Wikileaks’in CIA’nin gizli siber operasyonlarına dair yayınladığı belgelerden biri de ‘Imperial’ (imparatorluk) adını taşıyor.
27 Temmuz tarihli belge, Apple Mac x ve Linux işletim sistemlerini hedef alan üç hackleme aracını içeren Imperial projesine dair detaylar içeriyor. Bu üç hackleme aracı ‘Achilles, SeaPea ve Aeris’ olarak adlandırılmış.
Achilles, CIA ajanlarına zararlı trojan uygulamaları ile yasal Mac OS uygulamalarını bir .DMG (Apple’a özgü disk imaj dosyaları) dosyasında birleştirme imkanı veriyor. Bir başka deyişle yasal .dmg’leri Trojan haline getiren bir araç. Bash programlama dilinde yazılan hackleme aracı, CIA görevlilerine tek seferlik işlem hakkı veriyor.
Hiçbir şeyden kuşkulanmayan kullanıcı, .DMG uzantılı dosyayı Apple marka bilgisayarına yükler yüklemez, Achilles de arka planda çalışmaya başlıyor. Achilles ve ona ait bütün izler güvenli bir şekilde, indirilmiş uygulamadan kaldırılıyor. Bu da araştırmacılar ve antivirüs yazılımlarının, başlangıçtaki zararlı araçları tespit etmesini güçleştiriyor.
SeaPea, Mac OS X sistemleri için gizli bir rootkit (işletim sistemlerinde arka planda çalışan program). Bu araç, CIA ajanlarına önemli dosyaları, işlemleri ve soket bağlantılarını gizleme kabiliyeti vererek, kullanıcıların bilgisi dışında Mac bilgisayarlara girme imkanı veriyor.
Rootkit’in yüklenmesi için yönetici erişimi gerekiyor ve sistemden kaldırmak için de diski formatlamak gerekiyor ya da virüslü Mac bilgisayarın işletim sisteminin güncellenmesi gerekiyor.
CIA’in üçüncü hackleme aracı Aeris, C programlama diliyle geliştirilen bir hackleme aracı. FreeBSD ve Solaris gibi Linux tabanlı işletim sistemlerinde arka kapı açmak için tasarlanmış araç, CIA çalışanları tarafından gizli operasyonlara bağlı olarak kişiye özel amaçlarla modifiye edilip, kullanılabiliyor.
Siber Bülten abone listesine kaydolmak için doldurunuz
Wikileaks geçtiğimiz mart ayından beri CIA tarafından kullanılan yazılımlara dair detaylar yayınlıyor. Vault 7 adı altında yayınlanan belgelerden 20 Temmuz tarihli olanı ise CIA’in müşterisi olduğu Raytheon Blackbird Teknoloji şirketine ait.
Belgelerde şirketin ‘UMBRAGE Component Library’ (UCL) adı verilen projesi kapsamında kullanılan 5 çeşit zararlı yazılımdan bahsediliyor. Bunlar, Rusya ve Çin gibi denizaşırı ülkelere ait, halihazırda kullanımda olan yazılımlar. CIA’in bunlardan kendi zararlı yazılımlarını geliştirmek için yararlandığı belirtiliyor.
Projenin detaylarının yer aldığı belgeler CIA’ye 21 Kasım 2014 ile 11 Eylül 2015 tarihleri arasında sunulmuş. CIA’e begelerin sunulduğu ilk tarih, Raytheon’un bir siber güç merkezi inşa etmek için Blackbird Technologies firmasını satın aldığı tarihten 2 hafta sonrasına denk geliyor. Belgeler çoğunlukla kavram kanıtlama fikirleri ile zararlı yazılımların saldırı vektörleri (attack vectors) için değerlendirmeler içeriyor.
Raytheon Blackbird Technologies, CIA’in Uzaktan Geliştirme Birimi (RDB) için bir çeşit teknoloji izcisi görevi görüyor. Bu görev altındaki sorumluluklar ise, kullanımda olan malware saldırılarını analiz etmek ve CIA’in geliştirme ekibine daha fazla araştırma imkanı ve kendi malware projelerini geliştirmeleri konusunda tavsiyelerde bulunmak.
