Etiket arşivi: Vault 7

Vault7

WiFi sinyalleriyle Windows kullanıcılarının konumuna ulaşmışlar

Yorum yapın

Wikileaks’in Vault 7 serisi kapsamında CIA’ye dair yayınladığı gizli siber bilgilerin yer aldığı belgelerden 28 Haziran tarihli olanı ELSA kod adlı bir zararlı yazılım ile ilgili. Belgelere göre CIA ELSA adlı yazılımı kullanarak Wi-Fi etkin cihazları aracılığıyla kişilerin lokasyonunun izini sürüyor.

ELSA kod adlı zararlı yazılım, konum belirleme özelliğini kullanarak görünür WİFİ erişim noktalarını tarıyor, ESS belirleyici, MAC adresi ve düzenli aralıklarla sinyal kuvveti gibi ayrıntıları kaydediyor. Yazılımın kaydettiği MAC adresi, ethernet gibi ortamlarda, ağ donanımını tanımlamaya yarayan rakamlardan oluşur. Her bilgisayarın ethernet kartına üretici tarafından kodlanıyor.

İlgili haber>> CIA, internetsiz cihazlara ve kapalı ağlara bile sızmış

Bu arada zararlı yazılım, Wi-Fi etkin cihazlar çevrimdışı iken ya da bir erişim noktasına bağlı olmadığında da çalışıyor.

Cihaz çevrimiçi iken, ELSA pozisyonu belirlemek için Google’dan ya da Microsoft’tan konum belirleme veri tabanını sonuna kadar kullanıyor. ELSA tarafından kaydedilen veriler deşifre ediliyor ve kronolojik olarak kaydediliyor, CIA ajanı bu bilgilere ancak Wi-Fi bağantılı cihaza bağlanıp kaydı manuel olarak aldığında erişebiliyor.

Zararlı yazılım, bu bilgileri şirketin sunucularına kendisi iletmiyor. Bunun yerine CIA’ye bağlı çalışan hackerlar şifreli sistem kayıtlarını cihazdan kendisi yüklüyor. Hacker bunu yaparken ayrı bir CIA programı ve backdoors’lardan (arka kapı)  faydalanıyor.

İlgili haber>> CIA, Windows’a “Angelfire” ile saldırmış

Wikileaks’in yayınladığı makalede şu ifadeler yer aldı: “ELSA Microsoft Windows işletim sistemi kullanan dizüstü bilgisayarlar gibi WiFi etkin cihazlar için geliştirilmiş bir konum belirleme yazılımı. Hedefteki cihazdan veri toplamak için cihazın çevrimiçi olması ya da bir erişim noktasına bağlı olması gerekmiyor. Sadece WiFi etkin bir cihazla çalıştırmak gerekiyor. İnternete bağlıysa yazılım otomatik olarak cihazını yerini bulmak için Google ya da Microsoft’tan konum belirleme veri tabanını kullanmaya çalışıyor.”

Siber Bülten abone listesine kaydolmak için doldurunuz!

Vault7

CIA Linux’a OutlawCountry ile sızmış

Yorum yapın

Wikileaks’in 30 Haziran tarihli Vault 7 dökümanı “OutlawCountry” kod adlı bir zararlı yazılımın içeriğine dair detaylar sunuyor.

OutlawCountry, CIA’in Linux işletim sistemi kullanan bilgisayarlara uzaktan sızma amacıyla geliştirdiği bir yazılım. Sızdırılan belgelere göre OutlawCountry hedef bilgisayardan dışarı giden tüm ağ trafiğinin, CIA tarafından kontrol edilen makinelere, filtreleme ve sızma amacıyla yeniden yönlendirilmesi için dizayn edilmiş.

İlgili haber>> CIA, Mac ve Linux’u bunlarla hacklemiş!

Sözkonusu hackleme aracı, bir çekirdek modülünden oluşuyor ve bu modül, Linux 2.6 sisteminde gizli bir netfilter tablosu oluşturmakta. Bu da İptables (Linux işletim sisteminin güvenlik duvarı)  komutu ile yeni kuralların oluşturulmasına imkan vermek demek. CIA’in geliştirdiği hackleme aracını kullanan hackerın, hedef sisteme girebilmesi için shell erişimine sahip olması gerekiyor. Shell, Linux sistemlerinde sunucu üzerinde komut satırı üzerinden işlemler gerçekleştirebilmeye olanak sağlayan bir yazılım.

OutlawCountry’nin kullanıcı kılavuzunda, İptables komutu ile oluşturulan yeni kuralların mevcut kuralların üzerine geçtiğinden ve ancak netfilter tablosunun isminin bilinmesi halinde yöneticiye görünür olduğundan bahsediliyor. Operatör kernel modülünü kaldırdığında yeni tablo da kaldırılmış oluyor.

