Kendisini “Shadow Brokers” adıyla tanıtan hackerlar, 13 Ağustos 2016 yılında NSA’in içindeki Tailored Access Operations (Özel Erişim Operasyonları) birimiyle bağlantılı olduğu düşünülen tehdit grubu Equation Group (Denklem Grubu) tarafından kullanılan zararlı yazılım kodlarını çaldığını duyurmuştu.
Shadow Brokers grubu, o günden beri eşi görülmemiş bilgiler açıklamış olsa da ortaya çıkarılan yeni ‘kanıtlar’, Shadow Brokers’ın Denklem Grubu’ndan kod çalan ilk grup olmadığını gösteriyor.
SHADOW BROKERS’IN ÖNCESİ DE VAR
Amerika-İsrail ortaklığındaki siber güvenlik şirketi Check Point Research araştırmacıları tarafından yayımlanan kapsamlı bir raporda, Shadow Brokers saldırısından iki yıl kadar önce daha önce keşfedilmeyen başka bir sızıntının daha gerçekleştiğini, bunun sonucunda da ABD tarafından geliştirilen siber araçların Çinli bir grubun gelişmiş sürekli tehdit saldırılarıyla ABD’ye karşı kullanıldığını ortaya koydu.
Check Point Research araştırmacılarından Eyal Itkin ve Itay Cohen, “Microsoft tarafından Çinli APT31 veya diğer ismiyle Zirconium grubunun istismar ettiği ileri teknoloji ve havacılık şirketi olan Lockheed Martin tarafından Microsoft’a bildirilen CVE-2017-0005 sıfırıncı gün açıklığının aslında ‘EpMe’ kod adlı Denklem Grubu istismarının bir kopyası” olduğunu ortaya koydu. Ayrıca Eyal Itkin ve Itay Cohen, APT31 grubunun, Shadow Brokers sızıntısından iki yıldan fazla bir süre önce ‘EpMe’ dosyalarının hem 32bitlik hem de 64bitlik sürümlerine eriştiğini belirtti. Lockheed Martin şirketinin bu güvenlik açığını Microsoft’a bildirmesi ise araştırmacılarda şirkete yönelik bir saldırı gerçekleştiğine dair şüphe uyandırdı.
Apple’ın açığını bulan Ünüver: Elimizde henüz bildirmediğimiz zafiyet var
Siber güvenlik firması Kaspersky’nin 2015 yılında duyurduğu raporla birlikte duyurulan Denklem Grubu, ismini kapsamlı şifreleme kullanımından alıyor. 1996 yılından beri faaliyet gösteren Denklem Grubu’nun on binlerce kurbanı olduğu düşünülüyor.
2017 YILINA KADAR KULLANILMIŞ
İlk olarak Mart 2017’de ortaya çıkan CVE-2017-0005, Windows XP ve Windows 8’e kadar çalışan sistemlerdeki ayrıcalık yükselmesine (EoP) izin veren Windows Win32k bileşenlerindeki güvenlik zafiyeti olarak biliniyor. Check Point araştırmacıları ‘EpMe’den kopyalanmış varyanta ise ‘Jian’ adını verdiler. Araştırmacılar, 2014 yılında kopyalanan Jian’ın 2015’ten itibaren, Microsoft tarafından 2017 yılında yamalanana kadar kullanıldığını tespit ettiler.
Fikri mülkiyet hırsızlığı ve kimlik bilgisi toplama konusunda üst düzey yetenekler sergileyen ve Çin hükümetinin emriyle keşif operasyonları yürüttüğü iddia edilen devlet destekli hacker grubu APT31’in (Zirconium), bir saldırganın dosyaları karşıya yüklemesine, indirmesine ve rastgele komutlar yürütmesine olanak tanıyan, GitHub’da bulunan Python tabanlı bir implantı indirmeye yarayan bağlantılarla, kimlik avı saldırıları ve ABD seçim personellerini hedef alan saldırıları yürüttüğü düşünülüyor. Grubun devletleri, uluslararası finans kuruluşlarını, havacılık sektörünü, savunma sanayisini, telekomünikasyon şirketlerini, medya ve sigorta sektörlerini ve çeşitli teknoloji sektörlerini hedef aldığı da biliniyor.