Bahsi geçen 5 çeşit zararlı yazılım (malware) ise şu şekilde:
HTTPBrowser RAT
HTTPBrowser uzaktan erişim aracı (RAT), 2015’te Çin’de geliştirildiği düşünülen ‘Casus Panda’ adlı bir siber tehdit unsuru tarafından kullanılıyor. HTTPBrowser RAT, keylogger olarak bilinen ve klavyeye basılan her tuşu bir server’a kaydeden zararlı bir yazılım. Keylogger’lar kişilerin her türlü şifresinin kopyalanıp çalınmasına olanak sağlıyor.
NfLog RAT (IsSpace)
IsSpace olarak da bilinen NfLog RAT ‘Samuray Panda’ tarafından kullanılıyor. Raytheon’a göre IsSpace, şifreli C2 sunucularını 6 saniyede bir tarayan basit bir uzaktan erişim aracı (RAT). Söz konusu yazılım, bir kullanıcının adminsel yetkileri olduğunu tespit ederse, yükseltilmiş erişim izinlerini kullanarak kendisini yeniden yüklemeye kalkışıyor.
Regin
Oldukça karmaşık bir malware örneği olarak bilinen Regin, 2013 yılından beri gözetleme ve veri toplamakta kullanılıyor. Raytheon’a göre 6 aşamalı modüler yapısı sayesinde belirli bir hedefe yönelik saldırı kabiliyetini değiştirme noktasında saldırgana esneklik sağlıyor. Kendisini saklama özelliği ile de saldırgana dosya erişimi, event loglarına erişim gibi imkanlar sunuyor.
HammerToss
Rusya destekli bir zararlı yazılım olduğu düşünülen HammerToss 2014’te faaliyete geçmiş, 2015’te açığa çıkmıştı. HammerToss, komuta ve kontrol fonksiyonlarını gerçekleştirmek için Twitter hesapları, tehlikeli web siteleri, web tabanlı depolama sistemi ya da bulut depolama teknolojilerini kullanıyor. Sözkonusu 5 zararlı yazılımdan en karmaşık olanı.
Gamker
Gamker veri hırsızlığı yapan bir trojan olarak biliniyor ve hiç bir verinin diske yazılmamasını sağlayan “self-code injection” tekniğini (kendi kendini şifreleme) kullanıyor. Wikileaks’in açıklamasında da belirtildiği üzere sözkonusu ‘malware’lar halihazırda kullanımda olan yazılımlar, dolayısıyla gizli değil. Ancak CIA’in beklentisi açık bir şekilde bu yazılımları kendi malware projelerini geliştirmek için kullanmak.
Bu da sözkonusu zararlı yazılımların sadece kişisel bilgisayarlara ya da sistemlere değil Twitter gibi sosyal medya platformlarına da saldırma noktasında kullanılmasını öngörüyor.
Siber Bülten abone listesine kaydolmak için doldurunuz
Wikileaks’in Vault 7 serisi kapsamında yayınladığı Dumbo Projesi, CIA’in güvenlik sistemlerine saldırmak için hayata geçirdiği gizli projelerinden biri. Söz konusu proje, Windows OS işletim sistemine sahip cihazlardaki web kameralar, mikrofonlar ve diğer cihazların kontrolünü ele geçirmek suretiyle verileri manipule etmek üzerine tasarlanmış bir sistem.
Sızdırılan belgelere göre, Dumbo sistemi video kayıtlarını bozma kabiliyetine sahip. Bu da bazı durumlarda kanıtların silinmesi anlamına geliyor. Ve bu görev CIA bünyesindeki Siber İstihbarat Merkezi’nin (CCI) özel bir birimi olan Fiziksel Erişim Grubu (PAG) için yerine getirilmiş. Sistem, CIA’in operasyonlarında kullanılan hedef bilgisayarlara fiziksel erişim ve verileri kendi çıkarları için kullanma amaçlı kullanılıyor.
