Wikileaks’in Vault 7 serisi kapsamında yayınladığı belgelerden biri de CIA’in FBI, DHS ve NSA gibi diğer istihbarat teşkilatlarına yönelik dahi casusluk faaliyetleri yaptığı iddiasını içeriyor.
Belgelere göre CIA, ExpressLane adını verdiği bir yazılım ile diğer istihbarat birimlerinin kendisiyle bilgi paylaşımı yapıp yapmadığından emin olmak istiyor. Bu kapsamda görevliler aracılığyla 6 ayda bir diğer irtibat bürolarını ziyaret ederek gizli bir şekilde bilgisayarlardan yeni kaydedilmiş biyometrik verileri topluyor.
CIA, biyometrik veri tabanını, bir CIA görevlisinin irtibat bürolarını 6 ayda bir ziyaret edip bir güncelleme yapmasını gerektirecek şekilde tasarlamış. Buna göre; CIA’in görevlisi sözkonusu güncellemeyi yapmazsa sistem çalışmıyor. CIA ajanı sahte güncellemeyi yapmak üzere flaş diski yerleştirince aynı zamanda bilgisayarlara ExpressLane yüklenmiş oluyor.
Sözkonusu uygulama, Windows’un basit bir güncelleştirme durum çubuğu gibi görünen bir açılış ekranı gösteriyor. Böylece irtibat bürosunun elemanları gerçekten güncelleme yapıldığını düşünüp, bir şeyden şüphelenmiyor. Fakat gerçekte ExpressLane, CIA ajanının son ziyaretinden beri hedefteki bilgisayarlara kaydedilen yeni biyometrik verileri topluyor.
Sızdırılan belgelere göre ExpressLane CIA’in Bilim ve Teknoloji Dairesi Başkanlığı (DST) için geliştirildi ve Teknik Hizmetler Bürosu (OTS) ile Kimlik İstihbarat Merkezi (I2C) tarafından kullanıldı.
Wikileaks’in iddiasına göre ExpressLane, biyometrik programlar konusunda uzman CrossMatch şirketi ile ortak geliştirilmiş bir yazılım. CrossMatch aynı zamanda emniyet teşkilatlarına biyometrik çözümler sağlayan bir şirket. Aynı şirket, ABD’nin 2011 yılında Usame Bin Ladin’in kimliğini ve yerini tespit ederken CrossMatch’in araçlarından faydalandığını iddia etmişti.
Wikileaks, Vault 7 kapsamında yayınlanan gizli bilgilerin hacker’lar ve içeriden bazı kişilerin yardımıyla CIA’den elde edildiğini iddia ediyor.
Siber Bülten abone listesine kaydolmak için doldurunuz
Wikileaks’in ABD Merkezi Haber Alma Teşkilatı CIA’in çok gizli siber bilgilerini sızdırmaya başlamasının üzerinden aylar geçti. Vault 7 adı altında sızdırılan belgeler dizisini yenilerinin takip edip etmeyeceği merak konusu olmaya devam ediyor. Bu zamana kadar sızdırılan bilgiler arasında ise çok çarpıcı detaylar yer alıyor.
Wikileaks Vault 7 kapsamında en son ağustos ayının sonunda belge sızdırmıştı. Bu son belgeye göre Windows işletim sistemi kullanan cihazlar CIA’in Angelfire adını verdiği sistemin hedefinde bulunuyor.
Belgeye göre Angelfire adlı sistem, hedefteki Windows kullanan cihazların boot sector’leri (bilgisayarın sabit disklerinin içerdiği sistem bilgileri bölümü) üzerinde değişiklik yaparak arka kapı açıklığı (backdoor) yerleştiriyor. Bu da hedefteki bilgisayarların uzaktan erişimine imkan veriyor.
Wikileaks’in sızdırdığı belgeye göre Angelfire; ‘Solartime,’‘Wolfcreek,’ ‘Keystone,’ ‘BadMFS,’ ve ‘Windows Transitory File system,’ olmak üzere 5 bölümden oluşuyor.
‘Solartime’, Windows XP ya da Windows 7 kullanan cihazlara yüklendiğinde boot sector üzerinde değişiklik yapıyor. Ve bu değişiklik ‘Wolfcreek’ yerleştirmesinin yüklenmesine ve çalışmasına olanak veriyor. Wolfcreek daha sonra diğer Angelfire yerleştirmelerini yükleyip çalıştırabiliyor.
