ShadowPad: Saldırganlar yüzlerce büyük şirketin kullandığı yazılıma arka kapı gizledi
Kaspersky Lab uzmanları dünya çapında yüzlerce büyük şirket tarafından kullanılan bir sunucu yönetimi yazılımına yerleştirilmiş bir arka kapı keşfetti. Arka kapı aktif hale getirildiğinde saldırganlara daha fazla zararlı modülü sisteme indirme veya veri çalma imkanı sunuyor. Kaspersky Lab’ın söz konusu yazılımın sağlayıcısı olan NetSarang’ı uyarmasının ardından, şirket zararlı kodu yazılımından kaldırdı ve müşterileri için bir güncelleme yayınladı.
Shadowpad bugüne kadar bilinen en büyük tedarik zinciri saldırılarından biri olarak karşımıza çıkıyor. Eğer bu kadar hızlı bir şekilde fark edilip gerekli yama yapılmasaydı, potansiyel olarak dünya çapında yüzlerce kuruluşu hedef alabilirdi.
Kaspersky Lab Küresel Siber Güvenlik Araştırmaları
Her şey Kaspersky Lab’ın Küresel Araştırma ve Analiz Ekibi’nin (GReAT) 2017 Temmuz ayında iş ortaklarından biri olan bir finans kuruluşundan bir haber almasıyla başladı. Kuruluşun güvenlik uzmanları, finansal işlemlerin işlenmesinde kullanılan bir sunucudan gelen bazı şüpheli DNS (alan adı sunucusu) talepleri konusunda endişeleniyordu. Yapılan incelemeler sonucunda, söz konusu taleplerin kaynağının güvenilir bir şirket tarafından üretilmiş olan ve finansal hizmetler, eğitim, telekomünikasyon, üretim, enerji ve taşımacılık gibi sektörlerde faaliyet gösteren yüzlerce şirket tarafından kullanılan bir sunucu yönetimi yazılımı olduğu anlaşıldı. En endişe verici olan bulgu ise, yazılımın sağlayıcısı olan şirketin, yazılımı bu tür talepler göndermek üzere tasarlamamış olmasıydı.
DNS Talepleri ve Siber Güvenlik Sorunları
Kaspersky Lab’ın yaptığı incelemelerin devamında, şüpheli taleplerin aslında söz konusu yazılımın güncel bir sürümünün içerisine gizlenmiş olan zararlı bir modülün faaliyetlerinden kaynaklandığı anlaşıldı. Zararlı modül, enfekte olmuş bir yazılım güncellemesinin yüklenmesini takiben, belirli bir takım alan adlarına (kendi komuta ve kontrol sunucusuna) sekiz saatte bir DNS talepleri göndermeye başlıyordu. Talepler, kurbanın sistemi hakkında temel bilgiler içeriyordu. Saldırganların söz konusu sistemi kayda değer bulması durumunda, komuta sunucusu yanıt verip, saldırılan bilgisayara kendisini sessizce konuşlandıran tam teşekküllü bir arka kapı platformunu faaliyete geçiriyordu. Ardından, saldırganların talebi üzerine, arka kapı daha fazla zararlı kodu sisteme indirip yürütmeye hazır oluyordu.
NetSarang Siber Güvenlik Sorunu Yaşadı
Yapılan keşfin ardından Kaspersky Lab araştırmacıları NetSarang’ı uyararak, yazılım için hızlı bir şekilde bir güncelleme yayınlamasını sağladı.
Zararlı modülün şimdiye kadar bazı Hong Kong’da faaliyete geçtiği görüldü, fakat Kaspersky Lab araştırmacılarına göre dünya çapında birçok sistemde, özellikle de en son güncellemenin yüklenmemiş olduğu durumlarda pasif bir şekilde bekliyor olabilir.
Siber Güvenlik Tehdidi: Winnti APT
Saldırganlar tarafından kullanılan araçları, teknikleri ve prosedürleri inceleyen Kaspersky Lab uzmanları, Winnti APT adlı Çince konuşan siber casusluk grubunun kullandığı PlugX zararlı yazılımının varyantlarına işaret eden bazı benzerlikler ortaya çıkardı. Bu bilgi, her şeye rağmen, olanları bu grup ile ilişkilendirmek için yeterli görülmüyor.
Bilgi güvenliği zafiyeti güncelleme yapılarak giderildi
Kaspersky Lab Küresel Araştırma ve Analiz Ekibi’nden Igor Soumenkov, olanlar hakkında şöyle dedi: “ShadowPad, başarılı bir tedarik zinciri saldırısının ne kadar tehlikeli ve geniş çaplı olabileceğinin bir örneği. Saldırganlara sunduğu erişim ve veri toplama fırsatları göz önünde bulundurulduğunda, büyük ihtimalle tekrarlanacak ve başka bir yaygın kullanılan yazılım bileşeninden faydalanacak. Neyse ki NetSarang uyarımızın ardından hızlı davranarak bir yazılım güncellemesi yayınladı ve böylece yüzlerce müşterisini veri hırsızlığı saldırılarından korudu. Yine de bu örnek, büyük şirketlerin, ağ faaliyetlerini gözlemleyerek anormallikleri tespit edebilen gelişmiş çözümler kullanması gerektiğini gösteriyor. Böylece saldırganlar zararlı yazılımlarını başka bir yazılımın içine gizleyebilecek kadar gelişmiş olsa dahi, zararlı faaliyetlerin farkına varabilirler.”
Tüm Kaspersky Lab ürünleri ShadowPad’i “Backdoor.Win32.ShadowPad.a” adıyla tespit ediyor ve koruma sağlıyor.
Kaspersky Lab, kullanıcılarına bir an önce NetSarang yazılımının zararlı modülü içermeyen en güncel sürümünü kullanmalarını ve sistemlerinde sıradışı alan adlarına gönderilen DNS talepleri olup olmadığına bakmalarını öneriyor. Zararlı modülün kullandığı sunucu alan adlarının bir listesine ve söz konusu arka kapı ile ilgili daha fazla teknik bilgiye Securelist’teki blog yazısından ulaşılabiliyor.
Kaspersky Lab Hakkında
Kaspersky Lab, 2017 yılında 20. yılını kutlayan küresel bir siber güvenlik şirketidir. Kaspersky Lab'ın derin tehdit zekası ve güvenlik uzmanlığı, dünyanın dört bir yanındaki işletmelerin, kritik altyapıların, hükümetlerin ve tüketicilerin korunması için sürekli güvenlikçözümlerine ve hizmetlerine dönüşmektedir. Şirketin kapsamlı güvenlik portföyüne, lider uç nokta koruması ve gelişen karmaşık dijital tehditlerle mücadele eden bir dizi özelleştirilmiş güvenlik çözümleri de dahildir. 400 milyonu aşkın kullanıcı Kaspersky Lab teknolojileri ile korunmaktadır ve 270 bin kurumsal müşterinin kendileri için en önemli şeyleri korumalarına yardımcı olmaktayız. Daha fazla bilgi için: www.kaspersky.com/tr
About NetSarang
NetSarang Computer, Inc. develops, markets and supports secure connectivity solution in the global market. The company develops a family of PC X server and SSH client software for PC-to-Unix and PC-to-Linux, and is expanding its TCP/IP network technologies to other Internet businesses. The company offers its products and services to more than 90 countries around the world.