DanderSpritz sömürü sonrası çerçevesinin, ikisi 2013’te geliştirilme sırasında sıfırıncı gün olan dört farklı Windows EoP modülü içerdiğini belirten Check Point araştırmacıları, “EpMo” olarak adlandırılan sıfırıncı günlerden birinin, Shadow Brokers sızıntısına yanıt olarak Mayıs 2017’de Microsoft tarafından belirli bir CVE-ID olmadan sessizce yamalandığını söyledi. EpMe ise bir diğer sıfırıncı gündü.
DanderSpritz, 14 Nisan 2017’de Shadow Breakers tarafından “Lost in Translation” başlıklı bir gönderi altında sızdırılan çeşitli istismar araçlarından biriydi. Sızıntı en çok, 65’in üzerinde ülkede on milyarlarca dolar değerinde zarara neden olan WannaCry ve NotPetya gibi fidye yazılımlarına yetenek kazandıran ‘EternalBlue’ istismarını yayınlamasıyla tanınıyor.
İşin ilginç kısmı ise EpMo’nun kaynak kodunun dört yıl önceki Shadow Brokers sızıntısından bu yana GitHub’da herkese açık olmasına rağmen ilk defa yeni bir Denklem Grubu istismarı ortaya çıkmış olması.
Denklem Grubu ve APT31 istismarlarının yanı sıra EpMe istismarının Microsoft’un CVE-2017-0005 sıfırıncı gün açığına tam anlamıyla örtüştüğünü ifade eden araştırmacılar, “Bu yeterli olmazsa, Microsoft’un Mart 2017’de yayınladığı yamayla bu istismarın önüne geçildiği görülmüştür” ifadelerini kullandı.
SIZINTI ÇOK BÜYÜK
Ortaya çıkarılan bu örtüşmenin yanında EpMe ve Jian’ın aynı bellek düzenini ve aynı sabit kodları paylaştığı keşfedildi. Bu keşif de kodların birbirinden kopyalandığı ihtimalini güçlendirdi.
Araştırmacılar, “Dört farklı istismarı içeren bütüncül bir istismar modülünün, GitHub’da dört yıldır fark edilmeden ortalıkta yatması gerçeği, bize Denklem Grubu araçları etrafındaki sızıntının büyüklüğünü gösterir” ifadelerini kullandı.
NSA, siber saldırı düzenlerken hacking gereçlerini Çin’e kaptırmış
ŞİMDİYE KADAR NELER OLDU?
- Denklem Grubu’nun en erken 2013 tarihinden beri bilinen ‘EpMe’ istismarı, daha Zsonra CVE-2017-0005 olarak belirtilen güvenlik açığının orijinal istismarı olarak biliniyor.
- 2014 yılında APT31, Denklem Grubu’nun ‘EpMe’ istismarının hem 32 bitlik hem de 64 bitlik örneklerini çalmayı başardı.
- Saldırganlar “Jian” ı oluşturmak için bunları kopyaladı ve istismarın bu yeni sürümünü kullandı.
- Jian, Lockheed Martin’in IRT’si tarafından yakalandı ve Mart 2017’de güvenlik açığını düzelten Microsoft’a bildirdi. Sıfırıncı gün açıklığı CVE-2017-0005 olarak belirtildi.
- EpMe (CVE-2017-0005), APT31 tarafından kopyalanan ve böylece CVE-2017-0005’in Denklem Grubu yerine ikincisiyle ilişkilendirilmesine neden olan bir Denklem Grubu istismarı olarak biliniyor.
- EpMo – Daha önce keşfedilmemiş ek bir Denklem Grubu istismarı olarak kayıtlara geçti.
- Jian ise APT31’in Lockheed Martin’in IRT’si tarafından vahşi ortamda yakalanan EpMe’nin kopyalanmış versiyonu.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
