Etiket arşivi: Vault 7

Vault7

CIA, uzmanları ‘Marble’ ile yanıltmış

Yorum yapın

Wikileaks’in Vault 7 serisi kapsamında 31 Mart’ta yayınladığı belge Marble (mermer) adını taşıyor. Belge, CIA’in siber saldırılarında delil karartma faaliyetlerine dair detaylar içeriyor.

Sızdırılan belgelere göre Marble bir framework (yazılımcılara kullanabileceği bazı özellikleri önceden hazırlanmış biçimde sunan bir çeşit kütüphane).

Bu framework, zararlı kodların üzerinde çok önemli delilleri karartma yeteneğine sahip.  CIA uzmanları tarafından geliştirilen Marble’ın 676 kaynak kod dosyası içerdiği belirtiliyor.

Wikileaks’in iddiasına göre CIA elemanları, söz konusu framework ile antivirüs şirketlerinin veya araştırmacıların kodu anlayamayacakları veya kaynak kodlamayacakları bir hale getirmek için kötücül yazılım kodunu karartıyorlar.

Marble sayesinde Merkezi Haberalma Teşkilatı’nın Rusya, Çin, Kuzey Kore ve İran gibi yabancı ülkelerde yaptığı siber saldırıların niteliğini anlamak zorlaşıyor.

İlgili haber>> İşte CIA’in suikastçi yazılımları!

Wikileaks’ten yapılan değerlendirmede Marble’ın adli araştırmacılar ve antivirüs şirketlerinin virüsler, trojanlar ve hack saldırılarını anlamalarını önlüyor. Marble bunu, CIA’in zararlı yazılımlarında kullanılan metin bölümlenmelerini görsel incelemeden saklayarak yapıyor.

Marble framework, zararlı yazılımın kaynak kodunun anlaşılmasını zorlaştırmak için farklı dillerde metinler kullanıyor. W

ikileaks’ten yapılan açıklamada CIA’nın “karartılmış” kaynak kodlarına Çince, Rusça, Farsça ve Arapça gibi dillerde metinler yerleştirdiği, böylece zararlı yazılımları inceleyen güvenlik uzmanlarının yanıltıldığı ileri sürüldü. Bu şekilde yazılımların bu dilleri kullanan ülkelere aitmiş süsü verildiği ifade ediliyor.

Marble ayrıca CIA’nın metin şaşırtma/gizleme işini tersine çevirebileceği bir deobfuscator aracı içeriyordu. WikiLeaks’e göre, 2015 yılında Marble Framework 1.0’a ulaştı ve 2016 boyunca CIA tarafından kullanıldı.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Vault7

CIA, Apple’a Dark Matter ile sızmış

Yorum yapın

Wikileaks tarafından 23 mart 2017 tarihinde yayınlanan Vault 7 belgesi CIA’in iPhone başta olmak üzere Apple cihazlarına nasıl sızdığına dair detaylar içeriyor.

Dark Matter adlı belgelerde CIA’in Apple araçlarına yönelik hackleme tekniklerinden bahsediliyor. CIA’in Gömülü Geliştirme Şubesi (EDB) tarafından geliştirilen hackleme araçlarından en önemlisi ‘NightSkies’ adını taşıyor ve tarihi 2008’e kadar dayanıyor. CIA’nin cihaz piyasaya sürüldükten bir yıl sonra, yani 2008 yılından beri iPhone’u hedef aldığı belirtiliyor.

WikiLeaks NightSkies’ın açık bir şekilde henüz çok yeni olan iPhone’lara yüklendiğini ifade ediyor. CIA ajanlarının bunu gerçekleştirmek için Apple’ın tedarik zincirine erişim hakkı kazanıp kazanmadığı ise net değil. Ancak Wikileaks bunun olası olduğunu ifade ediyor.

İlgili haber>> ABD backdoor istedi, Apple red etti; şimdi ne olacak?

Wikileaks ayrıca NightSkies’ın CIA’e iPhoneları tamamen uzaktan kumanda etme imkanı verdiğini, mesajlar, arama kayıtları ve rehber gibi dosyalara erişim hakkı tanıdığını iddia ediyor.

