Veri SızıntılarıZararlı Yazılımlar

CIA’in hava boşluklu (Air gap) ağları hackleyebilen araçları ifşa edildi

2 dakikada okunur

WikiLeaks yine Vault 7 kapsamında CIA tarafından geliştirilmiş malware toolkit’i yayınladı. Brutal Kangaroo’nun bir parçası olan toolkit sayesinde USB disk aracılığıyla, hava boşluklu ağları (air-gap) hacklemek mümkün.

Brutal Kangaroo saldırısı nasıl çalışıyor?

CIA bu araçları kompleks saldırılar gerçekleştirebilmek için kullanıyor. Öncelikle Drifting Deadling ile zararlı yazılımın birinci ve ikinci aşama saldırıları oluşturuluyor. İşlem daha sonra diğer CIA araçlarının hedef ağlardaki bilgisayarları enfekte etmeye başlamasıyla devam ediyor. Bu aşamada CIA çalışanlarının, enfekte bilgisayarda tam hakimiyet sağladığı düşünülüyor.

Enfekte olan ilk bilgisayar “birincil host” olarak adlandırılıyor ve zararlı yazılım, ağ üzerindeki diğer bilgisayarlara da bu bilgisayar üzerinden yayılıyor. Kurbanın, birincil hosta USB disk takması ile birlikte Brutal Kangaroo bileşenleri diske yerleşiyor ve ağ üzerindeki bir başka bilgisayara takıldığı an hedef bilgisayarı da enfekte ediyor.

Havaboşluklu bilgisayarlar zararlı kısayollarla enfekte ediliyor

İkinci aşama ile birlikte hedef bilgisayardaki LNK uzantılı kısayol dosyaları, Windows Explorer penceresinde görüntülendiği anda otomatik olarak zararlı kodların çalışmasını sağlıyor. Bu saldırı vektörünün İran’ın nükleer programına yapılan Stuxnet isimli saldırı ile aynı olduğu da belirtiliyor.

Giraffe ve Okabi isimli CIA exploitlerinin de bu saldırıda kullanıldığı iddia ediliyor. Hem 32-bit hem de 64-bit mimariye sahip sistemlerde çalışan Okabi ile Windows 7, 8 ve 8.1 işletim sistemleri enfekte edilebiliyor. Okabi ile aynı çalışma prensibine sahip Giraffe için Windows XP hariç diğer tüm sürümler için yama çıkarılmış durumda. Okabi exploit’i için çıkarılan bir yamanın var olup olmadığı henüz belli değil.

Brutal Kangaroo ayrıca hava boşluklu ağlarda, LNK dosyaları aracılığıyla hızla yayılabiliyor. Bı özelliğin devreye girebilmesi içinse Shadow isimli araç kullanılıyor. Shadow çalışmaya başladığında, arkaplanda da ağ üzerindeki diğer disklere bulaşma işlemi de gerçekleşiyor. Shadow aracı sayesinde hedef sistemde farklı işlemler gerçekleştirilebiliyor.

Microsoft, konuyla ilgili şimdiden birden fazla yama yayınlamış durumda. Diğer taraftan çeşitli antivirüs firmaları da bu zararlıyı tespit edebilecek güncellemeleri kullanıcılarına sundu.

yazar hakkında
Atalay Keleştemur, siber istihbarat analisti ve PHP güvenlik uzmanı olarak görev yapmaktadır. Linux ve özgür yazılım gönüllüsüdür. Çeşitli kurumlarda sistem yöneticisi ve yazılım geliştiricisi olarak çalışmıştır. Siber İstihbarat isimli kitabın yazarıdır.
Bunlar ilgini çekebilir
Veri Sızıntıları

REvil Ransomware Grubu Ünlülere Ait Verileri Açık Arttırma ile Satacak

1 dakikada okunur
REvil Ransomware grubu bir basın bülteni yayınlamaya başladı. Alıcı yoksa Grubman şirketinin verilerini sızdıracaklarını bildirdi. Verilerinin üst düzey politikacılara ait cinsel skandallar…
Siber SaldırılarVeri SızıntılarıZararlı Yazılımlar

REvil Çetesi NY Hukuk Firmasından 42 Milyon Dolar Fidye Talep Etti! Trump da Tehdit Ediliyor

1 dakikada okunur
REvil fidye yazılımı çetesi birkaç gün önce Lady Gaga’nın yasal belgelerini yayınladı REvil (Sodinokibi) fidye yazılımının arkasındaki suç grubu, New York merkezli…
Veri Sızıntıları

İsrail'in Seçmen Kayıtları Sızdırıldı

3 dakikada okunur
Likud Partisi, İsrail seçmenlerinin tüm kaydını bir uygulamaya yüklemiş olması nedeniyle 6.453.254 vatandaşın kişisel verilerinin sızmasına neden oldu. Veriler, İsrail’deki her seçmenin…
Siber güvenlik dünyasındaki gelişmeleri takip edin.
Verinizi gizli tutuyoruz ve sadece bu servisi imkanlı kılan üçüncü partiler ile paylaşıyoruz. Gizlilik Politikamızı okuyun.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.