Kaspersky araştırmacıları Çince konuşan Gelişmiş Kalıcı Tehdit APT odağı LuoYu tarafından yayılan WinDealer isimli makûs bizimkent escort emelli yazılımın man on the side yandaki adam hücum tekniğiyle müsaadesiz girişler gerçekleştirme yeteneğine sahip olduğunu keşfetti Bu çığır açan gelişme tehdit odağının ağ trafiğini makus hedefli yazılımlar eklemek için bostancı escort değiştirmesine imkan tanıyor Bu tıp akınlar bilhassa tehlikeli ve yıkıcı niteliğe sahip zira başarılı bir bulaşmaya yol açmak için gayeyle rastgele bir etkileşime gerek duymuyorlar
TeamT5’in bulgularını takip eden Kaspersky büyükçekmece escort araştırmacıları WinDealer makûs gayeli yazılımını yaymak için operatörler tarafından uygulanan yeni bir dağıtım yolu keşfetti Bu prosedür ağ trafiğini okuyarak yeni iletiler ekleyebildikleri özel bir teknik kullanıyor Man on the çekmeköy escort side Yandaki adam olarak isimlendirilen bu atağın genel konsepti saldırganın ağda makul bir kaynağa yönelik istek gördüğünde ortaya girerek kurbana legal sunucudan daha süratli karşılık göndermesine ve kendi istediği içerikleri cevizli escort iletmesine dayanıyor Saldırgan ‘yarışı’ kazanırsa maksat makine olağan datalar yerine saldırgan tarafından sağlanan dataları kullanıyor Saldırganlar birden fazla teşebbüste sonuca ulaşamasalar dahi başarılı olana kadar tekrar deniyorlar ve sonunda birçok erenköy escort aygıta bulaşmayı başarıyorlar
Saldırının akabinde amaç aygıta etkileyici ölçüde bilgi toplayabilen bir casus yazılım uygulaması gönderiliyor Saldırganlar bu sayede aygıtta depolanan belgeleri görüntüleyebiliyor indirebiliyor ve tüm dokümanlarda anahtar söz araması esenyurt escort yapabiliyor LuoYu ekseriyetle Çin’de kurulan yabancı diplomatik kuruluşları akademik topluluğun üyelerini savunma lojistik ve telekomünikasyon şirketlerini hedefliyor Saldırganlar Windows aygıtlarına sızmak için WinDealer’ı kullanıyor
Tipik olarak makûs maksatlı yazılım makus etiler escort niyetli operatörün tüm sistemi denetim ettiği sabit kodlanmış bir Komuta ve Denetim sunucusu içeriyor Bu sunucu hakkındaki bilgiler tespit edildiğinde berbat maksatlı yazılımın etkileşimde bulunduğu makinelerin IP adresini bloke ederek eve gelen escort tehdidi etkisiz hale getirmek mümkün Lakin WinDealer hangi makineyle irtibat kurulacağını belirlemek için karmaşık bir IP algoritmasına güveniyor Bu 48 bin civarında IP adresini içeriyor ve operatörün adreslerin küçük bir fatih escort kısmını bile denetim etmesini neredeyse imkânsız hale getiriyor Bu imkânsız görünen ağ davranışını açıklamanın tek yolu saldırganların kelam konusu IP aralığında değerli müdahale yeteneklerine sahip olduğunu ve hiçbir maksada ulaşmayan ağ paketlerini dahi okuyabildiğini varsayımından geçiyor
Bu stil atakların bilhassa yıkıcı olmasının sebebi başarılı bir bulaşmaya yol açmak için amaçla rastgele bir etkileşim gerektirmemesi Yalnızca internete bağlı bir makineye sahip olmak bile kâfi Ayrıyeten trafiği öteki bir ağ üzerinden yönlendirmenin haricinde kullanıcıların kendilerini bu akından korumak için yapabilecekleri hiçbir şey yok Bu muhafaza bir VPN ile sağlanabilse de bölgeye bağlı olarak VPN bir seçenek olmayabilir ve Çin vatandaşlarının büyük bir kısmı tarafından kullanılamayabilir
LuoYu kurbanlarının büyük çoğunluğu Çin’de bulunuyor Bu nedenle Kaspersky uzmanları LuoYu nun yüklü olarak Çince konuşan kurbanlara ve Çin ile ilgili kuruluşlara odaklandığına inanıyor Bununla birlikte Kaspersky araştırmacıları Almanya Avusturya Amerika Birleşik Devletleri Çek Cumhuriyeti Rusya ve Hindistan üzere öteki ülkelere yönelik akınlar da keşfettiler
Kaspersky Global Araştırma ve Tahlil Grubu GReAT Kıdemli Güvenlik Araştırmacısı Suguru Ishimaru şunları söylüyor: “LuoYu, sadece en üst seviye saldırganların kullanabileceği cinste fonksiyonellikten yararlanabilen, son derece karmaşık bir tehdit odağı olarak öne çıkıyor. Bu çeşit yetenekleri nasıl geliştirebildikleri konusunda yalnızca spekülasyon yapabiliriz. Bir aygıta saldırmak için gereken tek şart aygıtın internete bağlı olmasıdır ve man-on-the-side akınları son derece yıkıcıdır. Hücum birinci seferde başarısız olsa bile saldırganlar başarılı olana kadar süreci tekrarlayabilirler. Bu halde ekseriyetle diplomatlar, bilim insanları ve öbür kilit dallardaki çalışanlardan oluşan kurbanlarına yönelik son derece tehlikeli ve başarılı casusluk hücumları gerçekleştirebilirler. Hücum nasıl gerçekleştirilmiş olursa olsun, potansiyel kurbanların kendilerini savunmasının tek yolu son derece uyanık davranmaktan, nizamlı antivirüs taramaları, giden ağ trafiğinin tahlili ve anormallikleri tespit etmek için kapsamlı günlük kaydı üzere sağlam güvenlik prosedürlerine sahip olmaktan geçiyor.”
WinDealer hakkında raporun tamamı Securelist ’te okunabilir.
Bu üzere gelişmiş tehditlerden korunmak için Kaspersky şunları öneriyor
- Normal antivirüs taramaları giden ağ trafiğinin tahlili ve anormallikleri tespit etmek için kapsamlı günlük kaydı içeren sağlam güvenlik prosedürleri kurgulanmalıdır
- Ağların siber güvenlik kontrolünü gerçekleştirilmelidir ve ağın etrafında yahut içinde keşfedilen tüm zayıflıklar giderilmelidir
- Anti APT ve EDR tahlilleri kullanılmalıdır SOC takımının en son tehdit istihbaratına erişimi sağlanmalıdır ve profesyonel eğitimlerle nizamlı olarak marifetleri yükseltilmelidir Üsttekilerin tümü Kaspersky Expert Security çerçevesinde mevcuttur.
- Uygun uç nokta muhafazasının yanı sıra özel hizmetler de yüksek profilli hücumlara karşı korunmada yardımcı olabilir Kaspersky Managed Detection and Response hizmeti, saldırganlar maksatlarına ulaşmadan evvel atakları erken basamaklarında belirlemeye ve durdurmaya yardımcı olur.
- İşletmelere yüksek seviyede güvenlik sağlamak için yeni tehditlerin farkında olunmalıdır Tehdit İstihbaratı Kaynak Merkezi, devam eden siber hücumlar ve tehditler hakkında bağımsız, daima güncellenen, global bilgilere fiyatsız olarak erişim sağlar.
Kaynak BHA Beyaz Haber Ajansı