Dark Matter belgesinde ayrıca Sonic Screwdriver adlı bir hackleme aracından daha bahsediliyor. Bu hackleme aracına, Doctor Who dizisinden esinlenilerek isim koyulmuş. Sonic Screwdriver, Apple’a ait bir laptop ya da masa üstü başlatıldığında çevresel aygıtlardaki yürütme kodunu çalıştıran mekanizma olarak tanımlanmış. Tarihi 2012’ye giden araç, ajanların bir Mac’i Thunderbolt adı verilen bir Ethernet adaptörü kullanarak nasıl hacklediğini ortaya koyuyor. 2009 tarihli ‘DarkSeaSkies’ tekniği ise MacBook Air için geliştirilmiş.

Dark Matter” arşivinde 2009 ve 2013 yılları arasındaki belgeler yer alıyor. Apple, “ilk çözümleme temelinde iPhone’nun güvenlik açığı yalnızca iPhone 3G’yi etkiledi ve 2009’da iPhone 3GS piyasaya sürüldüğünde düzeltildi” şeklinde ikinci bir bildiri yayınladı. Buna ek olarak, bir ön değerlendirme “iddia edilen Mac zayıflıkları daha önce 2013’ten sonra başlatılan tüm Mac’lerde düzeltildi” idi.

WikiLeaks ise Apple’ın güvenlik kusurlarını düzeltme durumunu “yinelenen” olarak nitelendirdi: “Apple’ın Dark Matter’da açıklanan” açıklarının “değişmez” olduğu” iddiasını yineledi.

Vault7

Scribbles ile ajanları da takip etmişler

Yorum yapın

Scribbles CIA’in Wikileaks tarafından ortaya çıkarılan hackleme araçlarından bir diğeri. Bu zararlı yazılıma dair detaylar Wikileaks’in Vault 7 serisi kapsamında yayınladığı gizli belgelerden 28 Nisan 2017 tarihli olanında yer alıyor.

Scribbles, muhbirleri ve yabancı ajanları takip etmek amacıyla web işaretçisini çok gizli belgelere yerleştirmek için geliştirilmiş bir yazılım.

Wikileaks 28 Nisan’da Scribbles dökümantasyonunu ve onun kaynak kodunu sızdırdı. Scribbles’ın son açığa çıkan versiyonu olan v1.0RC1’in tarihi Mart 2016’ya dayanıyor ve yazılımın geçtiğimiz yılın sonuna kadar kullanıldığı tahmin ediliyor.

İlgili haber>> CIA’in çok gizli virüs programı: Hive

Sızdırılan belgelere göre, Scribbles bir watermark yazılım (belgelere filigran ekleme). Watermark, görsel öğeler üstüne filigran ekleyerek göze batmayacak şekilde görselleri koruma altına almanızı sağlayan bir yazılım. Ve bu sistem web işaretçisi şeklindeki imleri, içeriden birileri, muhbirler, gazeteciler ya da üçüncü kişilerde tarafından kopyalanması muhtemel olan belgelerin içine yerleştiriyor. Yazılım C# programlama dilinde yazılmış ve her bir belgenin içine yerleştirilmiş rastgele bir gizli filigran oluşturuyor.

Filigranlı belgeye herhangi biri tarafından erişildiği zaman, yazılım arka plana bir gömülü dosya yüklüyor ve CIA’in izleme sunucusuna bir kayıt oluşturuyor. Dökümana girişle ilişkili kayıt, kimin girdiği, zamanı ve IP adresi gibi bilgiler içeriyor. Bu yolla dökümana girişler ve bunu kendi çıkarları için kullananları takip etmek mümkün oluyor.

İlgili haber>> CIA, Athena ve Hera ile Windows’un bütün sürümlerine sızmış

CIA ajanları için sıkıntı yaratan şey ise Scribbles’ın sadece Microsoft Office ile çalışıyor olması. Kullanıcı kılavuzuna göre CIA’in hackleme aracı Microsoft Office belgelerinin çevrimdışı ön işlemeleri için geliştirilmiş. Bu şu anlama geliyor: Filigranlı belgeler Open Office ya da LibreOffice gibi diğer uygulamalarda açılırsa, bunların filigranları ve URL’leri kullanıcıya göstermek gibi bir ihtimal var.

Yazılımın bir diğer handikapı ise filigranların uzaktan bir sunucudan yüklenmesi. Yani hackleme aracı yalnızca kullanıcının işaretli dökümanlara internete bağlı olduğu zaman giriş yaptığında çalışıyor olması gerekiyor.

Siber Bülten abone listesine kaydolmak için doldurunuz!

