunma lojistik ve telekomünikasyon şirketlerini hedefliyor Saldırganlar Windows aygıtlarına sızmak için WinDealer’ı kullanıyor
Tipik olarak berbat hedefli yazılım makûs niyetli operatörün tüm sistemi denetim ettiği sabit kodlanmış bir Komuta ve Denetim sunucusu içeriyor Bu sunucu hakkındaki bilgiler tespit edildiğinde makûs emelli yazılımın etkileşimde bulunduğu makinelerin IP adresini bloke ederek tehdidi etkisiz hale getirmek mümkün Lakin WinDealer hangi makineyle temas kurulacağını belirlemek için karmaşık bir IP algoritmasına güveniyor Bu 48 bin civarında IP adresini içeriyor ve operatörün adreslerin küçük bir kısmını bile denetim etmesini neredeyse imkânsız hale getiriyor Bu imkânsız görünen ağ davranışını açıklamanın tek yolu saldırganların kelam konusu IP aralığında kıymetli müdahale yeteneklerine sahip olduğunu ve hiçbir gayeye ulaşmayan ağ paketlerini dahi okuyabildiğini varsayımından geçiyor
Bu usul taarruzların bilhassa yıkıcı olmasının sebebi başarılı bir bulaşmaya yol açmak için gayeyle rastgele bir etkileşim gerektirmemesi Yalnızca internete bağlı bir makineye sahip olmak bile kâfi Ayrıyeten trafiği öbür bir ağ üzerinden yönlendirmenin haricinde kullanıcıların kendilerini bu ataktan korumak için yapabilecekleri hiçbir şey yok Bu müdafaa bir VPN ile sağlanabilse de bölgeye bağlı olarak VPN bir seçenek olmayabilir ve Çin vatandaşlarının büyük bir kısmı tarafından kullanılamayabilir
LuoYu kurbanlarının büyük çoğunluğu Çin’de bulunuyor Bu nedenle Kaspersky uzmanları LuoYu nun yüklü olarak Çince konuşan kurbanlara ve Çin ile ilgili kuruluşlara odaklandığına inanıyor Bununla birlikte Kaspersky araştırmacıları Almanya Avusturya Amerika Birleşik Devletleri Çek Cumhuriyeti Rusya ve Hindistan üzere öbür ülkelere yönelik hücumlar da keşfettiler
Kaspersky Global Araştırma ve Tahlil Grubu GReAT Kıdemli Güvenlik Araştırmacısı Suguru Ishimaru şunları söylüyor: “LuoYu, sırf en üst seviye saldırganların kullanabileceği tıpta fonksiyonellikten yararlanabilen, son derece karmaşık bir tehdit odağı olarak öne çıkıyor. Bu çeşit yetenekleri nasıl geliştirebildikleri konusunda yalnızca spekülasyon yapabiliriz. Bir aygıta saldırmak için gereken tek şart aygıtın internete bağlı olmasıdır ve man-on-the-side taarruzları son derece yıkıcıdır. Atak birinci seferde başarısız olsa bile saldırganlar başarılı olana kadar süreci tekrarlayabilirler. Bu halde ekseriyetle diplomatlar, bilim insanları ve öbür kilit kesimlerdeki çalışanlardan oluşan kurbanlarına yönelik son derece tehlikeli ve başarılı casusluk akınları gerçekleştirebilirler. Akın nasıl gerçekleştirilmiş olursa olsun, potansiyel kurbanların kendilerini savunmasının tek yolu son derece uyanık davranmaktan, sistemli antivirüs taramaları, giden ağ trafiğinin tahlili ve anormallikleri tespit etmek için kapsamlı günlük kaydı üzere sağlam güvenlik prosedürlerine sahip olmaktan geçiyor.”
WinDealer hakkında raporun tamamı Securelist ’te okunabilir.
Bu üzere gelişmiş tehditlerden korunmak için Kaspersky şunları öneriyor
- Normal antivirüs taramaları giden ağ trafiğinin tahlili ve anormallikleri tespit etmek için kapsamlı günlük kaydı içeren sağlam güvenlik prosedürleri kurgulanmalıdır
- Ağların siber güvenlik kontrolünü gerçekleştirilmelidir ve ağın etrafında yahut içinde keşfedilen tüm zayıflıklar giderilmelidir
- Anti APT ve EDR tahlilleri kullanılmalıdır SOC grubunun en son tehdit istihbaratına erişimi sağlanmalıdır ve profesyonel eğitimlerle sistemli olarak hünerleri yükseltilmelidir Üsttekilerin tümü Kaspersky Expert Security çerçevesinde mevcuttur.
- Uygun uç nokta müdafaasının yanı sıra özel hizmetler de yüksek profilli ataklara karşı korunmada yardımcı olabilir Kaspersky Managed Detection and Response hizmeti, saldırganlar gayelerine ulaşmadan evvel hücumları erken etaplarında belirlemeye ve durdurmaya yardımcı olur.
- İşletmelere yüksek seviyede güvenlik sağlamak için yeni tehditlerin farkında olunmalıdır Tehdit İstihbaratı Kaynak Merkezi, devam eden siber akınlar ve tehditler hakkında bağımsız, daima güncellenen, global bilgilere fiyatsız olarak erişim sağlar.
Kaynak BHA Beyaz Haber Ajansı
