Günümüz teknoloji dünyasında iş hayatımızın dijital dünyadaki “değeri” artmaya ve “önemi” ön plana çıkmaya devam ederken, siber saldırganlar da tekniklerini ve hedeflerini geliştirmeye devam ediyor. Bu değer ve önem kritik olduğu sürece siber saldırganları daha sık ve daha etkili görmeye başlayacağız. Bu duruma örnek olarak gösterebileceğimiz bir olay geçtiğimiz günlerde yaşandı.
Google Thread Analysis Group (TAG)’ın 25 Ocak 2021 tarihinde yayınladığı “New campaign targeting security researchers” başlıklı yazısına göre, farklı şirketlerde ve organizasyonlarda çalışan zafiyet araştırmacılarını hedef alan kritik bir saldırı gerçekleştirildi. Evet, yanlış duymadınız. Siber saldırganların, siber güvenlik uzmanlarını profesyonelce ve planlı bir şekilde hedefleyerek saldırı yaptıkları belirlendi.
Saldırıyı gerçekleştiren grup ilk aşamada siber güvenlik araştırmacıları ile Twitter, LinkedIn, Telegram, Discord, Keybase ve E-Mail yoluyla iletişime geçerek ilk adımı attıklarını görüyoruz. Sosyal ağlar ve mesajlaşma uygulamaları kullanılarak siber güvenlik araştırmacılarına ulaşan saldırganlar, güven kazanmak için birçok sahte twitter profilleri oluşturup, bu hesapların beslediği sahte bir araştırma blogu (https://blog.br0vvnn[.]io) dahi hayata geçirdiler.
Açılan bu sahte araştırma blogunda public zafiyetlerle ilgili analiz ve yazılara yer veren siber saldırganlar bir siber güvenlik araştırmacısı gibi hareket ettikleri görülüyor. Aynı zamanda blog içeriklerinin güven vermesi için gerçek güvenlik araştırmacıların yazılarını kopyaladıklarını ve gerçek bir güvenlik araştırmasıcı kimliğine büründükleri ortaya çıktı.
Sosyal Mühendislik Teknikleri
Aslında hedefleri güvenlik araştırmacılarına ulaşmak, onlara bir siber saldırı gerçekleştirmekti. Siber saldırının ilk ayağını 12 Ocak 2021 tarihinde YouTube’a yüklenen “Microsoft Malware Protection Engine” videosu ile başladı. “CVE-2021-1647” kodlu RCE zafiyetinin exploit edildiğini ve çalıştığını gösteren bir video yayınlanmıştı.
Saldırganlar videoda exploiti çalışıtırıp Cmd.exe Shell alabiliyorlardı. Elbette ki video’nun altına atılan birçok yorumda video’nun sahte oluğunu belirtildi. Ancak siber saldırganlar bununla kalmayarak açmış oldukları birçok sahte Twitter hesabından videonun sahte olmadığını ve zafiyetin gerçekten de çalıştığını belirten paylaşımlarda bulundular.
İkinci adımda ise sosyal mühendislik tekniklerini kullanarak hedefler ile iletişime geçmeye başladılar. Saldırganlar iletişime geçebildikleri araştırmacılara “ortak proje de çalışmakla ilgili teklifte bulunup” araştırmayı beraber yürütmek istediklerini iletiyorlar. Sonrasında ise siber güvenlik araştırmacıları ile bir Visual Studio Projesi paylaşarak sözde bir güvenlik araştırmasına beraberce adım atıyorlar.
Mükemmel bir sosyal mühendislik tekniği olduğunu belirtmek isteriz. Visual Studio Projesi içerisinde zararlı bir DLL dosyası ile birlikte geliyor.
Visual Studio Projesinde exploitin kaynak kodu ile birlikte bir DLL dosyası bulunuyor. Bu DLL dosyası ise siber saldırıda sonraki aşama için kullanılıyor. DLL dosyası aslında Visual Studio Build Events’da çalıştırılan ve saldırganın komuta kontrol sunucusu ile iletişime geçen bir zararlı yazılım olduğu tespit edildi.
Siber güvenlik araştırmacıları aslında zekice ve planlı olarak hazırlanan bu sosyal mühendislik saldırısına kurban olmuşlardı. Tam olarak sayısı bilinmese de bu saldırıdan etkilenen birçok siber güvenlik araştırmacısı olduğu belirtiliyor.
