Etiket arşivi: kuran uygulamasında casus yazılım yerleştirme

Makale & Analiz

Kuran’ı casusluğa alet eden karanlık şirket: Hackingteam

11 Yorum

Daha önce defalarca söylenen ve “siber savaş geleceğin savaşı olacak” sözlerini teyit eden bir olay geçen hafta dünya gündemini sarstı. Uluslararası istihbarat, polis, asker ve hükümet birimlerine siber silah üreten ve satan #HackingTeam adlı İtalyan merkezli şirket geçen hafta hack’lenerek sistemlerinden 400GB boyutunda veri dışarı sızdırıldı. Bu kadar önemli miktarda veri içerisinde neler var diye baktığmızda;

  • Siber silah satın alan ülkeler ve birimleri,
  • Yapılan yazışmalar,
  • Satılan siber silah içerinse bulunan 0-gün açıkları,
  • Ajan olarak kullanılmak üzere üretilmiş yazılımlar,
  • Ajan yazılımları satın alan ülkelere ait erişim bilgileri,

HAFTALIK SİBER BULTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ

[wysija_form id=”2″]

Hacking Team kimdir?

Siber casusluk ve saldırı aracı olan Uzaktan Kontrol Sistemi (Remote Control System – RCS) yazılımını ve bu yazılımı hedef kitleye enjekte etmek için gerekli ajan yazılımları üreten İtalya, ABD ve Singapur’da ofisleri bulunan bir Siber Silah / Yazılım Üreticisi. Şirketin en önemli ürünü olan GALILEO adlı RCS yazılımı başlıca aşağıdaki fonksiyonlara sahip;

  • Ziyaret edilen web sitelerinin adreslerini kaydetmek,
  • Açılan, yazılan, değiştirilen dosyaları kaydetmek,
  • Basılan tuşları kaydetmek,
  • Yazıcıya gönderilen dokümanları kaydetmek,
  • Internet üzerinden yapılan sesli görüşmleri (VoIP – Skype, Viber vs.) kaydetmek,
  • Çalıştırılan programları kaydetmek,
  • Mikrofondan ortam dinlemesi yapmak,
  • Web kameradan ortam görüntüsü almak,
  • Ekran görüntüsü alıp, kaydetmek,
  • Mesajlaşma (Windows Live Messenger, Yahoo Messenger, Skype vb.) trafiğini kaydetmek,
  • Şifre çalmak,
  • Mobil cihazlarda telefon konuşmalarını kaydetmek ve dinlemek,
  • Mail trafiğini izlemek,
  • GPS ile konum bilgisi almak,
  • Adres defteri ve kişi bilgilerini çalmak,
  • SİBER BÜLTEN FACEBOOK SAYFASINA GÖZ ATIN  
GALILEO’nun tanıtımı için hazırlanan afiş

 

 

 

 

 

 

Görüldüğü üzere yapılan yazılım tamamen casusluğa yönelik saldırgan bir uygulama. Çalışma şeması aşağıdaki gibi kompleks ve servis sağlayıcılarla da entegre edilebilmekte. Bunun anlamı Network Injector modülü sayesinde bir hükümet ülke içerisinde istediği herhangi birinin bilgisayarına veya akıllı telefonuna sızabilir. Daha sonra yukarıdaki özelliklerden faydalanarak telefon dinlemesi, şifre çalma, konum bilgisi alma, ortam dinlemesi yapma ve web kamerasından bulunduğu yeri izleme gibi birçok kişisel gizliliği ihlal eden aktiviteler gerçekleştirilebilir.

İLGİLİ HABER >> TÜRKİYE HACKİNTEAM’IN AKTİF MÜŞTERİSİYMİŞ

Remote Control System uygulaması sistem şeması

 

 

 

 

 

 

 

 

 

Yazılım tehlikeli ama biz neden korkmalıyız?

HackingTeam hack’lendikten sonra ortaya çıkan dokümanlardan Emniyet Genel Müdürlüğünün 2011’den 2014 yılının sonuna kadar bu yazılımı senelik 150.000 EURO (~450.000 TL) karşılığında satın aldığını öğrendik. Toplamda 600.000 EURO (1.8 Milyon TL) harcanan yazılımın bir fatura örneği aşağıdaki gibi;

EGM’nin aldığı RCS yazılımının 2013 yılı faturası

 

 

 

 

 

 

 

 

 

 

Türkiye’de bu derece tehlikeli bir yazılımın kullanımını düzenleyen bir kanun bulunmuyor. Dolayısıyla yazılımın terör ve istihbarat maksadının haricinde kullanılması durumu söz konusu olabilir. Türkiye’de fuatavni hesabının yakalanması için herşeyin yapılabileceğini tahmin etmek zor değil. İsteyen birinin şifrelerimizi alması, bulunduğumuz ortamı dinlemesi hatta evimizin içini izlemesi kabul edilebilir bir durum değil. Bu sebeple bir vatandaş olarak rahatsız olmamak mümkün değil.

Ajan yazılım nedir? Benim bilgisayarımda yada telefonumda olabilir mi?

