Etiket arşivi: wikileaks

Vault7

İşte CIA’in suikastçi yazılımları!

Yorum yapın

Wikileaks tarafından sızdırılan 12 Mayıs 2017 tarihli Vault 7 belgesi CIA’in Microsoft Windows platformu için özel olarak hazırladığı iki zararlı yazılıma dair detaylar sunuyor.

AfterMidnight (Geceyarısından Sonra) ve Assassin (suikastçi) kod adlı iki zararlı yazılım, CIA’ye hedef bilgisayarın kontrolünü ele geçirmesine imkan veren bir backdoor (arka kapı açıklığı) işlevi görüyor.

Wikileaks’e göre AfterMidnight kod adlı hackleme aracı, CIA ajanına hedefindeki sisteme zararlı payload’u (görev yükü) yükleme ve çalıştırmasına imkan veriyor. Ana payload, Windows DLL (Dinamik Bağlantı Kütüphanesi) dosyası gibi davranarak Gremlins adı verilen küçük ‘payload’ları çalıştırır. ‘Gremlin’ler, hedefteki yazılımın işlevini bozma, hedef sistemdeki bilgileri toplama ya da diğer ‘gremlin’ler için hizmet sağlama kabiliyetine sahip.

İlgili haber>> CIA, Windows’a “Angelfire” ile saldırmış

AfterMidnight, hedef bilgisayara bir kez yüklendikten sonra yapılandırılmış dinleme istasyonuna geri bildirim yaparak yerine getirilmesi gereken yeni görev olup olmadığını kontrol eder. Eğer varsa bütün yeni ‘gremlin’leri belleğe yüklemeden önce gerekli bütün bileşenleri indirip depolar. Yerel belleğin tamamı, dinleme istasyonu kodu ile şifrelenmiş. AfterMidnight’ın, dinleme istasyonuyla irtibat kuramaması halinde herhangi bir payload’u çalıştırması mümkün değil.

İkinci zararlı Assassin ise Microsoft Windows işletim sistemi kullanan uzak bilgisayarlarda basit bir bilgi toplama platformu sağlayan  otomatik bir eklenti. Hedefteki bilgisayara sızıldıktan sonra Assassin eklentiyi bir Windows işlem prosesinde çalıştırıyor. Assassin de tıpkı AfterMidnight gibi dinleme istasyonuna görev almak ya da teslim etmek için sinyal gönderiyor.

Siber Bülten abone listesine kaydolmak için doldurunuz!

Vault7

CIA’in anti-virüs programlarını önlemeye yönelik faaliyeti: Grasshooper

Yorum yapın

CIA’in siber casusluk faaliyetlerini gün yüzüne çıkaran Vault 7 serisinin 7 Nisan 2017 tarihli belgesi ‘Grasshooper’ (Çekirge) adını taşıyor.

Grasshooper, Microsoft Windows işletim sistemleri için geliştirilen bir framework ve hedefteki sisteme sürekli malware (zararlı) yükler oluşturmak için kullanılıyor. Framework ise içerisinde uygulama geliştirme arayüzleri (API) ve programcıların ihtiyaç duyduklarında çağırabilecekleri paylaşımlı bir kod kütüphanesi barından paketlere deniyor.

Grasshooper ile temel amaç PSP denilen kişisel güvenlik ürünlerini önlemek. PSP’lere örnek olarak Kaspersky, Microsoft Security Essentials, Symantec Endpoint gibi anti virüs programları verilebilir. Grasshooper, CIA ajanının özelleştirilmiş bir zararlı payload (yük) oluşturmasına olanak sağlıyor. Payload bir veri transferinde (kablolu, kablosuz ağlar üzerinden) son kullanıcının ilgisini çekecek, yani işe yarayacak kısmı ifade ediyor.

İlgili haber>> CIA, Athena ve Hera ile Windows’un bütün sürümlerine sızmış

CIA ajanı Grasshooper sayesinde bu payload’u çalıştırabiliyor ve işlem sonucu ortaya çıkan sonucu analiz ediyor. Hedefe saldırma, sızma, bilgi toplama gibi pek çok faaliyeti bir arada yapabilen Grasshopper kullanılarak bugüne kadar birçok gizli operasyon gerçekleştirildiği düşünülüyor.

Wikileaks’e göre Grasshooper, CIA’ye bir bilgisayarın güvenlik kapasitesine göre davranan özelleştirilmiş bir eklenti oluşturma kabiliyeti sağlıyor. Grasshooper hedefteki cihaza yönelik, ön kurulum araştırması yapıyor.

Bu araştırma, payload (yük) yüklemesinin yapılabilmesi için hedefteki cihazın yapılandırmasının doğru olup olmadığını belirleme amacı taşıyor. Bu da CIA ajanına hedefteki bilgisayarın Microsoft Windows’un belirli bir versiyonu kullanıp kullanmadığını ya da bilgisayarda bir anti virüs programı olup olmadığını belirleme imkanı veriyor.

İlgili haber>> CIA, Windows’a “Angelfire” ile saldırmış

Grasshoper adı verilen CLI tabanlı framework’ün Windows işletim sistemlerine sızarak antivirüs korumalarını önlemeye çalışmak. Ve ajanların bu şekilde birçok yazılımı devre dışı bıraktığı da tespit edildi.

WikiLeaks’e göre Grasshopper isimli framework, Rus hackerlar tarafından geliştirilmiş olan Carberp isimli zararlı yazılım kodlarının çalınmasıyla oluşturulmuş.

