Trend Micro’nun güvenlik uzamanlarından David Sancho ve Nart Villeneuve yeni keşfedilen LURID ağıyla ilgili olarak ayrıntılı bilgi verdikleri bir makaleyi Trend Micro Blog sayfasından yayına aldılar.

Trend Micro’nun Türkiye distribütörü Helyum Bilişim‘in Pazarlama Uzmanı Elvan Güleç tarafından Türkçe’ye çevrilen makalede aşağıdaki bilgiler paylaşıldı;

Trend Micro’nun keşfettiği oldukça ilginç bir saldırı ağı olan LURID’in 61 farklı ülkede 1465 bilgisayarı etkilediği bildirildi.

Şimdiye kadar içlerinde; diplomatların, bakanların, uzay ile ilgili hükümet ajanslarının, diğer şirket ve araştırma enstitülerinin bulunduğu 47 kurbana ulaşılabildi.

Bu saldırılardan en çok etkilenen ülkeler; Rusya, Kazakistan ve Vietnam oldu. Bunun dışında birçok başka ülke de -özellikle bağımsız devletler topluluğundaki ülkeler- bu saldırıdan etkilendi.

300’den fazla hedefli saldırılardan oluşan bu saldırı silsilesi, saldırganlar tarafından bağlantılı zararlının içine gömülmüş özgün bir tanımlama aracı sayesinde görüntülenebiliyor.

Yapılan analizler, saldırıların belirli coğrafik bölgelerde hedeflendiğini ayrıca kimi saldırıların kişi bazında belirli hedeflerin olduğunu ortaya çıkardı.

Saldırganlar, kontrol ve yönetim amacıyla kendileriyle bağlantılı 15 domain adı aldı ve 1465 kurban üzerinde kalıcı kontrolü sağlayabilmek için 10 aktif IP adresi kullandı.

Enfal olarak da bilinen Lurid Downloader; çok bilinen bir zararlı ailesinden olsa da, “tool kit” anlamında herkes tarafından ulaşılabilir bir konumda değil.

Bu zararlı ailesi geçmişte hem Amerikan Hükümetine karşı hem de hükümet dışı organizasyonlara karşı kullanıldı. Yine de, bu belirli ağ ile öncekileri arasında direkt bir bağlantı bulunamadı.

{pagebreak::Gelişmiş kalıcı tehditler}

Bunun gibi hedefli saldırılar Advanced Persistent Threats (Gelişmiş kalıcı tehditler) olarak adlandırılıyor. Hedef, kendisini ekteki dosyayı açmasına ikna yeteneği yüksek bir e-posta alıyor. Saldırganlar tarafından yollanan bu dosyalar; Adobe Reader, Microsoft Office gibi popüler yazılımların açıklarını buluyor.

Zararlı, hedefin bilgisayarında sessizce çlıştırılıyor. Bu saldırganların bilgisayar üzerindeki kontrolü ele geçirmelerini ve bilgi toplamalarını sağlıyor.

Daha sonra saldırganlar, hedefin bilgisayarından ağa çıkarak, ağdaki gizliliği ihlal edilmiş diğer bilgisayarlar üzerinde de kontrol sağlıyorlar. Bu saldırılar, hedefin bilgisayarındaki hassas bilgileri bulmak ve çıkarmak amacıyla yapılıyor.

{pagebreak::Saldırının Anatomisi}

Saldırının Anatomisi

İleri Seviye: Hem tehlikeli ekran koyucular içeren RAR dosyaları hem de CVE-2009-4324, CVE-2010-2883 içeren Adobe Reader için olan güvenlik açıklarını kullanan, tutarlı bir şekilde devam eden, hedefli saldırı kampanyalarıdır.

Saldırının doğrultusunun aksine; Lurid zararlısı, tehdide maruz kalan kişinin sisteminde çalışır ve aynı kontrol-yönetim sunucularına bağlanmasına neden olur. Saldırganlar her zaman “zeroday” diye adlandırılan güvenlik açıklarına güvenmezler; genellikle daha eski, bilinir güvenlik açıklarını kullanırlar.

Kalıcılık: Araştırmalar sırasında, kötücül yazılım tarafından kullanılan iki adet kalıcı mekanizmaya rastlandı. Bir versiyon, sürekliliğini sağlayabilmek için bir Windows servisi yüklediğinde; diğeri sadece genel başlangıç dosyasını özel olarak yarattığı başka bir dosya ile değiştirerek, kendini sistem dosyasına kopyalar. Daha sonra da tüm otomatik başlat maddelerini kopyalar.

Tehdit: Kötücül yazılım, virüslü bilgisayarlardan bilgileri alır ve HTTP POST aracılığıyla C&C sunucularına gönderir. Bu sayede saldırganlar, dosya alma ve gönderme gibi pek çok işlemi virüslü bilgisayarlar üzerinden gerçekleştirebilirler. Trend Micro araştırmacıları gerçekleri olmamakla birlikte bu komutlardan bazılarına sahipler.

C&C sunucularından kurtarılabilen verilere göre:

1465 adet yönetici
2272 adet harici IP Adresi kullanıldığı belirtiliyor.

Mağdur olan ilk 10 ülke ise aşağıdaki gibi sıralanıyor:

Rusya 1063

Kazakistan 325

Ukrayna 102

Vietnam 93

Özbekistan 88

Beyaz Rusya 67

Hindistan 66

Kırgızistan 49

Moğolistan 44

Çin 39

 

Araştırmacılar, saldırganların hangi bilgilere ulaşmayı hedeflediğini tam olarak bilemese de; genelde belirli dosyalara ulaşmaya çalıştıklarını belirttiler.

Lurid” ağının ortaya çıkmasıyla, bu tarz saldırılara karşı neler yapılması gerektiğine dair pek çok bilgi edinildiği bir gerçek. Belki de bu saldırıların tek iyi yanının, savunma stratejileri geliştirebilmek, kötücül yazılımların ve üreticilerinin amaçlarının neler olduğunu keşfetmeye bir adım daha yaklaşabilmek olduğu söylenebilir.

:: LURID ile ele geçirilmek istenen belgeler neler olabilir?