Etiket arşivi: Vault 7

Vault7

CIA’in anti-virüs programlarını önlemeye yönelik faaliyeti: Grasshooper

Yorum yapın

CIA’in siber casusluk faaliyetlerini gün yüzüne çıkaran Vault 7 serisinin 7 Nisan 2017 tarihli belgesi ‘Grasshooper’ (Çekirge) adını taşıyor.

Grasshooper, Microsoft Windows işletim sistemleri için geliştirilen bir framework ve hedefteki sisteme sürekli malware (zararlı) yükler oluşturmak için kullanılıyor. Framework ise içerisinde uygulama geliştirme arayüzleri (API) ve programcıların ihtiyaç duyduklarında çağırabilecekleri paylaşımlı bir kod kütüphanesi barından paketlere deniyor.

Grasshooper ile temel amaç PSP denilen kişisel güvenlik ürünlerini önlemek. PSP’lere örnek olarak Kaspersky, Microsoft Security Essentials, Symantec Endpoint gibi anti virüs programları verilebilir. Grasshooper, CIA ajanının özelleştirilmiş bir zararlı payload (yük) oluşturmasına olanak sağlıyor. Payload bir veri transferinde (kablolu, kablosuz ağlar üzerinden) son kullanıcının ilgisini çekecek, yani işe yarayacak kısmı ifade ediyor.

İlgili haber>> CIA, Athena ve Hera ile Windows’un bütün sürümlerine sızmış

CIA ajanı Grasshooper sayesinde bu payload’u çalıştırabiliyor ve işlem sonucu ortaya çıkan sonucu analiz ediyor. Hedefe saldırma, sızma, bilgi toplama gibi pek çok faaliyeti bir arada yapabilen Grasshopper kullanılarak bugüne kadar birçok gizli operasyon gerçekleştirildiği düşünülüyor.

Wikileaks’e göre Grasshooper, CIA’ye bir bilgisayarın güvenlik kapasitesine göre davranan özelleştirilmiş bir eklenti oluşturma kabiliyeti sağlıyor. Grasshooper hedefteki cihaza yönelik, ön kurulum araştırması yapıyor.

Bu araştırma, payload (yük) yüklemesinin yapılabilmesi için hedefteki cihazın yapılandırmasının doğru olup olmadığını belirleme amacı taşıyor. Bu da CIA ajanına hedefteki bilgisayarın Microsoft Windows’un belirli bir versiyonu kullanıp kullanmadığını ya da bilgisayarda bir anti virüs programı olup olmadığını belirleme imkanı veriyor.

İlgili haber>> CIA, Windows’a “Angelfire” ile saldırmış

Grasshoper adı verilen CLI tabanlı framework’ün Windows işletim sistemlerine sızarak antivirüs korumalarını önlemeye çalışmak. Ve ajanların bu şekilde birçok yazılımı devre dışı bıraktığı da tespit edildi.

WikiLeaks’e göre Grasshopper isimli framework, Rus hackerlar tarafından geliştirilmiş olan Carberp isimli zararlı yazılım kodlarının çalınmasıyla oluşturulmuş.

Siber Bülten abone listesine kaydolmak için doldurunuz!

Vault7

CIA’in çok gizli virüs programı: Hive

Yorum yapın

14 Nisan 2017 tarihli Vault 7 belgeleri CIA’in Hive kod adıyla bilinen çok gizli virüs kontrol sistemine dair bilgi sunuyor.

Wikileaks’in sızdırdığı belgeye göre Hive, arka plan görevlerini gerçekleştiren bir bilgisayar programı. Hive, hedefteki masaüstü bilgisayarlardan ve akıllı telefonlardan CIA’ye bilgi aktarmak için CIA tarafından kullanılan halka açık bir HTTPS arayüzüne sahip bir CIA arka uç altyapısı ve bu cihazları belirli görevleri yürütmek için CIA operatörlerinden gelen diğer komutları almak üzere açan araç ve görevlerden oluşuyor.

Hive; Windows, Solaris, MikroTik ve Linux platformları için isteğe göre uyarlanabilir bir eklenti sağlıyor. Bu eklentiler CIA’ye belirli komutlarla iletişime geçmeyi mümkün kılıyor. Kullanıcı kılavuzu, yazılım eklentisinin iki ana fonksiyonundan bahsediyor. Bunlar beacon (işaretçi) ve interaktiv shell (etkileşimli kabuk) olarak ifade edilmiş.

