StoneDrill Dünyayı Tehdit Ediyor

StoneDrill Dünyayı Tehdit Ediyor
Mart 08 09:05 2017 Yazıyı Yazdır

StoneDrill, aynı bir diğer tanınmış silici (wiper) olan Shamoon gibi, bulaştığı bilgisayardaki bütün verileri siliyor. Bu yeni zararlı yazılım aynı zamanda tespit edilmeyi önleyici gelişmiş teknikler kullanıyor ve casusluk araçları barındırıyor. Orta Doğu’daki hedeflerin yanı sıra şimdi de Avrupa’da bir hedef keşfedildi. Orta Doğu’da kullanılan silicilere daha önce Avrupa’da rastlanmamıştı.

2012 yılında Shamoon (diğer adıyla Disttrack) adlı silici, Orta Doğu’daki bir petrol ve gaz şirketindeki 35.000 bilgisayarı saf dışı bırakarak oldukça ses getirmişti. Bu yıkıcı saldırıcı dünyanın petrol tedariğinin %10’unu potansiyel olarak risk altında bırakmıştı. Benzeri olmayan bu olayın ardından, saldırının sorumlusu adeta kayıplara karışmıştı. 2016’nın sonlarına doğru Shamoon 2.0 şeklinde geri gelen yazılım, bu sefer 2012’deki zararlı yazılımın ciddi ölçüde güncellenmiş ve çok daha geniş çaplı bir sürümü olarak gün yüzüne çıktı.

Söz konusu saldırıları inceleyen Kaspersky Lab araştırmacıları, tarzı açısından beklenmedik bir şekilde Shamoon 2.0’a benzeyen bir zararlı yazılımı tespit etti ve ona StoneDrill (taş delici) adını verdiler. Aynı zamanda çok farklı ve Shamoon’a göre çok daha karmaşıktı.

StoneDrill’in Çalışma Şekli

StoneDrill’in yayıldığı henüz çok bilinmiyor fakat bulaştığı cihaza girdiği anda kendisini kullanıcının tercih ettiği tarayıcının bellek işlemlerine yerleştiriyor. Bu süreçte, kurbanın bilgisayarında yüklü olan güvenlik çözümlerini kandırmayı hedefleyen iki adet karmaşık anti-emülasyon tekniği kullanıyor. Zararlı yazılım sonra da bilgisayarın disk dosyalarını yok etmeye başlıyor.

Silici olarak çalışan modülün yanı sıra araştırmacılar, görünüşe göre aynı yazılımcılar tarafından geliştirilmiş ve casusluk amacıyla kullanılan bir de StoneDrill arka kapısı buldular. Uzmanlar, saldırganlar tarafından StoneDrill yardımıyla sayısı bilinmeyen hedeflere yönelik olarak casusluk operasyonlarında kullanılan dört adet komuta kontrol paneli de keşfetti.

StoneDrill hakkındaki belki de en ilginç şey, görünüşe göre daha önce karşılaşılan bir çok başka silici ve casusluk operasyonları ile bağlantılarının olması. Araştırmacılar, Shamoon’un bilinmeyen örneklerini tespit etmek için oluşturulmuş Yara kurallarının yardımıyla StoneDrill’i keşfettiklerinde, benzeri olmayan ve Shamoon’dan ayrı olarak oluşturulmuş bir zararlı kodla karşı karşıya olduklarını anladılar. Her iki aile de (Shamoon ve StoneDrill) tamamen aynı kod temeline dayanmasalar da, yazılımcılarının zihniyetlerinin ve programlama tarzlarının benzer olduğu görülüyor. Bu sebeple, Shamoon yardımıyla geliştirilen Yara kurallarıyla StoneDrill’in tespit edilmesi mümkün oldu.

Kodlardaki benzerlikler, bilinen daha eski zararlı yazılımlar özelinde de görülüyor fakat benzerlikler bu sefer Shamoon ve StoneDrill arasında değil. Görülüyor ki StoneDrill, son birkaç yıldır aktif olan bir diğer zararlı yazılım olan NewsBeef APT’de (diğer adıyla Charming Kitten’da) görülen kodun bazı parçalarını da kullanıyor.