Dumbo Projesinin hackleme araçları, web kameralar kanalıyla işlemleri yok etme kabiliyetine sahip. Wikileaks’in basın açıklamasına göre sistem ayrıca web kamerası, mikrofon gibi izleme ve saptama araçlarını kontrol ve manipüle edebiliyor. Sistemin çalışması için hedef bilgisayara bir flaş bellek ile yüklenmesi gerekiyor.
Basın açıklamasında Dumbo sistemi sayesinde mikrofonlar ya da kamera kayıtlarının durdurulabildiğini ve silinebildiği iddia ediliyor. Bu kayıtları yok etmek ya da manipüle etmekteki amaç ise CIA’in saldırı operasyonlarına ait güncel kanıtların yok edilmesi ya da sahte kayıt üretilmesi olarak belirtiliyor.
WikiLeaks daha önce Haziran 2012’de Dumbo belgeleri yayınlamıştı. O dönemde yayınlanan belge, sistemin CIA’in operasyonları engelleyebilecek ya da ajanların kimliğini açığa çıkarabilecek güvenlik sistemlerini devre dışı bırakmak amacıyla’ CIA’in özel birimi tarafından hayata geçirildiğini iddia ediyordu.
Programın çalışması için bir USB flaş bellek gerekiyor. Bu flaş belleğin operasyon tamamlanana kadar Dumbo yüklü cihaza bağlı kalma şartı bulunuyor.
Söz konusu sistem yerel ya da kablosuz ağlar gibi araçları tespit edip web kameraları ve mikrofonların gözetleme ya da dinleme yapmasına engel olabiliyor.
Siber Bülten abone listesine kaydolmak için doldurunuz
Wikileaks’in Vault 7 adı altında mart ayından bu yana sızdırdığı CIA’ye dair gizli siber belgelerin her biri skandal niteliğinde iddialar içeriyor.
Onlardan biri de 11 Ağustos’ta yayınlanan CouchPotato* Projesi. ‘User Guide for the CouchPotato Project’ (CouchPotato Projesi Kullanım Kılavuzu) adıyla yayınlanan belgeye göre CouchPotato CIA’in kullandığı bir hack’leme aracı. Ve bu araç, internet üzerinden ya da RTSP kullanan özel bir ağdan yayınlanan H.264 videolarını gizlice kaydetmeyi mümkün kılıyor.
Bu formatların çoğunlukla güvenlik kameralarında kullanılıyor oluşu dikkat çekici. Yakalanan görüntü AVI dosyası formatında bir diske kaydediliyor.
CIA’in gizlice yürüttüğü proje, RTSP/H.264 görüntü akışları ile hareketsiz görüntüleri hack’lemek ve uzaktan elde etmeye yönelik olarak hayata geçirilmiş. RTSP, eğlence ve iletişim sistemlerinde medya sunucularındaki verilerin (video, ses, görüntü) akışını kontrol etmek için tasarlanan bir ağ denetim protokolü.
‘Couch Potato’ Wikileaks’in daha önce sızdırdığı Dumbo Projesinden farklı. Dumbo Projesi kapsamında CIA hedefteki bir cihazda bulunana web kameralara fiziksel erişim imkanı sağlamaya çalışıyordu. CouchPotato projesinde ise her şey uzaktan yapılıyor.
Sızdırılan belgelere göre:
CouchPotato birer video formatı olan RTSP/H.264 görüntü akışlarını toplamaya yönelik bir uzaktan bağlantı aracı. Ve bu uzak bağlantı aracı, belirgin farklılığı olan görüntüleri hem video dosyası (AVI) hem de hareketsiz görüntü formatında (JPG) toplama kabiliyetine sahip. CouchPotato, videolar ve imajları şifrelemek ve şifresini çözmek için FFmpeg yazılımını kullanılmış. DLL’in (Dinamik bağlantı kütüphanesi) boyutunu küçültmek için CouchPotato’yu oluşturan FFmpeg’den bir çok ses ve video kod çözücünün yanı sıra diğer gereksiz özellikler de kaldırılmış.