İlgili haber>> CIA, Windows’a “Angelfire” ile saldırmış

İki eklenti de diğer ‘sınırsız özellikli araçlar’ı harekete geçirmek için başlangıç noktası sağlıyor. Eklentiler HTTPS aracılığıyla gizli bir domainin ağ sunucusu ile iletişime geçiyor. Her bir gizli domain, ticari bir VPS’teki (Sanal sunucu) IP adresine bağlı. Bu, tüm gelen trafiği blot adı verilen bir sunucuya yönlendiriyor. Yönlendirilen trafik, geçerli bir işaretçi içerip içermediğinin belirlenmesi için test ediliyor. Eğer içeriyorsa araç işleyicisine gönderiliyor.

Kullanıcı kılavuzu ayrıca mevcut komutlara ilişkin detaylar da ortaya koyuyor. Bunlar arasında dosya yüklemek ve silmek, bilgisayarda uygulama çalıştırmak gibi komutlar var.

Hive, CIA’ye bağlı Gömülü Sistem Geliştirme Birimi (EBD) tarafından geliştirilmiş. Bu birim ayrıca CIA’in Apple sistem yazılımına yönelik hackleme aracı olan Dark Matter’a ilişkin projelerden de sorumlu idi.

Siber Bülten abone listesine kaydolmak için doldurunuz!

Vault7

CIA, Athena ve Hera ile Windows’un bütün sürümlerine sızmış

Yorum yapın

CIA’in geliştirdiği Athena/Hera, XP Pro işletim sisteminden Windows 10’a kadar tüm sistemlerden veri ve iletişim bilgisi çalma amacıyla hayata geçirilmiş bir zararlı yazılım.

Athena’ya dair gizli bilgileri öğrenmemizi sağlayan ise Wikileaks. Wikileaks geçtiğimiz mart ayından bu yana Amerikan Merkezi Haberalma Teşkilatı CIA’ye dair çok gizli  siber belgeler yayınlıyor. Vault 7 adı altında sızdırılan belgelerden 19 Mayıs 2017 tarihli olanı, Athena/Hera adını taşıyan zararlı bir yazılıma dair detaylar içeriyor.

Wikileaks’in iddiasına göre sözkonusu hackleme aracı ile CIA, neredeyse her Windows cihazına sızıp bunları uzaktan kontrol edebiliyor. XP’den Windows 10’a kadar Athena kod adlı yazılım, Windows 8’den Windows 10’a kadar ise Hera kod adlı yazılımı kullanan CIA, bu siber güvenlik şirketi Siege Technologies ile işbirliği içinde geliştirmiş.

Wikileaks’in açıklamasına göre, yüklendikten sonra, zararlı yazılım, bir işaretleme yeteneği (yapılandırma ve görev yönetimi dahil), belirli görevler yerine getirecek zararlı yazılımların hafızaya yüklenmesi / boşaltılması ve hedef sistemdeki belirli klasörlere bu dosyaların gönderilmesi ve alınması olanağı sağlıyor.

Athena CIA’in dinleme istasyonları iletişime geçirecek bir arka kapı kurmak için DLL dosyalarını (programların ortaklaşa yaptıkları görevi koordine eden dosyalar) kullanıyor. Bu ayrıca CIA’ye zarar verilen cihaza ekstra komut göndermesine ve gerektiğinde ek zararlı yazılımlar yüklemesine olanak veriyor.

Siber Bülten abone listesine kaydolmak için doldurunuz!

Vault7

Yasal dosyaları kötü amaçlı dosyalarla değiştiren hackleme aracı: Pandemic

Yorum yapın

Wikileaks’in Vault 7 serisi kapsamında mart ayından itibaren yayınladığı CIA’ye dair çok gizli siber bilgilerden 1 Haziran 2017 tarihli olanı Pandemic (salgın) adını taşıyor.

CIA’in kullandığı hackleme aracı adından da anlaşılacağı üzere hedefteki bir kuruluşa ait bilgisayar ağına kötü amaçlı yazılım bulaştırmayı amaçlıyor.

Bahsi geçen hackleme aracı, bir bilgisayar ağına dosya sistemi filtre sürücüsü yükleyebiliyor yasal dosyaları zararlı yazılımlar ile değiştirebiliyor. Bu zararlı yazılımlar SMB aracılığıyla uzaktan sisteme girişi yapılıyor. SMB, Windows’un ağ üzerinde dosya ve yazıcı paylaşımı yapmasını veya paylaşılan dosya ve yazıcılara erişmesini sağlayan bir protokol.

İlgili haber>> Telefonları ‘inşallah’ diyerek hacklemişler!