Elbette ki siber saldırganlar bununla da kalmadılar. Saldırıya ek olarak, hayata geçirdikleri sahte güvenlik araştırmacısı blogunu https://blog.br0vvnn[.]io ziyaret eden kişilerin sistemlerine zararlı servislerin çalışmaya başladığı ve sistemlerinde komuta kontrol sunucuna bir arka kapı (backdoor) açıldığı da ortaya çıktı.
Bu ziyaretler sırasında araştırmacıların sistemlerin güncel ve patchli Windows 10 olduğu ve Chrome’un son versiyonda olduğu raporlanmış. Yani kullanmış oldukları teknikler arasında Zero Day saldırıları olduğunu da rahatlıkla söyleyebiliriz.
Google, Chrome sistemin ele geçirilmesine olanak sağlayan mekanizmayı doğrulayamıyor. Bu konuyla ilgili bilgisi olan kişilere veya Chrome zafiyeti bulan kişilere “Chrome’s Vulnerability Reward Program” dahilinde para ödülü sağladığı Google tarafından belirtildi. Bu ciddi ve kritik durum sonucunda Google’ın Chrome tarayıcısında bir Zero Day zafiyeti olduğunu söylemek dahi güvenlik araştırmacılarını tedirgin etmeye yetiyor.
Saldırganların kullandığı Twitter, LinkedIn ve KeyBase hesapları bu olay ortaya çıktığında kapatıldı. Yine de kesin bir açıklama yapılana kadar saldırganın blog sayfası veya komuta kontrol sunucuları kesinlikle hiçbir tarayıcıdan ziyaret edilmemesini tavsiye ediyoruz. Bu saldırıya maruz kalan / kaldığını düşünen siber güvenlik uzmanları için aşağıdaki kontrol mekanizmalarını incelemelerini tavsiye ediyoruz.
Eğer sisteminizde aşağıdaki komuta kontrol sunucularından biri ile iletişime geçen, kayıt defteri anahtarlarında erişim gerçekleştirmiş veya dosyalardan birini oluşturmuş bir proses var ise sizde bu saldırıya maruz kalmış olabilirsiniz.
Komuta Kontrol Domainleri
- angeldonationblog[.]com
- codevexillium[.]org
- investbooking[.]de
- krakenfolio[.]com
- opsonew3org[.]sg
- transferwiser[.]io
- transplugin[.]io
- trophylab[.]com
- www.colasprint[.]com
- www.dronerc[.]it
- www.edujikim[.]com
- www.fabioluciani[.]com
Kayıt Defteri Anahtarları
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\KernelConfig
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\DriverConfig
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SSL Update
Dosya Dizinleri
- C:\Windows\System32\Nwsapagent.sys
- C:\Windows\System32\helpsvc.sys
- C:\ProgramData\USOShared\uso.bin
- C:\ProgramData\VMware\vmnat-update.bin
- C:\ProgramData\VirtualBox\update.bin
Müthiş bir senaryo ve zekice hazırlanan bu sosyal mühendislik saldırısının yanı sıra aslında en önemli olan noktanın, siber saldırganların browser üzerinden komut çalıştırabiliyor olmalarıdır. Bu nokta üzerinde çok fazla konuşulmamasına rağmen siber saldırganların böyle bir zafiyetle hareket ettiklerini düşünmek dahi ürtükücü olacaktır.
Eğer bu zafiyet ile bir tarayıcı üzerinden sistemlerde komut çalıştırılabiliyorsa şu an birçok kişinin enfekte olduğunu varsayabiliriz. Yakın bir zamanda daha önce ziyaret etmediğiniz bir web sitesini ziyaret ettiğinizi tespit ederseniz sisteminizde bir inceleme yapmanızı tavsiye ederiz. Bu saldırının Chrome üzerinde olduğu düşünülen bir zafiyet kullanılarak yapıldığı söylense de diğer tarayıcılarda da benzeri bir zafiyete olabileceği düşünülebilir.
Elbette ki akıllarda kalan en önemli soru ise; siber saldırganların, güvenlik araştırmacılarını hedeflemekteki amaç neydi?