Kaspersky araştırmacıları, ortalıkta serbestçe gezen üçüncü bir firmware (donanım yazılımı) bootkit olayını ortaya çıkardı. MoonBounce olarak …
Kaspersky araştırmacıları, ortalıkta serbestçe gezen üçüncü bir firmware (donanım yazılımı) bootkit olayını ortaya çıkardı. MoonBounce olarak isimlendirilen bu makûs niyetli eklenti, bilgisayarların değerli bir modülü olan Birleşik Genişletilebilir Eser Yazılımı Arabirimi (UEFI) bellenimi içinde, sabit şoförler için harici depolama bileşenlerine ilişkin SPI flaşında gizleniyor. Bu çeşit eklentilerin ortaya çıkarılması epeyce sıkıntı ve güvenlik eserleri tarafından görünürlükleri son derece hudutlu. Hür ortamda birinci defa 2021 baharında ortaya çıkan MoonBounce, daha evvel bildirilen UEFI üretici yazılımı önyükleme setlerine kıyasla bariz bir ilerlemeye ve sofistike bir akın akışına sahip. Kampanya, çok büyük olasılıkla âlâ bilinen gelişmiş kalıcı tehdit (APT) aktörü APT41 ile ilişkilendiriliyor.
UEFI sabit yazılımı, bilgisayarların büyük çoğunluğunda kritik bir bileşendir. Taşıdığı kodlar aygıtı başlatmaktan ve denetimi işletim sistemini yükleyen yazılıma geçirmekten sorumludur. Bu kod, sabit disklere dair harici kalıcı bir depolama alanı olan SPI flash içinde gizleniyor. Bu alan berbat hedefli kod içeriyorsa, kod işletim sisteminden evvel başlatılıyor. Bu nedenle sabit sürücüyü tekrar biçimlendirmek yahut işletim sistemini yine yüklemek enfeksiyondan kurtulmaya yetmiyor. Dahası kod sabit şoförün dışında bir yerde bulunduğundan, bu çeşit önyükleme setlerinin aktifliği bilhassa aygıtın ilgili kısmını tarayan bir güvenlik tahlili kelam konusu olmadıkça algılanamıyor.
MoonBounce, bugüne dek ortalıkta serbestçe dolaştığı bildirilen üçüncü UEFI bootkiti oldu. Bootkit 2021 baharında ortaya çıktı ve birinci olarak Kaspersky araştırmacıları tarafından, UEFI eser yazılımı manzaraları de dahil olmak üzere ROM BIOS’ta saklanan tehditleri bilhassa tespit etmek için 2019’un başından beri Kaspersky eserlerine dahil edilen Firmware Scanner aktifliğine bakarken keşfedildi. Daha evvel keşfedilen LoJax ve MosaicRegressor bootkitleriyle karşılaştırıldığında MoonBounce daha karmaşık bir akın akışına ve daha fazla teknik gelişmişliğe sahip oluşuyla öne çıkıyor.
Kelam konusu eklenti, UEFI önyükleme sırasında erkenden çağrılan bellenimin CORE_DXE bileşeninde yer alıyor. Akabinde eklentinin bileşenleri muhakkak fonksiyonları engelleyen bir dizi kanca aracılığıyla işletim sistemine giriyor ve burada daha fazla makûs hedefli yükleri almak için bir komuta ve denetim sunucusuna ulaşıyor. Bileşenler sadece bellekte çalıştığından enfeksiyon zincirinin kendisi sabit şoförde rastgele bir iz bırakmıyor.
MoonBounce’ı araştırırken Kaspersky araştırmacıları, birebir ağın birkaç düğümünde birkaç makus maksatlı yükleyiciyi ve kullanım sonrası için ayrılmış makûs emelli yazılım ortaya çıkardı. Buna bilgi alışverişi yapmak ve ek eklentileri yürütmek için C2 sunucusuyla irtibat kurabilen bir bellek içi eklenti olan ScrambleCross yahut Sidewalk, kimlik bilgilerini ve güvenlik sırlarını aktarmak için kullanılan kamuya açık sömürü aracı Mimikat_ssp, evvelce bilinmeyen Golang tabanlı art kapı ve çoklukla SixLittleMonkeys tehdit aktörü tarafından kullanılan berbat gayeli yazılım olan Microcin dahil oluyor. MoonBounce bu berbat maksatlı yazılım modüllerini indirebildiği üzere, kelam konusu makûs gayeli yazılım modüllerinden birinin daha evvel sisteme bulaşması makineyi tehlikeye atmanın bir yolu olarak da hizmet edebiliyor. Böylelikle MoonBounce ağda yer edinebiliyor.