Küresel Araştırma ve Analiz Ekibi Kıdemli Güvenlik Araştırmacısı Mohamad Amin Hasbini:
[box style=”note”]
“Bu üç kötü amaçlı operasyon arasındaki benzerlikler ve karşılaştırmalar çok ilgimizi çekmişti. StoneDrill, Shamoon’un sorumlusu tarafından yayılan başka bir silici miydi? Yoksa StoneDrill ve Shamoon, aynı anda Suudi kuruluşlarını hedef alan iki farklı ve birbirine bağlı olmayan gruplar mı? Veya ayrı fakat ortak amaca sahip iki grup mu? Sonuncusu en muhtemel teori: arkalarında bıraktıkları izlere bakacak olursak, Shamoon Arapça-Yemen kaynak dil bölümlerini içerirken, StoneDrill’in çoğunlukla Farsça kaynak dil bölümlerini barındırdığını söyleyebiliriz. Jeopolitik analistler muhtemelen İran ve Yemen’in İran-Suudi Arabistan arasındaki vekil sunucu çatışmasında yer alan oyuncular olduklarına dikkat çekecektir ve Suudi Arabistan bu operasyonların kurbanlarının çoğunun bulunduğu ülkedir. Fakat elbette, bu arkada bırakılan izlerin birer yanıltma hamlesi olma ihtimalini göz ardı edemeyiz” dedi.
[/box]

Güvenlik uzmanları, kuruluşları bu tür saldırılardan korumak için aşağıdakileri tavsiye ediyor:

  • Herhangi bir güvenlik açığını tespit etmek ve ortadan kaldırmak için kontrol ağını bir güvenlik değerlendirmesinden geçirin (örneğin: güvenlik denetimi, penetrasyon testi, boşluk analizi). Kontrol ağına doğrudan erişebilecek durumda olmaları ihtimaline karşı dış tedarikçi ve 3. parti güvenlik politikalarını gözden geçirin.
  • Harici istihbarat talep edin: Saygın sağlayıcılardan edinilen istihbarat, şirketlerin altyapılarına yapılabilecek saldırıları öngörebilmesine yardımcı olur. Kaspersky Lab’ın ICS CERT gibi acil durum müdahale ekipleri, sektörler arası istihbaratı ücretsiz olarak sağlar.
  • Çalışanlarınızı eğitin, operasyonel ve mühendislik personeliyle, son tehditler ve saldırılara karşı olan farkındalıklarını artırmak için özel olarak ilgilenin.
  • Çevrenin içinde ve dışında koruma sağlayın. Düzgün bir güvenlik stratejisi, bir saldırıyı kritik önem taşıyan nesnelere ulaşmadan engellemek adına, saldırı tespit ve müdahale konularına kayda değer miktarda kaynak ayırmalıdır.
  • Doğal olarak savunmasız olan bazı düğüm noktaları yamalanamasa veya kaldırılamasa bile, bir şirketin genel güvenliğini artırmak ve başarılı bir ihlal şansını azaltmak amacıyla, kontrol birimleri için düzenli bütünlük denetimleri yapın ve özelleşmiş ağ gözlemleme gibi gelişmiş koruma yöntemlerini değerlendirin.
daha fazla yazı

Yazar Hakkında

İsmail Saygılı
İsmail Saygılı

1998 yılında bilgisayarla tanışan İsmail Saygılı, 2000 yılından bu yana aktif olarak siber dünyada rol almaktadır. 2010 yılına kadar ki süreçte Black Hat tarafında kendisini geliştirmiştir. Üniversite eğitimini uçak teknolojisi üzerine alan Saygılı, 2010 yılından sonra profesyonel olarak siber güvenlik sektöründe çalışmakta ve bu konuda çeşitli eğitimler de vererek sektöre aranılan personeller kazandırmaktadır. Ayrıca kendi blogunda kişisel bilgi ve tecrübelerini makaleler yazarak okuyucularına aktarıyor.

Daha Fazla Yazı
yorum yapın

Yorum Yok

Henüz yorum yapılmamış

İlk yorumu siz yapabilirsiniz.

Yorum ekleyin

Bilgileriniz güvende! E-posta adresiniz yayınlanmayacak. Diğer kişisel bilgileriniz üçüncü partilerle paylaşılmayacak.
* işaretli alanlar zorunludur.

Time limit is exhausted. Please reload CAPTCHA.