Dijital dünyada Suriye Tehdidi

Kasperskylab

Suriye kökenli zararlı yazılımlardan bölgedeki çoğu ülke etkilenirken, Türkiye bu ülkelerin arasında ilk sıralarda bulunuyor.

Orta Doğu’nun jeopolitik anlaşmazlıkları, son birkaç yıl içerisinde, özellikle Suriye’de derinleşti. Taraflar siber zekayı sömürüp gizleme yöntemlerinden faydalanarak çekişmeyi kendi lehlerine çekmeye çalışırken, buradaki sanal gerçeklik anlaşmazlığı giderek yoğunlaşıyor. Kaspersky Lab’ın en yeni tehdit araştırması, ileri sosyal mühendislik taktikleri dahil olmak üzere çeşitli teknikler kullanarak Suriye’yle ilgili pek çok zararlı yazılımı ortaya çıkardı. Kullanıcıların, Orta Doğu’daki kullanıcıları ve özellikle Suriye vatandaşlarını hedef almak üzere kullanılan bu teknikler ve araçlar konusunda bilgi sahibi olması gerekiyor.

Kaspersky Lab Global Araştırma ve Analiz Ekibi Kıdemli Güvenlik Araştırmacısı Ghareeb Saad, “Sosyal mühendislik, hızlı uygulama geliştirme ve kurbanın bütün sistemini ele geçirmeyi hedefleyen uzaktan yönetim araçları gibi faktörlerin kombinasyonu, masum kullanıcılar için endişe verici bir senaryo oluşturuyor. Suriyeli zararlı yazılım saldırılarının devam edeceğini ve hem nitelik hem de nicelik açısından gelişeceğini tahmin ediyoruz. Dolayısıyla kullanıcılar, özellikle şüpheli bağlantılar konusunda dikkatli olmalı, indirdikleri dosyaları iki kez kontrol etmeli, güvenilir ve kapsamlı bir güvenlik çözümü kurmuş olmalıdı.” şeklinde konuştu.

Son birkaç yılda bu ülkeyle ilgili sanal gerçeklik alanında pek çok faaliyetin gerçekleşmesiyle Suriye’deki siber saldırılar ön plana çıktı. Bir grup bilgisayar korsanından oluşan Suriye Elektronik Ordusu’nun pek çok medya kaynağı da dahil olmak üzere üst düzey kuruluşlara yapılan saldırılarla ilgisinin olduğu belirlendi.

Kaspersky Lab’in araştırması, siber suçluların kullanıcıların verilerine erişebilen zararlı yazılımlar oluşturmak için bölgedeki durumdan istifade ettiğini gösteriyor. Suriye’deki zararlı yazılımlar, hızlı yayılma ve çoğalma sağlamak için büyük oranda sosyal mühendisliğe ve güvenin geliştirilmesine dayanıyor. Zararlı yazılımlar; sahte antivirüs tarayıcıları, sosyal mesajlaşma uygulamaları, Trojan yerleştirilmiş yasal sistem hizmetleri, sosyal ağlardan indirilen dosyalar ve ücretsiz kamusal dosya paylaşım hizmetleri dahil olmak üzere farklı yollarla gizleniyor.

Analiz edilen örneklerde, siber suçlular genellikle klavyede basılan her tuşu neredeyse anında uzaktaki bir sunucuya göndermekle kalmayıp aynı zamanda virüsün bulaştığı sistemleri saldırganların saldırılarına karşı korunmasız hale getirdiği için kötü bir üne sahip uzaktan yönetim aracı (RAT) Dark Comet’in yardımıyla bütün sistemin izlenmesini sağlamaya çalışıyordu. Yüksek seviyeli programlama dillerinin kullanılması, zararlı yazılım yazıcılarının buluşlarını kolayca değiştirerek yeni zararlı yazılım kampanyalarının minimum çabayla test edilmesi ve hedeflenen saldırıların hiç zaman kaybetmeden gerçekleştirilmesi anlamına geliyor. Suriye’deki zararlı yazılımlar gelişiyor ve yakın zamanda hafifleyecekmiş gibi görünmüyor.

Araştırma, Suriye vatandaşlarını gizlice gözetlemek için zararlı yazılımlar yerleştirilerek yasal uygulamaların bile kullanıldığını gösteriyor. Gözetime karşı koruma sağlayan güvenlik uygulamaları sunmak, kullanıcıları gizlilik konusunda bu şüpheli programları çalıştıracak kadar umutsuz hale getirmek için zararlı yazılım yazan gruplar tarafından kullanılan pek çok teknikten biri. Bunun bir örneği, “yasal” araç bütünüyle kurulana kadar bütün zararlı faaliyetleri gizlerken sistem bilgilerini taşımak için siber suçlular tarafından değiştirilen Total Network Monitor yazılımının bir sürümü.