MoonBounce için öteki bir mümkün bulaşma yolu, gaye şirkete teslim edilmeden evvel makinenin güvenliğinin ihlal edilmesi biçiminde ortaya çıkıyor. Her iki durumda bulaşmanın hedeflenen makineye uzaktan erişim yoluyla gerçekleştiği düşünülüyor. Ek olarak, LoJax ve MosaicRegressor DXE şoförlerine eklenti yerleştirirken, MoonBounce daha incelikli ve daha bilinmeyen bir akın için mevcut bir üretici yazılımı bileşenini değiştirme yoluna gidiyor.
Kelam konusu ağa karşı yürütülen genel kampanyada saldırganların belgeleri arşivlemek ve ağ bilgilerini toplamak üzere çok çeşitli hareketler gerçekleştirdikleri açık olarak tespit edildi. Saldırganların faaliyetleri boyunca kullandıkları komutlar, yanal hareketler ve dataların sızdırma teşebbüsleri için UEFI eklentisini kullanmaları bunun bir casusluk faaliyeti olabileceği ihtimalini güçlendiriyor.
Kaspersky, MoonBounce’ı çok yüksek ihtimalle en az 2012’den beri dünya çapında siber casusluk ve siber hata kampanyaları yürüten, Çince konuşan bir tehdit aktörü olduğu geniş çapta bildirilen APT41’e bağlıyor. Tıpkı ağ, APT41 ile Çince konuşan öteki tehdit aktörleri arasında muhtemel bir temas olduğunu da öne sürüyor.
Şimdiye kadar bellenim önyükleme seti, yüksek teknoloji pazarındaki bir holding şirketinin tek bir makinesinde bulundu. Lakin, öteki ilişkili makûs niyetli örneklere (ScrambleCross ve yükleyicileri gibi) birkaç öbür ağda da rastlandı.
GReAT Kıdemli Güvenlik Araştırmacısı Denis Legezo, şunları söyledi: “MoonBounce üzerinde yaptığımız araştırmalar sırasında bulunan ek berbat hedefli yazılım eklentilerini bilhassa bağlayamasak da Çince konuşan birtakım tehdit aktörleri, çeşitli kampanyalarına yardımcı olmak için kelam konusu araçları birbirleriyle paylaşıyor üzere görünüyor. Bilhassa MoonBounce ve Microcin arasında bir irtibat olduğunu düşünüyoruz.”
Kaspersky Global Araştırma ve Tahlil Takımı (GReAT) Araştırmacısı Mark Lechtik de şunları aktarıyor: “En son UEFI önyükleme seti, 2020’de bildirdiğimiz MosaicRegressor ile karşılaştırıldığında tıpkı kayda bedel ilerlemeleri gösteriyor. Aslında bellenimdeki evvelce âlâ huylu bir çekirdek bileşenini, sistemde makûs hedefli yazılım dağıtımını kolaylaştırabilecek bir bileşene dönüştürmek değerli bir yenilik. Bunu evvelki kıyaslanabilir bellenim önyükleme setlerinde görmemiştik ve tehdidi çok daha saklı hale getiriyor. 2018’de UEFI tehditlerinin popülerlik kazanacağını iddia etmiştik, bu eğilim gerçekleşiyor üzere görünüyor. 2022’de ek bootkit’ler bulduğumuza şaşırmayacağız. Neyse ki dağıtıcılar donanım yazılımı akınlarına daha fazla dikkat etmeye başladı. BootGuard ve Sağlam Platform Modülleri üzere donanım yazılımı güvenlik teknolojileri yavaş yavaş benimseniyor.”
Kaynak: (BHA) – Beyaz Haber Ajansı
