Duqu geri döndü!


Kaspersky Lab, Duqu benzeri bir saldırının Batı’da şirket içi sistemleri, Ortadoğu ve Asya’da ise yüksek profilli kişileri etkilediğini açıkladı.
Kaspersky, APT (gelişmiş kalıcı tehdit) türünde saptadığı bu saldırıyı Duqu 2.0 olarak adlandırmaya başladı.



Kaspersky tarafından yapılan açıklamada “Saldırı sıfır gün zayıf noktalarından faydalanıyor ve ayrıcalıklar etki alanı yöneticisine yükseltildiğinde zararlı yazılım, sistem yöneticileri tarafından uzak Windows bilgisayarlara yazılım dağıtmak için yaygın olarak kullanılan MSI (Microsoft Yazılım Yükleyici) dosyaları aracılığıyla ağ üzerinden yayılıyordu. Siber saldırı arkasında herhangi bir disk dosyası bırakmamı ya da sistem ayarlarını değiştirmemiş ve algılamayı son derece zorlaştırmıştır. ‘Duqu 2.0’ grubunun felsefesi ya da düşünüş biçimi, APT dünyasında bilinen her şeyin önünde olan bir nesle aittir” denildi.

Açıklama şöyle devam etti: “En dikkat çekici olanı da 2014-2015 arasındaki yeni virüslerin, İran ile yapılan nükleer anlaşma görüşmelerine ilişkin P5+1 etkinlikleri ve toplantılarıyla bağlantılı olmasıdır. Duqu’nun ardındaki tehdit aktörünün, üst düzey görüşmelerin yapıldığı toplantılarda saldırılar başlattığı görülmüştür. P5+1 etkinliklerine ek olarak Duqu 2.0 grubu, Auschwitz-Birkenau’nun kurtuluşunun 70. yıldönümüyle ilgili benzer bir saldırı başlattı. Bu toplantılara birçok yabancı lider ve politikacı katılmıştı.”

Teknik Bilgiler

Duqu 2.0 hakkındaki tüm teknik bilgiler Securelist adresinde yayınlandı.

İlk sonuçlar:

  1. Saldırı, kötü şöhretli 2011 Duqu APT saldırısının arkasındaki grup tarafından dikkatli bir şekilde planlanmış ve yürütülmüştür. Kaspersky Lab bunun bir ülke tarafından desteklenen bir kampanya olduğuna inanmaktadır.
  2. Kaspersky Lab, saldırının asıl hedefinin şirketin en yeni teknolojileri hakkında bilgi toplamak olduğuna inanmaktadır. Saldırganlar özellikle Kaspersky Lab Güvenli İşletim Sistemi, Kaspersky Dolandırıcılık Engelleme, Kaspersky Güvenlik Ağı ve Anti-APT çözümleri ve hizmetleri dahil ürün yeniliklerinin ayrıntılarıyla ilgileniyorlardı. Ar-Ge dışı departmanlar (satış, pazarlama, iletişim, hukuk) saldırganların ilgi alanlarının dışındaydı.
  3. Saldırganların erişim sağladığı bilgiler şirketin ürünlerinin çalışması için hiç bir şekilde kritik değildi. Bu saldırı hakkında edindiği bilgilerle Kaspersky Lab, kendi BT güvenliği çözüm portföyünün performansını geliştirmeye devam edecektir.
  4. Saldırganlar ayrıca Kaspersky Lab’ın gelişmiş hedefli saldırılarla ilgili mevcut araştırmalarına da büyük bir ilgi gösterdiler; şirketin, karmaşık APT saldırılarını algılama ve bunlarla mücadele etme konusunda en gelişmiş ve itibarlı şirketlerden biri olduğunu muhtemelen biliyorlardı.
  5. Saldırganların üç adede kadar sıfır gün zayıf noktasından faydalanabildiği görülmüştür. Son kalan sıfır gün (CVE-2015-2360), Kaspersky Lab uzmanlarının raporunun ardından Microsoft tarafından 9 Haziran 2015 (MS15-061) günü yamalanmıştır.



“Zararlı program sistemdeki varlığını gizlemek için gelişmiş bir yöntem kullanmıştır: Duqu 2.0 kodu sadece bilgisayarın belleğinde yer alır ve sabit disk üzerindeki tüm izlerini silmeye çalışır” deniliyor.

Büyük Resim

Kaspersky Lab Global Araştırma ve Analiz Ekibi Direktörü Costin Raiu şunları söyledi: “Duqu’nun ardındaki insanlar en becerili ve güçlü APT gruplarından biridir ve radardan gizlenmek için mümkün olan her şeyi denemişlerdir. Bu son derece sofistike saldırıda, çok etkileyici bir şekilde üç adede kadar sıfır gün zayıf noktasından faydalanılmış olması, maliyetinin oldukça yüksek olduğunu düşündürmüştür. Zararlı yazılım gizli kalmak için sadece çekirdek bellekte kalmış ve zararlı yazılım önleme çözümleri algılamada zorluk çekmiştir. Ayrıca talimatları almak için doğrudan bir komuta ve kontrol sunucusuna da bağlanmamıştır. Bunun yerine saldırganlar, şirket içi ağdan saldırganların komuta ve kontrol sunucularına giden trafiğin tamamına vekalet eden kötü niyetli sürücüler yükleyerek ağ geçitlerine ve güvenlik duvarlarına virüs bulaştırmıştır.”

Kaspersky Lab CEO’su Eugene Kaspersky şu yorumlarda bulundu: “Siber güvenlik şirketlerinde casusluk yapmak çok tehlikeli bir eğilimdir. Güvenlik yazılımı, donanım ve yazılım ekipmanlarının atlatılabildiği modern dünyada şirketler ve müşteriler için korumanın son sınırıdır. Dahası, benzeri hedefli saldırılarda uygulanan teknolojiler er ya da geç teröristler ve profesyonel suçlular tarafından ele geçirilecek ve kullanılacaktır. İşte bu son derece ciddi ve olanaklı bir senaryodur.” Eugene Kaspersky sözlerine şu şekilde devam etmiştir:
“Bu tür vakaların bildirilmesi dünyayı daha güvenli bir hale getirmenin tek yoludur. Bu şekilde kurumsal altyapıların güvenlik tasarımları geliştirilebilir ve zararlı yazılım geliştiricilerine dosdoğru bir mesaj iletilebilir: tüm yasadışı operasyonlar engellenecek ve yargılanacaktır. Dünyayı korumanın tek yolu kolluk kuvvetleri ve güvenlik şirketlerinin bu saldırılarla açık bir şekilde mücadele etmesini sağlamaktır. Saldırıları kaynaklarına bakmaksızın açıklamaya devam edeceğiz.”

Duqu 2.0’a karşı koruma prosedürleri Kaspersky’nin ürünlerine eklendi. Kaspersky Lab’ın ürünleri bu tehdidi HEUR:Trojan.Win32.Duqu2.gen olarak algıladı.

Duqu 2.0 zararlı yazılımı hakkında daha fazla bilgiyi ve Risk Göstergelerini teknik raporda bulunabilir.

APT’lerin azaltılmasıyla ilgili genel kılavuz “4 basit stratejiyi kullanarak tüm hedefli saldırıların %85’i nasıl engellenir” makalesinde yer alıyor.

Computerworld