Tuzağı anlamak

Suriye’deki zararlı yazılımlar, büyük oranda sosyal mühendisliğe ve teknolojik açıdan daha karmaşık zararlı yazılım değişkenlerinin aktif olarak geliştirilmesine dayanıyor. Bununla birlikte, yakından incelendikleri zaman bunların çoğu gerçek amaçlarını hemen ortaya koyuyor ve bu da Suriyeli kullanıcıların indirdikleri dosyaların kaynaklarını iki kez kontrol etmelerinin ve çok katmanlı bir yaklaşım uygulamalarının gerekmesinin temel nedenlerinden biri. Güncel ve orijinal bir antivirüs programına ve güvenlik duvarına sahip olmak, özellikle neredeyse her gün yeni siber tehditlerin ortaya çıktığı bu belirsiz zamanlarda herhangi bir çevrimiçi faaliyette bulunan kullanıcıların alması gereken ilk önlem olmalıdır.

Antivirüs yazılımları, zararlı yazılımı tespit etmek için imza ya da bulgusal tabanlı tespit yöntemini kullanıyor. İmza algılama, bir zararlı yazılım kodu parçasına özgü bir bayt sekansının aranmasını içerirken; bulgusal tespit, zararlı yazılımı programın davranışına göre tanımlıyor. Kaspersky Lab’ın araştırmasında Suriye vatandaşlarına ve Orta Doğu kullanıcılarına saldırmak için kullanılan 80’den fazla zararlı yazılım örneği toplandı. Bunların pek çoğunun halihazırda biliniyor olmasına rağmen, siber suçlular zararlı yazılım yapısını değiştirmek ve imza algılamayı atlamak için çok çeşitli gizlenme araçlarına ve tekniklerine güveniyorlar. Bu da bu tür saldırılardan korunmak söz konusu olduğu zaman bulgusal teknolojilerin ne kadar kritik olduğunu kanıtlıyor. Kaspersky Lab’ın güvenlik çözümleri, bilinen zararlı yazılım türlerinin çeşitlerini ya da hatta yeni zararlı yazılım ailelerini tespit edebilme becerileri sayesinde koleksiyonda yer alan bütün örnekleri tespit etti.

Not:

Suriye’deki zararlı yazılımların örnekleri ve detayları

Siber suçlular, kullanıcıların dikkatini çekmek ve zararlı yazılımları yaymak için rahatsız edici videoların yayılmasını sağlıyor. Bunun bir örneği, videoyu izleyenlerde korku yaratmak ve halka açık bir dosya paylaşımı web sitesinden zararlı bir uygulamayı indirmelerini sağlamak için kullanılan, yakın zamanda yapılan bir bombalamanın yaralı kurbanlarını gösteren bir videoydu. Antivirüs çözümleri tarafından erken safhada tespit edilmesini önlemek için dosya, ticari bir program olan “MaxToCode” ile yoğun şekilde gizlenmişti. Ancak programın yürütülmesinden sonra, uzaktan erişim aracıyla iletişim kuran başka bir yürütülebilir dosya oluşturuluyordu. Böyle bir durumda güvenlik kurulumunun parçalarını devre dışı bırakmak, klavyede basılan bütün tuşları ve sistem bilgilerini kaydetmek ve Internet bağlantısı kurulduğu zaman bunları yeniden göndermek için Trojan kullanılıyor.

Kaspersky Lab tarafından incelenen zararlı yazılım örneklerinin arasında, iddialara göre aktivistleri listeleyen ve Suriye’deki bireyleri isteyen popüler bir sosyal ağ sitesinde bulunan bir grup sıkıştırılmış dosya yer alıyordu. Veritabanı uygulaması için indirme bağlantısı, bir videonun bilgi bölümüne eklenmişti ve kullanıcıları dosyanın yer aldığı bir dosya paylaşımı hizmetine yönlendiriyordu. Sıkıştırılan RAR dosyası, siber suçlular tarafından kullanılan bir uzaktan yönetim aracına sahip zararlı yazılımı içeriyordu.

Sahte antivirüs programları gibi sahte uygulamalar, siber suçlular arasında oldukça popüler. Zararlı yazılımların yayılması için hesap makineleri, oyun yükleyiciler ve daha fazlası kullanılıyor. Bu tür bir örnek, bir güvenlik tarayıcısını taklit eden bir zararlı uygulama olan “Ammazon Internet Güvenliği” uygulamasıydı. Bu kodun analizi, kullanıcı arabirimine bağlı pek çok işlevselliği ortaya çıkardı ancak gerçek güvenlik özellikleri sağlamıyordu. Sadece birkaç düğme ve dikkat edici bir isim sayesinde, Suriye’deki zararlı yazılım grupları, hedef aldıkları kurbanların tuzaklarına düşeceğini umuyorlar. “Güvenlik paketi” çalıştırıldığında bir uzaktan yönetim aracının sessizce yürütülmesi, kurbanların bilgisayarlarını korunmasız ve bir RAT kurulmuş hale getiriyor.

Masaüstü çalıştırma sistemleri için anlık mesajlaşma uygulamaları, zararlı yazılım programlarının yayılması için kullanılan araçların arasında yer alıyor ve Suriyeli zararlı yazılım yazıcıları da bunlardan fayda sağlıyor. “Ammazon Internet Güvenliği” programının aksine, bu örnekler grafiksel bir kullanıcı arabirimine ya da hatta kullanıcıyı güvenliği konusunda kaygılanması için uyaran bir mesaja sahip değil; bunlar doğrudan sisteme virüs bulaştırmak için ilerliyor.

Daha fazla bilgi edinmek için, Securelist.com adresinde yer alan web günlüğü iletisini okuyun.

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

*