Saldırganlara dosya sunucularına uzaktan erişim sağladıkları cihazlara virüs ve zararlı yazılım bulaştırma imkanı veren Pandemic, burada Microsoft Wiindows dosya sunucuları için bir eklenti görevi görüyor. Pandemic’in yüklenmesi sadece 15 saniyede gerçekleşiyor.

Pandemic, diskteki hedef dosyada fiziksel bir değişiklik yapmıyor. Pandemic’in yüklendiği sistemdeki hedef dosya değişmemiş bir şekilde kalıyor. Pandemic’in hedefindeki kullanıcılar ve hedefteki dosyayı indirmek için SMB kullanan kullanıcılar ‘yenilenen’ dosyayı almış oluyorlar.

Wikileaks’in açıklamasında ise Pandemic şu ifadelerle anlatıldı: “İsminden de anlaşılacağı üzere Pandemic ile virüs bulaşmış olan bilgisayar, bir hastalığı ilk yayan kişi olarak adlandırılan ‘Patient Zero’ gibi davranıyor. Kullanıcı eğer pandemic dosya sunucusundaki programları çalıştırırsa Patient Zero bilgisayar, uzak bilgisayarlara virüs bulaştırıyor.”

Siber Bülten abone listesine kaydolmak için doldurunuz!

Vault7

CIA, ‘router’larla kullanıcıların internet trafiğini izlemiş

Yorum yapın

15 Haziran 2017 tarihli Vault 7 belgesine göre Amerikan Merkezi Haberalma teşkilatı CIA, CherryBlossom adını verdiği hackleme aracı ile daha çok evlerde, kamu alanlarında ve küçük işletmelerde kullanılan ağ yönlendiricilerine (router) girip hedef bilgisayarların internet trafiğini takip edebiliyor.

CherryBlossom, hedefteki bilgisayara doğrudan bir kişi tarafından da yüklenebiliyor, aygıt yazılımı hatasından (firmware flaw) yararlanan bir hacker aracılığıyla da yüklenebiliyor.

Bahsi geçen yazılım açığı, hackera bilgisayarın donanım yazılımını (firmware) değiştirmesine imkan veriyor. CherryBlossom’ın başarılı bir şekilde yerleştirilmesi halinde, zararlı yazılım hackera iki bağlantı noktası arasındaki bağlantıyı izinsiz olarak izleme kabiliyeti veriyor. Böylece hacker, cihazın çalıştırdığı ağın kontrolünü ele geçirebiliyor.

İlgili haber>> CIA, internetsiz cihazlara ve kapalı ağlara bile sızmış

Wikileaks’in açıklamasına göre CherryBlossom, kullanıcının internet aktivitelerini görüntüleyebiliyor ve hedef bilgisyarda kendi çıkarına uygun işlem yapabiliyor. CherryBlossom hedefine ulaşmak için özellikle kablosuz yönlendiriciler ve kablosuz ağ cihazları ve erişim noktaları (AP’s) gibi kablosuz ağ aygıtları üzerinde yoğunlaşıyor.

Uzmanlar evlerde kullanılan router’ların özellikle tehlikelere açık olduğunu söylüyor. Router, en basit tabiriyle iki ağ arasındaki iletişimi sağlayan cihaz. Bu yönlendiricilerin tehlikeye açık olmasının sebebi ise bunu satın alan kişinin çoğunlukla cihaza yükledikten sonra bir daha dönüp kontrol etmemesi olarak düşünülüyor.

Uzmanlara göre bir çok router ve WiFi erişim noktası kullanıcılar tarafından, çok az güncelleme ve yama yapılması itibariyle ihmal ediliyor. Bir çok durumda varsayılan oturum açma bilgileri değiştirilmiyor bile.

İlgili haber>> WiFi sinyalleriyle Windows kullanıcılarının konumuna ulaşmışlar

Hedefteki bilgisayarı uzaktan kontrol etmek suretiyle CherryBlossom varolan firmware’i (system yazılımını) kendisininki ile değiştiriyor. Bu da saldırganlara hedef bilgisayardaki router’ı ya da erişim noktasını ‘FlyTrap’ adlı bir mekanizmaya dönüştürüyor.

Fly-Trape; e-mail adresleri, sohbet kullanıcı isimlerini, MAC adreslerini ve VoIP (ip üzerinden ses verisi gönderimi) numaralarını, kısaca ağ trafiğinde gerçekleşen her şeyi tarayabiliyor. Ve bütün bunları herhangi bir fiziksel erişim olmadan yapabiliyor.

“Siber Bülten abone listesine kaydolmak için doldurunuz”