Bir görüntü sağlama algoritması olan pHash, görüntüde değişiklik tespit kabiliyeti sağlamak için FFmpeg’s görüntü çözücüye dahil edilmiş.
CouchPotato’nun 11 sayfalık kullanıcı kılavuzuna bakıldığında bunun tarihinin Şubat 2014’e kadar gittiği ve FFmpeg yazılımı kullandığı görülüyor. Sözkonusu yazılım ücretsiz ve multimedia verilerini yönetmek için kütüphane ve program üretmekte kullanılıyor. CIA’in sözkonusu yazılımı RTSP video ve görüntüyü şifrelemek ve şifresini çözmek için kullandığı belirtiliyor.
Wikileaks’in sızdırdığı belge yalnızca CouchPotato’nun 1.0 versiyonu hakkında ayrıntı içeriyor. Programın ikinci versiyonu olup olmadığı belirsiz. Bununla birlikte program hedefteki cihazda yüksek miktarda CPU (işlemci) kullanıyor. Sistemin handikapı olarak değerlendirilen bu durum, kurbanı şüpheli hale getiriyor.
Siber Bülten abone listesine kaydolmak için doldurunuz
Wikileaks’in Vault 7 serisi kapsamında yayınladığı belgelerden biri de CIA’in FBI, DHS ve NSA gibi diğer istihbarat teşkilatlarına yönelik dahi casusluk faaliyetleri yaptığı iddiasını içeriyor.
Belgelere göre CIA, ExpressLane adını verdiği bir yazılım ile diğer istihbarat birimlerinin kendisiyle bilgi paylaşımı yapıp yapmadığından emin olmak istiyor. Bu kapsamda görevliler aracılığyla 6 ayda bir diğer irtibat bürolarını ziyaret ederek gizli bir şekilde bilgisayarlardan yeni kaydedilmiş biyometrik verileri topluyor.
CIA, biyometrik veri tabanını, bir CIA görevlisinin irtibat bürolarını 6 ayda bir ziyaret edip bir güncelleme yapmasını gerektirecek şekilde tasarlamış. Buna göre; CIA’in görevlisi sözkonusu güncellemeyi yapmazsa sistem çalışmıyor. CIA ajanı sahte güncellemeyi yapmak üzere flaş diski yerleştirince aynı zamanda bilgisayarlara ExpressLane yüklenmiş oluyor.
Sözkonusu uygulama, Windows’un basit bir güncelleştirme durum çubuğu gibi görünen bir açılış ekranı gösteriyor. Böylece irtibat bürosunun elemanları gerçekten güncelleme yapıldığını düşünüp, bir şeyden şüphelenmiyor. Fakat gerçekte ExpressLane, CIA ajanının son ziyaretinden beri hedefteki bilgisayarlara kaydedilen yeni biyometrik verileri topluyor.
Sızdırılan belgelere göre ExpressLane CIA’in Bilim ve Teknoloji Dairesi Başkanlığı (DST) için geliştirildi ve Teknik Hizmetler Bürosu (OTS) ile Kimlik İstihbarat Merkezi (I2C) tarafından kullanıldı.
Wikileaks’in iddiasına göre ExpressLane, biyometrik programlar konusunda uzman CrossMatch şirketi ile ortak geliştirilmiş bir yazılım. CrossMatch aynı zamanda emniyet teşkilatlarına biyometrik çözümler sağlayan bir şirket. Aynı şirket, ABD’nin 2011 yılında Usame Bin Ladin’in kimliğini ve yerini tespit ederken CrossMatch’in araçlarından faydalandığını iddia etmişti.
Wikileaks, Vault 7 kapsamında yayınlanan gizli bilgilerin hacker’lar ve içeriden bazı kişilerin yardımıyla CIA’den elde edildiğini iddia ediyor.
Siber Bülten abone listesine kaydolmak için doldurunuz
