Trend Micro, 61 farklı ülkede 1465 bilgisayarı etkileyen, LURID adıyla bilinen, seri halinde yapılan hedefli saldırıları keşfetti. Şimdiye kadar içlerinde; diplomatik misyonerlerin, hükümet bakanlarının, uzay ile ilgili hükümet ajanslarının, diğer şirketler ve araştırma enstitülerinin bulunduğu 47 kurbana ulaşılabildi.

Bu saldırılardan en çok etkilenen ülkeler; Rusya, Kazakistan ve Vietnam oldu. Bunun dışında birçok başka ülke de -özellikle bağımsız devletler topluluğundaki ülkeler- bu saldırıdan etkilendi.

Bu saldırı silsilesi 300’den fazla zararlı, hedefli saldırılardan oluşmaktadır ve saldırganlar tarafından bağlantılı zararlının içine gömülmüş özgün bir tanımlama aracı sayesinde görüntülenebilmektedir. Yapılan analizler, saldırıların belirli coğrafik bölgelerde hedeflendiğini ayrıca kimi saldırıların kişi bazında belirli hedeflerin olduğunu ortaya çıkardı. Saldırganlar, kontrol ve yönetim amacıyla kendileriyle bağlantılı 15 domain adı aldı ve 1465 kurban üzerinde kalıcı kontrolü sağlayabilmek için 10 aktif IP adresi kullandı.

Enfal olarak da bilinen Lurid Downloader; çok bilinen bir zararlı ailesinden olsa da, “tool kit” anlamında herkes tarafından ulaşılabilir bir konumda değildir. Bu zararlı ailesi geçmişte hem Amerika Hükümetine karşı hem de hükümet dışı organizasyonlara karşı kullanıldı. Yine de, bu belirli ağ ile öncekileri arasında direkt bir bağlantı bulunamadı.

Bunun gibi hedefli zararlı saldırıları Advanced Persistent Threats (Gelişmiş kalıcı tehditler) olarak adlandırılmaktadır. Hedef, kendisini ekteki dosyayı açmasına ikna yeteneği yüksek bir e-posta alır. Saldırganlar tarafından yollanan bu dosyalar; Adobe Reader, Microsoft Office gibi popüler yazılımların açıklarını bulur.

Zararlı hedefin bilgisayarında sessizce çalıştırılır. Bu saldırganların bilgisayar üzerindeki kontrolü ele geçirmelerini ve bilgi toplamalarını sağlar. Daha sonra saldırganlar, hedefin bilgisayarından ağa çıkarak, ağdaki gizliliği ihlal edilmiş diğer bilgisayarlar üzerinde de kontrol sağlar. Bu saldırılar, hedefin bilgisayarındaki hassas bilgileri bulmak ve çıkarmak amacıyla yapılır.

Saldırının Anatomisi

İleri Seviye: Hem tehlikeli ekran koyucular içeren RAR dosyaları hem de CVE-2009-4324CVE-2010-2883 içeren Adobe Reader için olan güvenlik açıklarını kullanan, tutarlı bir şekilde devam eden, hedefli saldırı kampanyalarıdır.

Saldırının doğrultusunun aksine; Lurid zararlısı, tehdide maruz kalan kişinin sisteminde çalışır ve aynı kontrol-yönetim sunucularına bağlanmasına neden olur. Saldırganlar her zaman “zeroday” diye adlandırılan güvenlik açıklarına güvenmezler; genellikle daha eski, bilinir güvenlik açıklarını kullanırlar.

Kalıcılık: Araştırmalar sırasında, kötücül yazılım tarafından kullanılan iki adet kalıcı mekanizmaya rastlandı. Bir versiyon, sürekliliğini sağlayabilmek için bir Windows servisi yüklediğinde; diğeri sadece genel başlangıç dosyasını özel olarak yarattığı başka bir dosya ile değiştirerek, kendini sistem dosyasına kopyalar. Daha sonra da tüm otomatik başlat maddelerini kopyalar.

Tehdit: Kötücül yazılım, virüslü bilgisayarlardan bilgileri alır ve HTTP POST aracılığıyla C&C sunucularına gönderir. Bu sayede saldırganlar, dosya alma ve gönderme gibi pek çok işlemi virüslü bilgisayarlar üzerinden gerçekleştirebilirler. Trend Micro araştırmacıları gerçekleri olmamakla birlikte bu komutlardan bazılarına sahipler.

C&C sunucularından kurtarılabilen verilere göre:

1465 adet yönetici
2272 adet harici IP Adresi kullanıldığı belirtiliyor.

Mağdur olan ilk 10 ülke ise aşağıdaki gibi sıralanıyor:

Rusya 1063
Kazakistan 325
Ukrayna 102
Vietnam 93
Özbekistan 88
Beyaz Rusya 67
Hindistan 66
Kırgızistan 49
Moğolistan 44
Çin 39

Araştırmacılar, saldırganların hangi bilgilere ulaşmayı hedeflediğini tam olarak bilemese de; genelde belirli dosyalara ulaşmaya çalıştıklarını belirttiler.

“Lurid” ağının ortaya çıkmasıyla, bu tarz saldırılara karşı neler yapılması gerektiğine dair pek çok bilgi edinildiği bir gerçek. Belki de bu saldırıların tek iyi yanının, savunma stratejileri geliştirebilmek, kötücül yazılımların ve üreticilerinin amaçlarının neler olduğunu keşfetmeye bir adım daha yaklaşabilmek olduğu söylenebilir.

Yazan: David Sancho and Nart Villeneuve – Trend Micro Senior Threat Researchers

Çeviren: Elvan Güleç – Helyum Bilişim Marketing Specialist

Kaynak: http://blog.trendmicro.com/trend-micro-exposes-lurid-apt/