İlgili haber>> CIA, internetsiz cihazlara ve kapalı ağlara bile sızmış

Belgede, hackerın hedef sistem üzerinde shell erişimi olması gerektiği belirtilmesine rağmen erişimi nasıl kazanılacacağı ve kernel modülünün hedefteki Linux kullanan bilgisayara nasıl yerleştirileceği belirtilmiyor.

Yazılımın bazı kısıtlamaları da mevcut. Bunlardan en önemlisi, çekirdek modüllerinin yalnızca uyumlu Linux çekirdeği ile çalışması. OutLawCountry v1.0, 64-Bit CentOS/RHEL 6.x için bir çekirdek modülü içeriyor. Bu modül yalnızca varsayılan çekirdeklerle çalışıyor.

Siber Bülten abone listesine kaydolmak için doldurunuz!

Vault7

CIA, internetsiz cihazlara ve kapalı ağlara bile sızmış

Yorum yapın

Wikileaks’in CIA’e ilişkin olarak Vault 7 serisi kapsamında yayınladığı 22 Haziran tarihli gizli belge Brutal Kangaroo (vahşi kanguru) adını taşıyor.

Brutal Kangaroo aslında CIA tarafından kullanılan bir programın adı ve bu program ajanlara dolaylı olarak kapalı bir ağa ya da yüksek güvenlikli olduğu düşünülen air-gap ağına sahip bilgisayarlara sızmaya imkan veriyor. Air Gap, internet gibi güvenliği tehdit edebilecek bir bağlantı kullanmak yerine bilgisayarlar arasında veri alış-verişi için bir bağlantı türü.

Air-gap bilgisayarlar internete bağlı olmadığı için bir flaş bellek ya da diğer çıkarılabilir sürücüler bu cihazlardan bilgi transferi sağlamak için tek yöntem. Cihazlardaki mevcut veriler kullanıcılar tarafından kopyalanabiliyor ancak özel bir ağın kısıtlamaları dahilinde yapılabiliyor.

İlgili haber>> Telefonları ‘inşallah’ diyerek hacklemişler!

CIA’ye göre Brutal Kangaroo’nun birçok bileşeni bulunuyor. Bunlardan biri ‘Shattered Assurance’ (yıpranmış teminat). Bir sunucu aracı olan bu bileşen, ‘drifting deadline’ denilen ve cihaza bağlanan herhangi bir USB sürücüsünü bozma kabiliyetine sahip aracı çalıştırıyor. Drifting Deadline USB sürücüsü taktığınızda makineye virüs bulaştıran bir araç.

Birçok kötü yazılım üzerine tıklanması halinde aktive olurken ‘Drifting Deadline’ için Windows Explorer’da görüntülenmesi gerekiyor. Virüs bulaşmış cihaz ana makine haline geliyor ve program bunu virüs dağıtım istasyonu olarak kullanıyor. Eğer ikinci bir kullanıcı USB sürücüsünü başka bir bilgisayara gönderirse bilgisayar da ikinci kademe bir kötü yazılımla virüs bulaştırılmış oluyor.

İlgili haber>> CIA ithal ‘malware’lardan yararlanmış

CIA’in bu program için öngördüğü sistem şu şekilde çalışıyor: Öncelikle hackerlar hedefteki organizasyona ait internet bağlantılı bir bilgisayara virüs bulaştırmak zorunda. Hedef kuruluşta çalışan bir kullanıcı, bu virüslü makineye bir USB sürücüsü taktığında sürücüye de virüs bulaşmış oluyor. Son olarak bu tehlikeli flaş sürücü kapalı ağa ya da air-gap ağına sahip bilgisayara ulaşıyor.

Vault7

CIA’in SSH’i aştığı siber gereçler: BothanSpy ve Gyrfalcon

Yorum yapın

Wikileaks’in CIA’in çok gizli siber bilgilerini yayınladığı Vault 7 belgelerinin, 7 Temmuz tarihli olanı, CIA’in zararlı yazılımlarla Linux ve Windows işletim sistemli cihazlardan SSH kimlik bilgilerini nasıl çaldığını ortaya koyuyor.

SSH bir ağ üzerinden baska bilgisayarlara erişim sağlamak, uzak bir bilgisayarda komutlar çalıştırmak ve bir bilgisayardan diğerine dosya transfer etmek için geliştirilmiş bir protokol.

Bu SSH bilgilerinin çalınması için kullanılan zararlı yazılımlar ise BothanSpy ve Gyrfalcon olarak adlandırılmış.

BothanSpy, Windows kullanan cihazları hedef alıyor. BothanSpy sayesinde kullanıcının sistemine ait SSH kimlik bilgilerinin çalınması mümkün oluyor. SSH kimlik bilgileri bir başka deyişle Secure Shell, bir sisteme uzaktan giriş yapma hakkı sağlayan bilgilerdir. Bunun çalınması demek, CIA ajanının bu bilgileri eline geçirip istediği bir sistemi gasp etmesi anlamına geliyor. Bu bilgiler ayrıca bir kişinin kullanıcı adı ve şifresini de kapsıyor.

