CosmicStrand: Yeni gelişmiş firmware rootkiti son derece inatçı

Kaspersky araştırmacıları, işletim sistemi tekrar başlatılsa yahut Windows tekrar yüklense bile kurbanın makinesinde kalan ve onu uzun vadede çok tehlikeli hale getiren gelişmiş bir kalıcı tehdit (APT) aktörü tarafından geliştirilen yeni bir rootkiti ortaya çıkardı. “CosmicStrand” olarak isimlendirilen bu UEFI firmware rootkit, Vietnam, İran ve Rusya’da az görülen hadiselerle, büyük ölçüde Çin’deki özel şahıslara saldırmak için kullanıldı.

UEFI firmware, donanımların büyük çoğunluğunda kritik bir bileşendir. İçeriğindeki kod aygıtı başlatmaktan, işletim sistemini yükleyen yazılım bileşenini çalıştırmaktan sorumludur. UEFI firmware bir şekilde berbat gayeli kod içerecek şekilde değiştirilirse, bu kod işletim sisteminden evvel başlatılacak ve aktifliğini potansiyel olarak güvenlik tahlilleri ve işletim sisteminin savunması tarafından görünmez hale getirecektir. Bunun sabit diskten başka bir yonga üzerinde bulunması, UEFI bellenimine yönelik taarruzları kaçamak ve kalıcı hale getirir. Zira işletim sistemi kaç defa yine yüklenirse yüklensin, berbat emelli yazılım aygıtta kalır.

Kaspersky araştırmacıları tarafından yapılan son UEFI firmware keşfi olan CosmicStrand, daha evvel bilinmeyen bir Çince konuşan aktöre atfediliyor. Saldırganların en son maksatları bilinmemekle birlikte, etkilenen kurbanların kurumsal bilgisayarların tersine ferdi kullanıcılar olduğu gözlemlendi.

Saldırıya uğrayan tüm makineler Windows tabanlıydı. Bilgisayar her açıldığında, Windows başlatıldıktan sonra bir ölçü berbat maksatlı kod yürütüldü. Emeli bir C2 (komut ve kontrol) sunucusuna bağlanmak ve ek bir makus gayeli yürütülebilir evrak indirmekti.

Araştırmacılar, birinci etapta rootkitin virüslü makinelere nasıl bulaştığını belirleyemediler. Fakat çevrimiçi olarak keşfedilen doğrulanmamış hesaplar, birtakım kullanıcıların çevrimiçi donanım bileşenleri sipariş ederken güvenliği ihlal edilmiş aygıtlar aldığını gösteriyor.

CosmicStrand’in en çarpıcı tarafı, UEFI implantının 2016’nın sonundan beri (UEFI taarruzlarının kamuoyuna açıklanmaya başlamasından çok önce) açık ortamda kullanıldığı görülüyor.

Kaspersky Global Araştırma ve Tahlil Grubu (GReAT) Kıdemli Güvenlik Araştırmacısı Ivan Kwiatkowski, şunları söylüyor: “Yakın vakit evvel keşfedilmesine karşın CosmicStrand UEFI firmware rootkit hayli uzun bir müddettir kullanılıyor üzere görünüyor. Bu, kimi tehdit aktörlerinin 2017’den beri gözlerden uzak tutmayı başardıkları çok gelişmiş yeteneklere sahip olduğunu gösteriyor. Dahası şimdi keşfetmediğimiz hangi yeni araçları yarattıklarını da merak ediyoruz.”

CosmicStrand çerçevesinin ve bileşenlerinin daha detaylı bir tahlili Securelist’te yer alıyor.

Kaspersky, CosmicStrand üzere tehditlerden korunmak için şunları öneriyor:

• SOC grubunuza en son tehdit istihbaratına (TI) erişimini sağlayın. Kaspersky Tehdit İstihbarat Portalı, TI için 20 yılı aşkın müddettir Kaspersky tarafından toplanan siber akın dataları ve öngörüleri sağlayan tek bir erişim noktasıdır.
• Kaspersky Endpoint Detection and Response üzere uç nokta seviyesinde olay algılama, araştırma ve süratle düzeltme için EDR tahlillerini kullanın.
• Hedefli atakların birden fazla kimlik avı yahut öteki toplumsal mühendislik teknikleriyle başladığı için çalışanınıza temel siber güvenlik hijyeni eğitimi sağlayın.
• Kaspersky Endpoint Security for Business üzere firmware ihlalini algılayabilen sağlam bir uç nokta güvenlik eseri kullanın.
• UEFI sabit yazılımınızı nizamlı olarak güncelleyin ve sadece sağlam satıcıların eser yazılımını kullanın.

Kaynak: (BYZHA) – Beyaz Haber Ajansı