Saldırganlar, büyük şirketlerin kullandığı yazılıma arka kapı gizledi

Kaspersky Lab uzmanları dünya çapında yüzlerce büyük şirket tarafından kullanılan bir sunucu yönetimi yazılımına yerleştirilmiş bir arka kapı keşfetti.

Saldırganlar, büyük şirketlerin kullandığı yazılıma arka kapı gizledi

Shadowpad bugüne kadar bilinen en büyük tedarik zinciri saldırılarından biri olarak karşımıza çıkıyor. Eğer bu kadar hızlı bir şekilde fark edilip gerekli yama yapılmasaydı, potansiyel olarak dünya çapında yüzlerce kuruluşu hedef alabilirdi.

Her şey Kaspersky Lab’ın Küresel Araştırma ve Analiz Ekibi’nin (GReAT) 2017 Temmuz ayında iş ortaklarından biri olan bir finans kuruluşundan bir haber almasıyla başladı. Kuruluşun güvenlik uzmanları, finansal işlemlerin işlenmesinde kullanılan bir sunucudan gelen bazı şüpheli DNS (alan adı sunucusu) talepleri konusunda endişeleniyordu. Yapılan incelemeler sonucunda, söz konusu taleplerin kaynağının güvenilir bir şirket tarafından üretilmiş olan ve finansal hizmetler, eğitim, telekomünikasyon, üretim, enerji ve taşımacılık gibi sektörlerde faaliyet gösteren yüzlerce şirket tarafından kullanılan bir sunucu yönetimi yazılımı olduğu anlaşıldı. En endişe verici olan bulgu ise, yazılımın sağlayıcısı olan şirketin, yazılımı bu tür talepler göndermek üzere tasarlamamış olmasıydı.

Kaspersky Lab’ın yaptığı incelemelerin devamında, şüpheli taleplerin aslında söz konusu yazılımın güncel bir sürümünün içerisine gizlenmiş olan zararlı bir modülün faaliyetlerinden kaynaklandığı anlaşıldı. Zararlı modül, enfekte olmuş bir yazılım güncellemesinin yüklenmesini takiben, belirli bir takım alan adlarına (kendi komuta ve kontrol sunucusuna) sekiz saatte bir DNS talepleri göndermeye başlıyordu. Talepler, kurbanın sistemi hakkında temel bilgiler içeriyordu. Saldırganların söz konusu sistemi kayda değer bulması durumunda, komuta sunucusu yanıt verip, saldırılan bilgisayara kendisini sessizce konuşlandıran tam teşekküllü bir arka kapı platformunu faaliyete geçiriyordu. Ardından, saldırganların talebi üzerine, arka kapı daha fazla zararlı kodu sisteme indirip yürütmeye hazır oluyordu.

1502875018_1502872971servers.jpg

Yapılan keşfin ardından Kaspersky Lab araştırmacıları NetSarang’ı uyararak, yazılım için hızlı bir şekilde bir güncelleme yayınlamasını sağladı.

Zararlı modülün şimdiye kadar bazı Hong Kong’da faaliyete geçtiği görüldü, fakat Kaspersky Lab araştırmacılarına göre dünya çapında birçok sistemde, özellikle de en son güncellemenin yüklenmemiş olduğu durumlarda pasif bir şekilde bekliyor olabilir.

Saldırganlar tarafından kullanılan araçları, teknikleri ve prosedürleri inceleyen Kaspersky Lab uzmanları, Winnti APT adlı Çince konuşan siber casusluk grubunun kullandığı PlugX zararlı yazılımının varyantlarına işaret eden bazı benzerlikler ortaya çıkardı. Bu bilgi, her şeye rağmen, olanları bu grup ile ilişkilendirmek için yeterli görülmüyor.

Tüm Kaspersky Lab ürünleri ShadowPad’i “Backdoor.Win32.ShadowPad.a” adıyla tespit ediyor ve koruma sağlıyor.

Kaspersky Lab, kullanıcılarına bir an önce NetSarang yazılımının zararlı modülü içermeyen en güncel sürümünü kullanmalarını ve sistemlerinde sıradışı alan adlarına gönderilen DNS talepleri olup olmadığına bakmalarını öneriyor.