Zararlı yazılım bir kez aktive edildi mi, söz konusu bilgisayardan çalınan ilgili datalar doğrudan CIA’in sunucularından birine kaçırılmış oluyor. Böylece kurbanın bilgisayarındaki hiçbir dahili donanım zarar görmemiş oluyor ve veri de daha sonra kullanmak üzere şifreli bir dosyada saklanabiliyor.

Gyrfalcon ise Centos, Rhel, Debian, SuSE ve Ubuntu’yu içeren bütün Linux platformları için kullanılan bir zararlı yazılım. CIA tarafından geliştirilen bu özel yazılımın kurbanın bilgisayarına yüklenmesi gerekiyor. BothanSpy gibi Gyrfalcon da bilgisayarda SSH bilgilerini dolayısıyla sisteme uzaktan girişi mümkün kılacak bilgileri arıyor.

Ancak buna ek olarak OpenSSH aracılığıyla oluşturulan oturum trafiğini kısmen ya da tamamen ele geçirilmesini de sağlıyor. Zira Linux üzerinde SSH bağlantısı OpenSSH uygulaması ile sağlanmakta. Toplanan bilgiler yine şifreli bir dosyada depolanıyor. Daha sonra CIA’in sunucularına kaçırılıyor.

Siber Bülten abone listesine kaydolmak için doldurunuz!

Vault7

Telefonları ‘inşallah’ diyerek hacklemişler!

Yorum yapın

Vault 7 adı altında Wikileaks tarafından sızdırılan belgelerden biri de CIA’in ‘HighRise’ adını verdiği hackleme aracına dair bilgiler içeriyor. HighRise bir Android uygulaması ve hedef telefonlardaki bilgileri internete gerek kalmadan toplamayı sağlıyor.

SMS’leri uzaktaki bir ağ sunucusuna yönlendirme işlevi gören HighRise Android’in yalnızca 4.0 sürümünden 4.3 sürümüne kadar olan versiyonlarında çalışıyor. Ancak sızdırılan belgenin tarihi Aralık 2013. Hackleme aracının bu arada Android’in yeni versiyonlarını desteklemesi için güncellendiği tahmin ediliyor.

İlgili haber>> CIA ithal ‘malware’lardan yararlanmış

HighRise hackleme aracı, TideCheck ismiyle telefonlara yükleniyor. Yani HighRise bir nevi TideCheck’in kılığına giriyor. CIA ajanları uygulamayı hedefteki cihaza kendileri yüklemek zorunda ve daha sonra yazılımın devamlılığı için en az bir kere çalıştırmaları gerek.

HighRise ilk çalışmaya başlarken CIA ajanının ayarlara erişmek için özel bir şifre girmesi gerekiyor. Şifrenin Arapça okunuşu ile ‘inshallah’ olması belgenin en çarpıcı detaylarından biri. Şifre olarak neden inshallah seçildiği bilinmiyor ancak www.hackread.com sitesine göre sebeplerden biri uygulamanın Arapları ya da Müslümanları hedef aldığı ihtimali olabilir.

Bir başka yoruma göre ise HighRise aslınd CIA ajanlarının kendi telefonlarına yükleniyor ve zararlı yazılımlı telefonlardan gelen SMS’lerle sözkonusu verilerin gönderildiği sunucular arasında proxy (vekil) görevi görüyor.

İlgili haber>> CIA’in kolu FBI ve NSA’ya kadar uzanmış

Bahsi geçen ‘inshallah’ şifresi bir kez girilince üç opsiyona sahip kurulum paneli açılıyor. İlk buton uygulamayı başlatıyor, ikincisi yazılımın kurulum dosyasını gösteriyor üçüncüsü ise CIA ajanına hedef telefondaki SMS’leri uzaktaki bir CIA sunucusuna gönderme yetkisi veriyor.

HighRise’ın kılavuzuna göre yazılımın başlıca özellikleri şunlar:

*Gelen bütün SMS’lerin kopyalarını bir CIA ajanı kontrolündeki internet tabanlı bir sunucuya göndermek.

*Hedefteki akıllı telefondaki SMS mesajlarını yollamak.

*HighRise kullanan CIA görevlisi ile dinleme istasyonları arasında iletişim kanalı sağlamak.

*TLS/SSL (dinlemelerin ve veri üzerinde oynamaların önüne geçilecek ekilde güvenli internet haberleşmesi)

Son iki özelliğe bakıldığında HighRise hedefteki telefona yüklenmesi gereken bir yazılım değil ancak uygulama CIA ajanlarının telefonlarına yüklenmesi suretiyle, ajanlarla amirleri arasında ikincil ve şifreli bir iletişim kanalı sağlayabiliyor.

Siber Bülten abone listesine kaydolmak için doldurunuz