Önceden ‘MagicWand’ olarak bilinen ‘Keystone’ ise kötü niyetli kullanıcı uygulamalarının yüklenmesini sağlıyor. Bu uygulamalar asla dosyalama sistemlerine dokunmuyor ve çok az adli delil bırakıyor.
BadMFS ise Wolfcreek’in aktive ettiği tüm sürücüleri ve yerleştirmeleri depolayan bir kütüphane olarak biliniyor. Bütün dosyalar karartılıyor ve şifreleniyor. Son olarak ‘Windows Transitory File system’ AngelFire’ı yüklemek için kullanılıyor. Aynı zamanda Angelfire sistemine dosya ekleyip kaldırmaya da yetki veriyor.
Wikileaks, Vault 7 belgelerinin CIA’in kendi içinden sızdırıldığını söylerken kaynağın kimliğini açıklamayı ise reddediyor.
Siber Bülten abone listesine kaydolmak için formu doldurun
WikiLeaks, ‘Kasa Dairesi 7’ olarak adlandırılan gizli belge sızıntısı kapsamında Amerikan Merkezi Haberalma Teşkilatı’na (CIA) ait dökümanlar yayınlamaya devam ediyor. Neredeyse her hafta peşi peşine yayınlanan belgelerle CIA’in sanal alemde nasıl manipülasyon yaptığı, insanların mahremiyetini nasıl ihlal ettiğine dair bilgiler ifşaa oluyor.
WikiLeaks’in son yayınladığı bir belge, istihbarat teşkilatının Dumbo (Mankafa) Projesi adını verdiği bir sistemle Microsoft Windows işletim sisteminde kurulu mikrofonları, web kameralarını ve benzeri diğer cihazları manipüle edebildiğini gösterdi.
Belgeye göre Dumbo Projesi, CIA’in saha operasyonlarında hedef bilgisayarlara fiziksel erişim görevini yürüten Siber İstihbarat Merkezi’ne bağlı Fiziki Erişim Grubu (PAG) ajanlarının yakalanmasına yol açabilecek video kayıtlarında tahribat yapabiliyor. Dumbo Projesi’nin hackleme araçları sayesinde Windows işletim sistemindeki güvenlik araçlarının CIA ajanlarını tespit etmesinin ve yürütülen operasyonun sekteye uğratılmasının önüne geçilebiliyor.
Dumbo, Microsoft Windows işletim sistemi kullanan hedef bilgisayarda web kamerası ve mikrofon gibi izleme ve algılama sistemlerinin tanımlanması, kontrolü ve manipülasyonuna imkan tanıyor. Program, bir USB bellekten çalıştırıldığı için bilgisayara doğrudan erişim gerekiyor.
İZİNSİZ ERİŞİMLERİN DELİLLERİ SİLİNİYOR
Wikileaks’ten yapılan açıklamaya göre algılama araçlarıyla ilgili tüm süreçler (genellikle video / ses / ağ akışlarının kaydedilmesi) tespit edilebiliyor ve operatör tarafından durdurulabiliyor. Kayıtlar silinerek veya manipüle edilerek CIA operatörünün bilgisayara izinsiz giriş yaptığına dair deliller ortadan kaldırılabiliyor.
Programı çalıştırmak için de hedef bilgisayardan Dumbo operasyonlarına ayrılan bir cihaza bağlanacak bir USB flaş sürücü kullanılıyor. Araç ayrıca yerel veya kablosuz ağa bağlı cihazları belirleyebiliyor, web kameraları ve mikrofonların görüntü ve ses almasını önleyebiliyor.
CIA’İN SANAL OYUNCAKLARI
“Kasa Dairesi 7” adıyla CIA ile ilgili binlerce belge yayınlayan Wikileaks, Amerikan istihbaratının mobil telefonlar, bilgisayar ve tabletler üzerinden dinleme yaptığını, kullanıcıların Whatsapp gibi uygulamalardan gönderdikleri şifrelenmiş mesajlara dahi erişimi olduğunu ortaya koymuştu. “Kasa Dairesi 7” kapsamında yayınlanan belgelerde şimdiye dek ifşa olan CIA hackleme araçları ile bunların nerelerde kullanıldıklarının listesi şöyle:
BothanSpy ve Gyrfalcon: Linux ve Windows aygıtlarından SSH kimlik bilgilerini çalıyor. OutlawCountry ve Elsa: Linux cihazlarını hedef alan ve kullanıcının coğrafi konumunu tespit eden virüs.
