Kaspersky araştırmacıları, işletim sistemi yeniden başlatılsa veya Windows yeniden yüklense bile kurbanın makinesinde kalan ve onu uzun vadede çok tehlikeli hale getiren gelişmiş bir kalıcı tehdit (APT) aktörü tarafından geliştirilen yeni bir rootkiti ortaya çıkardı. “CosmicStrand” olarak adlandırılan bu UEFI firmware rootkit, Vietnam, İran ve Rusya’da nadir görülen vakalarla, büyük ölçüde Çin’deki özel kişilere saldırmak için kullanıldı.

UEFI firmware, donanımların büyük çoğunluğunda kritik bir bileşendir. İçeriğindeki kod cihazı başlatmaktan, işletim sistemini yükleyen yazılım bileşenini çalıştırmaktan sorumludur. UEFI firmware bir şekilde kötü amaçlı kod içerecek şekilde değiştirilirse, bu kod işletim sisteminden önce başlatılacak ve etkinliğini potansiyel olarak güvenlik çözümleri ve işletim sisteminin savunması tarafından görünmez hale getirecektir. Bunun sabit diskten ayrı bir yonga üzerinde bulunması, UEFI bellenimine yönelik saldırıları kaçamak ve kalıcı hale getirir. Çünkü işletim sistemi kaç kez yeniden yüklenirse yüklensin, kötü amaçlı yazılım cihazda kalır.

Kaspersky araştırmacıları tarafından yapılan son UEFI firmware keşfi olan CosmicStrand, daha önce bilinmeyen bir Çince konuşan aktöre atfediliyor. Saldırganların nihai hedefleri bilinmemekle birlikte, etkilenen kurbanların kurumsal bilgisayarların aksine bireysel kullanıcılar olduğu gözlemlendi.

Saldırıya uğrayan tüm makineler Windows tabanlıydı. Bilgisayar her açıldığında, Windows başlatıldıktan sonra bir miktar kötü amaçlı kod yürütüldü. Amacı bir C2 (komut ve kontrol) sunucusuna bağlanmak ve ek bir kötü amaçlı yürütülebilir dosya indirmekti.

Araştırmacılar, ilk etapta rootkitin virüslü makinelere nasıl bulaştığını belirleyemediler. Ancak çevrimiçi olarak keşfedilen doğrulanmamış hesaplar, bazı kullanıcıların çevrimiçi donanım bileşenleri sipariş ederken güvenliği ihlal edilmiş cihazlar aldığını gösteriyor.

CosmicStrand’in en çarpıcı yönü, UEFI implantının 2016’nın sonundan beri (UEFI saldırılarının kamuoyuna açıklanmaya başlamasından çok önce) açık ortamda kullanıldığı görülüyor.

Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT) Kıdemli Güvenlik Araştırmacısı Ivan Kwiatkowski, şunları söylüyor: “Yakın zaman önce keşfedilmesine rağmen CosmicStrand UEFI firmware rootkit oldukça uzun bir süredir kullanılıyor gibi görünüyor. Bu, bazı tehdit aktörlerinin 2017’den beri gözlerden uzak tutmayı başardıkları çok gelişmiş yeteneklere sahip olduğunu gösteriyor. Dahası henüz keşfetmediğimiz hangi yeni araçları yarattıklarını da merak ediyoruz.” 


sitesinden daha fazla şey keşfedin

Subscribe to get the latest posts sent to your email.

Bir yanıt yazın