Vault7

CIA’in hedefinde LAN’lar da var

Yorum yapın

5 Mayıs tarihli Vault 7 belgesi CIA’in Man-in-the-Middle (MitM) adı verilen hackleme aracına dair detaylar içeriyor. MitM, iki bağlantı noktası arasındaki bağlantıyı izinsiz izlemek anlamına gelen bir hack teknolojisi. CIA’in bu operasyona verdiği isim ise Archimedes ve bununla yerel alan ağlarını (LAN) hedef alıyor.

2011 ile 2014 yılları arasındaki dönemi kapsayan Archimedes projesi, ilk olarak Fulcrum kod adıyla bilinen daha sonra Archimedes olarak adlandırılan zararlı yazılıma dair detaylar içeriyor.

İlgili haber>> İşte CIA’in suikastçi yazılımları!

Archimedes adlı hackleme aracı, CIA ajanlarına saldırganların kontrolündeki bir cihaz kanalıyla hedefteki bilgisayardan gelen LAN trafiğini ilgili birime yönlendirme imkanı veriyor. Bu da, hackleme aracına sisteme sahte bir ağ sunucusu tepkisi eklemesini sağlıyor.

Bu tepki, hedefteki ağ tarayıcısını gelişi güzel bir lokasyona yönlendiriyor. Bu teknik genellikle hedefi kötü amaçlı sunuculara yönlendirmek için kullanılıyor. Ve o sırada normal bir tarayıcı oturumunun görüntüsünü veriyor.

CIA’nin bu zararlı yazılımla özellikle yazılımcıları ve programcıları hedeflediği belirtiliyor. Wikileaks Amerikan Merkezi Haberalm Teşkilatı’nın (CIA) bu araçla Amerika’daki şirketlerdeki yazılımcıları ve programlamacıları gözetlediğini ve buy olla şirketlerin güvenlik güncellemelerini kontrol altında tutmak istediklerini iddia ediyor.

Siber Bülten abone listesine kaydolmak için doldurunuz!

Vault7

İşte CIA’in suikastçi yazılımları!

Yorum yapın

Wikileaks tarafından sızdırılan 12 Mayıs 2017 tarihli Vault 7 belgesi CIA’in Microsoft Windows platformu için özel olarak hazırladığı iki zararlı yazılıma dair detaylar sunuyor.

AfterMidnight (Geceyarısından Sonra) ve Assassin (suikastçi) kod adlı iki zararlı yazılım, CIA’ye hedef bilgisayarın kontrolünü ele geçirmesine imkan veren bir backdoor (arka kapı açıklığı) işlevi görüyor.

Wikileaks’e göre AfterMidnight kod adlı hackleme aracı, CIA ajanına hedefindeki sisteme zararlı payload’u (görev yükü) yükleme ve çalıştırmasına imkan veriyor. Ana payload, Windows DLL (Dinamik Bağlantı Kütüphanesi) dosyası gibi davranarak Gremlins adı verilen küçük ‘payload’ları çalıştırır. ‘Gremlin’ler, hedefteki yazılımın işlevini bozma, hedef sistemdeki bilgileri toplama ya da diğer ‘gremlin’ler için hizmet sağlama kabiliyetine sahip.

İlgili haber>> CIA, Windows’a “Angelfire” ile saldırmış

AfterMidnight, hedef bilgisayara bir kez yüklendikten sonra yapılandırılmış dinleme istasyonuna geri bildirim yaparak yerine getirilmesi gereken yeni görev olup olmadığını kontrol eder. Eğer varsa bütün yeni ‘gremlin’leri belleğe yüklemeden önce gerekli bütün bileşenleri indirip depolar. Yerel belleğin tamamı, dinleme istasyonu kodu ile şifrelenmiş. AfterMidnight’ın, dinleme istasyonuyla irtibat kuramaması halinde herhangi bir payload’u çalıştırması mümkün değil.

İkinci zararlı Assassin ise Microsoft Windows işletim sistemi kullanan uzak bilgisayarlarda basit bir bilgi toplama platformu sağlayan  otomatik bir eklenti. Hedefteki bilgisayara sızıldıktan sonra Assassin eklentiyi bir Windows işlem prosesinde çalıştırıyor. Assassin de tıpkı AfterMidnight gibi dinleme istasyonuna görev almak ya da teslim etmek için sinyal gönderiyor.

Siber Bülten abone listesine kaydolmak için doldurunuz!