Pandemic: Windows aygıtlarını hackliyor. AfterMidnight and Assassin: CIA’in yine Windows’u uzaktan hacklemek için kullandığı kötü yazılım. Dark Matter: CIA’in iPhon’lara ve MacBooks’lara sızmak için kullandığı bir program. Athena: Yine Windows işletim sistemini hedef alan bir yazılım.
Archimedes (Arşimed): CIA’in yerel ağlara bağlı bilgisayarları hacklemek için kullandığı program.
HIVE: CIA’in bilgi sızdırmak için hedef bilgisayara yüklediği bir program.
Grasshopper: Microsoft Windows işletim sistemine yüklenen bir program. Marble: Antivürüs şirketlerinin, teşkilatın kötü yazılımlarını bulmasını engellemek için kullanılan yazılım. Dark Matter: CIA’in Apple Mac’a sızma projesi Highrise: SMS mesajlarını okuyan Android virüsü Aeris, Achilles, SeaPea: Linux and macOS’u hacklemek için geliştirilen üç kötü yazılım.
WikiLeaks internet sitesi ‘Kasa Dairesi 7’ (Vault 7) diye adlandırdığı Amerikan Merkezi Haberalma Teşkilatı’na (CIA) ait gizli belgeleri parça parça açıklamaya devam ediyor. En son geçtiğimiz hafta yayınlanan bir belgeye göre evinizin bir köşesinde duran Wi-Fi router’ınız (Wi-Fi yönlendiricisi) sadece fidye peşinde koşan hackerların değil, CIA’in de hedefinde olabilir. 2016 yılına ait yeni belgeler, Amerikan istihbaratının, router hackleme yazılımları hakkında bilgi veriyor. Buna göre CIA, D-Link ve Linksys markaları dahil olmak üzere evinizde, işyerinizde kullandığınız routerların güvenlik zaafiyetlerinden istifa ediyor. Kullanılan teknikler ağınızın parolalarının hacklenmesinden donanım yazılımının (firmware) internet trafiğini uzaktan denetlemek üzere yeniden yazılmasına kadar değişiyor.
TESPİT ETMEK MÜMKÜN DEĞİL
Routerlar, CIA dahil hackerlar için cezbedici bir giriş noktası. Çünkü çoğu router hacklendikleri zaman bunu ortaya çıkaracak arayüz veya performans açığı vermiyor. Hacker House şirketinin kurucusu güvenlik uzmanı Matthew Hickey bu noktaya dikkat çekerken, “Hemen hemen her evde bir kablosuz router var ve bu cihazlarda neler olup bittiğini kontrol etmek içinse pek bir aracımız yok. Dolayısıyla bu, birinin evine kötü amaçlı yazılım sokmanın oldukça gizli bir yolu. Yönlendiricinizin (router) hacklendiğini ve hacklenmediğini söyleyecek bir işaret yok. Normal bir şekilde internette olduğunuzu sanıyorsunuz. Sadece bir şey var ki o da internette yaptığınız her şey CIA’den geçiyor.” diyor.
Birçok insanı, internet bağlantısında bir sorun çıkmadıkça gözardı ettiği routerlarını update etmeye itecek Wikileaks sızıntısına göre herşey, cihazları belirlemek üzere bir ağı tarayıp ardından CIA’in router hackleme startını veren ‘Claymore’ adı verilen aygıtla başlıyor. Belgelerde, yetkisiz erişim imkanı veren iki yazılımdan bahselidiyor: Tomato (domates) ve Surfside. Tomata, özellikle D-Link ve Linksys tarafından satılan en az iki router modelinin güvenlik açıklarından istifade ederek cihazların yönetici parolalarını çalıyor. Kimlik bilgisinin alınmasının ardından CIA hackerı, hedef kullanıcının routerına ‘Flytrap’ adı verilen kendi yazılımını kuruyor. Bu casus yazılım da hedefin tüm internet aktivitelerini izleyebiliyor, tıklanan web bağlantılarından SSL şifrelemesini kaldırabiliyor, hedefin bilgisayarına veya telefonuna erişim imkanı sağlayabiliyor, hatta farklı casus yazılımlar yükleyebiliyor.
Hacklenen routerlar için bir komuta-denetim sistemi olarak hizmet veren CherryTree adı verilen başka bir yazılım, operatörlerin virüsten etkilenen ağ aygıtlarını CherryWeb adlı tarayıcı tabanlı bir arayüzden izlemesine ve güncellemesine imkan tanıyor.
