CIA’in hava boşluklu (Air gap) ağları hackleyebilen araçları ifşa edildi

CIA’in hava boşluklu (Air gap) ağları hackleyebilen araçları ifşa edildi
Haziran 23 11:29 2017 Yazıyı Yazdır

WikiLeaks yine Vault 7 kapsamında CIA tarafından geliştirilmiş malware toolkit’i yayınladı. Brutal Kangaroo’nun bir parçası olan toolkit sayesinde USB disk aracılığıyla, hava boşluklu ağları (air-gap) hacklemek mümkün.

Brutal Kangaroo saldırısı nasıl çalışıyor?

CIA bu araçları kompleks saldırılar gerçekleştirebilmek için kullanıyor. Öncelikle Drifting Deadling ile zararlı yazılımın birinci ve ikinci aşama saldırıları oluşturuluyor. İşlem daha sonra diğer CIA araçlarının hedef ağlardaki bilgisayarları enfekte etmeye başlamasıyla devam ediyor. Bu aşamada CIA çalışanlarının, enfekte bilgisayarda tam hakimiyet sağladığı düşünülüyor.

Enfekte olan ilk bilgisayar “birincil host” olarak adlandırılıyor ve zararlı yazılım, ağ üzerindeki diğer bilgisayarlara da bu bilgisayar üzerinden yayılıyor. Kurbanın, birincil hosta USB disk takması ile birlikte Brutal Kangaroo bileşenleri diske yerleşiyor ve ağ üzerindeki bir başka bilgisayara takıldığı an hedef bilgisayarı da enfekte ediyor.

Havaboşluklu bilgisayarlar zararlı kısayollarla enfekte ediliyor

İkinci aşama ile birlikte hedef bilgisayardaki LNK uzantılı kısayol dosyaları, Windows Explorer penceresinde görüntülendiği anda otomatik olarak zararlı kodların çalışmasını sağlıyor. Bu saldırı vektörünün İran’ın nükleer programına yapılan Stuxnet isimli saldırı ile aynı olduğu da belirtiliyor.

Giraffe ve Okabi isimli CIA exploitlerinin de bu saldırıda kullanıldığı iddia ediliyor. Hem 32-bit hem de 64-bit mimariye sahip sistemlerde çalışan Okabi ile Windows 7, 8 ve 8.1 işletim sistemleri enfekte edilebiliyor. Okabi ile aynı çalışma prensibine sahip Giraffe için Windows XP hariç diğer tüm sürümler için yama çıkarılmış durumda. Okabi exploit’i için çıkarılan bir yamanın var olup olmadığı henüz belli değil.

Brutal Kangaroo ayrıca hava boşluklu ağlarda, LNK dosyaları aracılığıyla hızla yayılabiliyor. Bı özelliğin devreye girebilmesi içinse Shadow isimli araç kullanılıyor. Shadow çalışmaya başladığında, arkaplanda da ağ üzerindeki diğer disklere bulaşma işlemi de gerçekleşiyor. Shadow aracı sayesinde hedef sistemde farklı işlemler gerçekleştirilebiliyor.

Microsoft, konuyla ilgili şimdiden birden fazla yama yayınlamış durumda. Diğer taraftan çeşitli antivirüs firmaları da bu zararlıyı tespit edebilecek güncellemeleri kullanıcılarına sundu.

daha fazla yazı

Yazar Hakkında

Atalay Keleştemur
Atalay Keleştemur

Atalay Keleştemur, siber istihbarat analisti ve PHP güvenlik uzmanı olarak görev yapmaktadır. Linux ve özgür yazılım gönüllüsüdür. Çeşitli kurumlarda sistem yöneticisi ve yazılım geliştiricisi olarak çalışmıştır. Siber İstihbarat isimli kitabın yazarıdır.

Daha Fazla Yazı
yorum yapın

Yorum Yok

Henüz yorum yapılmamış

İlk yorumu siz yapabilirsiniz.

Yorum ekleyin

Bilgileriniz güvende! E-posta adresiniz yayınlanmayacak. Diğer kişisel bilgileriniz üçüncü partilerle paylaşılmayacak.
* işaretli alanlar zorunludur.

Time limit is exhausted. Please reload CAPTCHA.