Siber Uzay'ın Haber Platformu

H4cktimes Youtube Kanalı

CIA’in hava boşluklu (Air gap) ağları hackleyebilen araçları ifşa edildi

0

WikiLeaks yine Vault 7 kapsamında CIA tarafından geliştirilmiş malware toolkit’i yayınladı. Brutal Kangaroo’nun bir parçası olan toolkit sayesinde USB disk aracılığıyla, hava boşluklu ağları (air-gap) hacklemek mümkün.

Brutal Kangaroo saldırısı nasıl çalışıyor?

CIA bu araçları kompleks saldırılar gerçekleştirebilmek için kullanıyor. Öncelikle Drifting Deadling ile zararlı yazılımın birinci ve ikinci aşama saldırıları oluşturuluyor. İşlem daha sonra diğer CIA araçlarının hedef ağlardaki bilgisayarları enfekte etmeye başlamasıyla devam ediyor. Bu aşamada CIA çalışanlarının, enfekte bilgisayarda tam hakimiyet sağladığı düşünülüyor.

Enfekte olan ilk bilgisayar “birincil host” olarak adlandırılıyor ve zararlı yazılım, ağ üzerindeki diğer bilgisayarlara da bu bilgisayar üzerinden yayılıyor. Kurbanın, birincil hosta USB disk takması ile birlikte Brutal Kangaroo bileşenleri diske yerleşiyor ve ağ üzerindeki bir başka bilgisayara takıldığı an hedef bilgisayarı da enfekte ediyor.

Havaboşluklu bilgisayarlar zararlı kısayollarla enfekte ediliyor

İkinci aşama ile birlikte hedef bilgisayardaki LNK uzantılı kısayol dosyaları, Windows Explorer penceresinde görüntülendiği anda otomatik olarak zararlı kodların çalışmasını sağlıyor. Bu saldırı vektörünün İran’ın nükleer programına yapılan Stuxnet isimli saldırı ile aynı olduğu da belirtiliyor.

Giraffe ve Okabi isimli CIA exploitlerinin de bu saldırıda kullanıldığı iddia ediliyor. Hem 32-bit hem de 64-bit mimariye sahip sistemlerde çalışan Okabi ile Windows 7, 8 ve 8.1 işletim sistemleri enfekte edilebiliyor. Okabi ile aynı çalışma prensibine sahip Giraffe için Windows XP hariç diğer tüm sürümler için yama çıkarılmış durumda. Okabi exploit’i için çıkarılan bir yamanın var olup olmadığı henüz belli değil.

Brutal Kangaroo ayrıca hava boşluklu ağlarda, LNK dosyaları aracılığıyla hızla yayılabiliyor. Bı özelliğin devreye girebilmesi içinse Shadow isimli araç kullanılıyor. Shadow çalışmaya başladığında, arkaplanda da ağ üzerindeki diğer disklere bulaşma işlemi de gerçekleşiyor. Shadow aracı sayesinde hedef sistemde farklı işlemler gerçekleştirilebiliyor.

Microsoft, konuyla ilgili şimdiden birden fazla yama yayınlamış durumda. Diğer taraftan çeşitli antivirüs firmaları da bu zararlıyı tespit edebilecek güncellemeleri kullanıcılarına sundu.

Yorum Bırak

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.