ROUTER HACKLENMESİNE KARŞI ÇÖZÜM
Sızdırılan dosyaların 2016’nın başlarına ait olduğu göz önüne alındığında, CIA’in bu routerlar üzerinden hâlâ casusluk faaliyeti yürütüp yürütmediği ya da üretici firmaların güvenlik açıklarını giderip gidermediği konusunda bir bilgi yok. Konuyla ilişkili olarak D-Link veya Linksys şirketlerinden henüz bir açıklama yapılmadı. Bu firmalar zaafiyetleri gidermek için bir yama yapmış olsa dahi router yazılımının update edilmesinin zorluğu sebebiyle kullanıcıların belki de yıllarca suistimale açık olacağı söyleniyor.
HACKERLAR İÇİN MADEN YATAĞI
Ortalama ev routerlarının genel güvensizliği göz önüne alındığında, dünyanın en iyi imkanlarına sahip isithbarat teşkilatlarından biri olan CIA’in bunları suistimal etmesi kimseyi şaşırtmamalı. Ancak Wikileaks’in ifşa ettiği belgeler routerların update edilmesi konusunda kullanıcılara uyarı niteliğinde. Hacker House kurucusu Hickey de kullanıcıların routerlarını update etmeleri konusunda dikkatli olmaları halinde, CIA’in casusluk faaliyetlerine karşı korunmasız kalmayacaklarına işaret ediyor. Ancak çoğu kullanıcının routerlarını sıkça update etmedikleri ve antivirüs programlarının router casus yazılımlarını takip etmediği düşünüldüğünde bu Wi-Fi erişim noktalarının hackerlar için zengin bir maden yatağı olduğuna hiç şüphe yok.
Wikileaks’ın son yayınladığı belgelere göre, Amerikan Merkezi Haberalma Teşkilatı (CIA), Mac bilgisayarlara bir şekilde sızmayı başarmış.
Wired’in haberine göre, CIA’ın bu sızma işlemini gerçekleştirebilmesi için bilgisayara fiziksel olarak erişimi gerekiyor. Vault 7 adlı belgelere göre, CIA’ın bu çok gizli yöntemi, antivirüs programlarının gözardı ettiği bir yerden Mac bilgisayarlara sızıyor. EFI diye bilinen bu program, bilgisayarın işlemi sistemi başlatıyor ve sabit diskinin haricinde çalışıyor.
Wired’a konuşan Güvenlik Araştırmaları Laboratuarı kurucusu Karsten Nohl, “EFI, tüm önyükleme sırasını düzenler. Bundan önce bir şey değiştirirseniz, herşeyi kontrol edersiniz. Bilgisayarınızın bir parçası haline gelir. Bilgisayarınızda olduğunu bilemezseniz ve silmesi de zordur” dedi.
Vault 7’den sızan belgeye göre, ajanların bilgisayara fiziksel erişiminin ardından bir program aracılığıyla Mac bilgisayarda bulunan Thunderbolt girişinin ethernet girişi haline dönüştürülüyor. Bunun ardından, bilgisayar, işletim sistemini yüklediğini düşünerek bu ağdan yüklemeyi gerçekleştiriyor. CIA’ın “DerStarke” diye nitelendirdiği bu program, kötü niyetli yazılım olan “Tritron”u çalıştırıyor ve bu program, her türlü bilginizi belirlenen merkeze gönderiyor. İşletim sistemini tamamen silip yeniden yüklemek isteseniz bile, Tritron bir anlığına silinip sonra tekrar yükleniyor.
Wired, CIA’ın geliştirdiği bu tekniğin, eski Mac bilgisayarlarda çalıştığını, Apple’in ürettiği yeni bilgisayarlarda buna karşı bir önlem olduğuna dikkat çekti. Yalnız, CIA’ın yayınlanan bu belgeleri 2013 yılına ait olması nedeniyle Apple’in bu önlemine karşı CIA’ın de yeni bir teknik geliştirmiş olabileceğine dikkat çekildi.
Malware Bytes adlı şirketten Mac güvenlik araştırmacısı Thomas Reed, “CIA’ın modern sistemler için araçlarını güncellemediğini düşünmek aptallık olur” uyarısında bulundu.
Belgelere göre, CIA benzer bir tekniği iPhone telefonlar için 2008 yılında denemiş. Wired’a konuya ilişkin açıklama yapan Apple, iPhone’lardaki açığın 2009 yılında kapatıldığını, Mac bilgisayarlarda da 2013 yılında kapatıldığını belirtti.
