Kaspersky araştırmacıları 2019’dan beri etkin olan ve Asya ve Afrika’daki bölgesel diplomatik kuruluşları gaye alan orta kafa ask izle gelişmiş kalıcı tehdit APT kampanyası TunnelSnake’i ortaya çıkardı Saldırganlar bunun için daha evvel bilinmeyen Moriya isminde bir rootkiti kulandılar İşletim sistemi üzerinde neredeyse mutlak güce sahip olan bu makûs gayeli oussekine izle rootkit tehdit aktörlerinin ağ trafiğini engellemesini ve virüs bulaşmış ana bilgisayarlara gönderilen berbat hedefli komutları gizlemesini sağladı Bu saldırganların hedeflenen kuruluşların ağlarını birkaç ay boyunca gizlice denetim etmesiyle sonuçlandı
Saldırganlara oyunlar holding izle virüs bulaşmış bir bilgisayara neredeyse sınırsız ve saklı erişim yetkisi sağlayan makus maksatlı programlar yahut yazılım araçları rootkit olarak isimlendiriliyor Rootkitler işletim sisteminin yapısına ahenk sağlama yetenekleri nedeniyle saklılık ve ozcan show izle tespitten kaçabilmeleriyle ünlü Yıllar boyunca Microsoft tarafından sistemleri korumak için alınan tedbirler sayesinde rootkit bileşenlerinin başarılı bir formda yerleştirilmesi ve yürütülmesi sıkıntı bir misyon haline geldi Bu nedenle birçok Windows pam tommy izle rootkit artık TunnelSnake üzere yüksek profilli APT ataklarında kullanılıyor
Kaspersky kampanyayla ilgili yaptığı araştırmada hedeflenen ağlarda eşsiz bir rootkit tespit etmesinin akabinde eserlerinden emsal bir dizi ihtar almaya başladı Moriya paper girls izle olarak isimlendirilen bu rootkit işletim sistemi çekirdeğinin bulunan olarak sadece ayrıcalıklı ve muteber kodun çalıştığı bir bellek bölgesi olan Windows çekirdeğinin adres alanından geçen ağ paketlerini yakalıyor ve denetliyor Bu parallels izle berbat hedefli yazılımın kendisine teslim edilen eşsiz makûs maksatlı paketleri işletim sisteminin ağ yığını tarafından işlenmeden evvel yakalamasına müsaade veriyor
Bu teknik sayesinde saldırganlar güvenlik tahlilleri tarafından tespit edilmekten kaçınmayı parks and recreation izle başardı İkinci olarak rootkit yaygın kullanılan art kapılardan farklı olarak komut istemek için rastgele bir sunucuya ulaşma yoluna gitmedi Bunun yerine bunları makus gayeli yazılımın incelediği ağ trafiğinin büyük bir pavyon izle kısmıyla harmanlanmış özel olarak işaretlenmiş paketler halinde teslim aldı Bu teknik rootkitin komuta denetim altyapısını sürdürme gereksinimini ortadan kaldırmasına tahlilleri engellemesine ve aktivitesini gizlemesine müsaade verdi
Moriya çoğunlukla hedeflenen tertip pera palasta gece yarisi izle içindeki savunmasız web sunucularına yönelik akınlar sonucunda konuşlandırıldı Bir örnekte saldırganlar virüslü sunucunun uzaktan denetimine müsaade veren berbat hedefli bir kod olan China Chopper web kabuğunu sunucuya bulaştırdı Bu web kabuğu ile elde edilen erişim sayesinde Moriya dağıtılmış oldu
Ayrıca saldırganların lokal ağdaki ana bilgisayarları taramasına yeni amaçlar bulmasına ve yanal hareket gerçekleştirmesine imkan tanıyan rootkit ile birlikte özel olarak yapılmış yahut daha evvel çeşitli Çince konuşan aktörler tarafından kullanıldığı görülen çeşitli araçlara da rastlandı
Kaspersky Global Araştırma ve Tahlil Grubu Kıdemli Güvenlik Araştırmacısı Giampaolo Dedola şunları söz ediyor “Söz konusu kampanyayı belli bir aktöre bağlayamasak da APT’de kullanılan gayeler ve araçlar Çince konuşan kümelerle ilişkili. Bu nedenle aktörün muhtemelen Çince konuştuğunu düşünüyoruz. Ayrıyeten 2018 yılında bağımsız bir hücumda kullanılan ve en az 2018’den beri etkin olan bir aktörün kullanıldığını gösteren, Moriya’nın eski bir versiyonuna da rastladık. Amaçların profili ve araç seti, kampanyadaki gayenin casusluk olduğunu gösteriyor.”
Kaspersky Global Araştırma ve Tahlil Grubu Kıdemli Güvenlik Araştırmacısı Mark Lechtik şunları ekliyor “Hedeflenen akınlara karşı daha âlâ savunma çizgisi kurma uğraşlarımıza tehdit aktörleri stratejilerini değiştirerek karşılık veriyorlar. Aktörlerin mümkün olduğunca uzun müddet radarın altında kalmak için ek adımlar attıkları, yeni araç setlerine yatırım yaptıkları, daha özel, karmaşık ve tespit edilmesi güç TunnelSnake üzere kampanyaları sıkça görüyoruz. Bununla birlikte son keşfimizde de görüldüğü üzere son derece kapalı araçlar da tespit edilebiliyor ve durdurulabiliyor. Bu, güvenlik tedarikçileri ve tehdit aktörleri ortasında devam eden bir yarış. Bu yarışta öne geçmek için siber güvenlik topluluğu olarak birlikte çalışmamız gerekiyor.”
Kaynak BHA Beyaz Haber Ajansı