Ajan yazılım RCS komuta-kontrol-merkezinden gerekli direktifleri alıp buna göre hareket eden zararlı bir yazılım. Çoğumuz kendi halinde insanlar olarak zararlı yazılım indirip kullanmıyoruz diye düşünüyor olabilir, ancak ajan yazılımın üzerinde ‘AJAN’ yazmıyor zaten. Yaptığımız incelemelerde Android Quran (com.quran.labs.androidquran) adındaki bir Kur’an yazılımında ajan yazılım tespit ettik. Aynı şekilde Android Bible (joansoft.dailybible), Angry Birds (Hacking Team tarafından korsan marketlere yüklenen versiyonunda), Sound Recorder, SpyCam, Real Calc Plus ve bunun gibi birçok iOS ve Android yazlımının HackingTeam tarafından ajan olarak üretildiğini görüyoruz. Aşağıda bu yazılımlardan birinin telefonda talep ettiği izinler gösterilmiştir. Normal bir Kur’an uygulamasının SMS, kişiler, kamera, mikrofon gibi izinlere ihtiyacı olmaz, ancak bu uygulamanın sınırsız izinler istediğini görüyoruz. 

Android Quran uygulamasının istediği haklar

 

 

 

 

 

 

 

 

 

Ben bu yazılımlardan herhangi birini kullanmıyorum, bu durumda güvende miyim?

Ajan yazılımlar hedef kitleye ulaşmak için kullanılan yazılımların bir kısmı. HackingTeam arşivinde yaptığımız çalışmalar bunun haricinde Adobe Flash çalıştıran bilgisayarlara sızmak için kulanılan 0-gün (0-day) istismar kodlarının da şirket tarafından kullanıldığını gösterdi. Teknik olarak karışık gelse de demek istediğim en güncel Adobe Flash bile kullansanız, en güncel anti-virüs programına bile sahip olsanız bilgisayarınıza sızabilecek yollar mevcut.

Benzer şekilde Windows 8+, Linux dağıtımlarının bir kısmında hak yükselme açıklarını da bulup kullandıklarını görüyoruz. Aşağıdaki iki resimde normal haklara sahip birinin kendisini en yüksek haklara sahip yönetici seviyesine nasıl yükseltebildiğini göstermeye çalıştık. Özet olarak RCS ajan yazılımının bu özellikleriyle herhangi bir kişinin bir siteyi ziyaret etmesiyle o kişinin bilgisayarında en yetkili kişi haline gelebilir.

Flash 0-gün exploti kullanarak hesap makinesi uygulaması çalıştırılabilmiştir.

 

 

 

 

 

 

 

 

Windows 8 üzerinde normal bir kullanıcı ‘NT AUTHORITY’ haklarına yükseltilmiştir.

 

 

 

 

 

 

 

Ubuntu üzerinde normal bir kullanıcı ‘ROOT’ haklarına yükseltilmiştir.

 

 

 

 

 

Zafiyet barındıran herhangi bir uygulama (Adobe Flash dahil) veya crack uygulama kullanmıyorum, bu durumda güvende miyim?

RCS yazılımının en önemli özelliklerinden biri siz zararlı bir yazılım indirmek istemeseniz bile ajan yazılımı sizin legal yazılımınızın içerisine enjekte edebilmesi. Yani siz normal bir yazılım indirirken RCS yolda bu yazılımım içerisine ajan enjekte edip gönderiyor. Dolayısıyla indirilen legal(!) yazılımın kendisi ajan haline dönüşüyor.

Anti-virüs kullanıyorum, o engellemez mi?

RCS ajan yazılımları birçok anti-virüs tarafından tanınmıyor. HackinTeam’in yaptığı testlerde de bunu görebiliyoruz. Yani anti-virüs de sizi bu konuda korumaya yetmiyor. Aşağıdaki resimlerde Windows ve Mac OS X üzerinde çeşitli Anti-Virüs yazılımlarından görünmeden çalışdığı test sonuçları yer almakta.

 

 

 

 

 

 

Windows 7 üzerinde yapılan testlerde RCS ajan yazılımlarının çoğu Anti-Virüs tarafından tanınmadığı test sonuçları

 

 

 

 

 

Mac OS X üzerinde yapılan testlerde RCS ajan yazılımlarının Anti-Virüsler tarafından tanınmadığı test sonuçları

 

 

 

 

 

Benim bilgisayarıma veya telefonuma sızmış olabilirler mi? Nasıl bilebilirim?

Maalesef normal bir son kullanıcının bunu öğrenebilme şansı yok. Ancak ileri seviye hafıza (Memory) analizi ve adli analiz (Digital Forensic) yapabilen uzmanların bulabileceği bir ajan yazılımla karşı karşıyayız. Tabi bu seviyede bilgiye sahip insan sayısı Türkiye’de iki elin parmaklarından az.

Bu yazılım sadece Türkiye’de mi var?

Hayır, yazılım bizim haricimizde Kıbrıs, Mısır, Suudi Arabistan, Macaristan, Meksika, Tayland, Nijerya gibi birçok ülke var. Ancak Amerika, İngiltere, Almanya, Rusya, Çin, Kanada, Fransa gibi hiçbir büyük ülkede yok. Muhtemelen bu yazılım kendi içerisinde bir arka kapı (backdoor) barındırıyor ve bu nedenle yazılımı alan ülkeler asıl yazılımı üreten ve destek veren büyük ülkelere hizmet ediyor olabilir. İronik!

Dünya üzerinde Hacking Team RCS yazılımını kullanan / satın alan ülkeler

 

 

 

 

 

 

 

 

Sonuç

Muhtemelen bu yazılımı alarak Türkiye olarak en büyük siber saldırıya maruz kalmış olabiliriz. Artık dinlemelerin nasıl yapıldığını tahmin etmek zor değil. Büyük bir devlet asla bu derece tehlikeli özellikleri barındıran bir siber silahı ülkesine ve ülkesinin network’üne bağlamaz. Böyle bir yazılımı kendi mühendisleriyle ve kaynak kodlarına hakim olarak hazırlar. Tıpkı diğer büyük ülkelerin yaptığı gibi…