Siber Bülten abone listesine kaydolmak için doldurunuz!

Vault7

CIA’in çok gizli virüs programı: Hive

Yorum yapın

14 Nisan 2017 tarihli Vault 7 belgeleri CIA’in Hive kod adıyla bilinen çok gizli virüs kontrol sistemine dair bilgi sunuyor.

Wikileaks’in sızdırdığı belgeye göre Hive, arka plan görevlerini gerçekleştiren bir bilgisayar programı. Hive, hedefteki masaüstü bilgisayarlardan ve akıllı telefonlardan CIA’ye bilgi aktarmak için CIA tarafından kullanılan halka açık bir HTTPS arayüzüne sahip bir CIA arka uç altyapısı ve bu cihazları belirli görevleri yürütmek için CIA operatörlerinden gelen diğer komutları almak üzere açan araç ve görevlerden oluşuyor.

Hive; Windows, Solaris, MikroTik ve Linux platformları için isteğe göre uyarlanabilir bir eklenti sağlıyor. Bu eklentiler CIA’ye belirli komutlarla iletişime geçmeyi mümkün kılıyor. Kullanıcı kılavuzu, yazılım eklentisinin iki ana fonksiyonundan bahsediyor. Bunlar beacon (işaretçi) ve interaktiv shell (etkileşimli kabuk) olarak ifade edilmiş.

İlgili haber>> CIA, Windows’a “Angelfire” ile saldırmış

İki eklenti de diğer ‘sınırsız özellikli araçlar’ı harekete geçirmek için başlangıç noktası sağlıyor. Eklentiler HTTPS aracılığıyla gizli bir domainin ağ sunucusu ile iletişime geçiyor. Her bir gizli domain, ticari bir VPS’teki (Sanal sunucu) IP adresine bağlı. Bu, tüm gelen trafiği blot adı verilen bir sunucuya yönlendiriyor. Yönlendirilen trafik, geçerli bir işaretçi içerip içermediğinin belirlenmesi için test ediliyor. Eğer içeriyorsa araç işleyicisine gönderiliyor.

Kullanıcı kılavuzu ayrıca mevcut komutlara ilişkin detaylar da ortaya koyuyor. Bunlar arasında dosya yüklemek ve silmek, bilgisayarda uygulama çalıştırmak gibi komutlar var.

Hive, CIA’ye bağlı Gömülü Sistem Geliştirme Birimi (EBD) tarafından geliştirilmiş. Bu birim ayrıca CIA’in Apple sistem yazılımına yönelik hackleme aracı olan Dark Matter’a ilişkin projelerden de sorumlu idi.

Siber Bülten abone listesine kaydolmak için doldurunuz!

Vault7

CIA, Athena ve Hera ile Windows’un bütün sürümlerine sızmış

Yorum yapın

CIA’in geliştirdiği Athena/Hera, XP Pro işletim sisteminden Windows 10’a kadar tüm sistemlerden veri ve iletişim bilgisi çalma amacıyla hayata geçirilmiş bir zararlı yazılım.

Athena’ya dair gizli bilgileri öğrenmemizi sağlayan ise Wikileaks. Wikileaks geçtiğimiz mart ayından bu yana Amerikan Merkezi Haberalma Teşkilatı CIA’ye dair çok gizli  siber belgeler yayınlıyor. Vault 7 adı altında sızdırılan belgelerden 19 Mayıs 2017 tarihli olanı, Athena/Hera adını taşıyan zararlı bir yazılıma dair detaylar içeriyor.

Wikileaks’in iddiasına göre sözkonusu hackleme aracı ile CIA, neredeyse her Windows cihazına sızıp bunları uzaktan kontrol edebiliyor. XP’den Windows 10’a kadar Athena kod adlı yazılım, Windows 8’den Windows 10’a kadar ise Hera kod adlı yazılımı kullanan CIA, bu siber güvenlik şirketi Siege Technologies ile işbirliği içinde geliştirmiş.

Wikileaks’in açıklamasına göre, yüklendikten sonra, zararlı yazılım, bir işaretleme yeteneği (yapılandırma ve görev yönetimi dahil), belirli görevler yerine getirecek zararlı yazılımların hafızaya yüklenmesi / boşaltılması ve hedef sistemdeki belirli klasörlere bu dosyaların gönderilmesi ve alınması olanağı sağlıyor.

Athena CIA’in dinleme istasyonları iletişime geçirecek bir arka kapı kurmak için DLL dosyalarını (programların ortaklaşa yaptıkları görevi koordine eden dosyalar) kullanıyor. Bu ayrıca CIA’ye zarar verilen cihaza ekstra komut göndermesine ve gerektiğinde ek zararlı yazılımlar yüklemesine olanak veriyor.

Siber Bülten abone listesine kaydolmak için doldurunuz!

Vault7

CIA, internetsiz cihazlara ve kapalı ağlara bile sızmış

Yorum yapın

Wikileaks’in CIA’e ilişkin olarak Vault 7 serisi kapsamında yayınladığı 22 Haziran tarihli gizli belge Brutal Kangaroo (vahşi kanguru) adını taşıyor.

Brutal Kangaroo aslında CIA tarafından kullanılan bir programın adı ve bu program ajanlara dolaylı olarak kapalı bir ağa ya da yüksek güvenlikli olduğu düşünülen air-gap ağına sahip bilgisayarlara sızmaya imkan veriyor. Air Gap, internet gibi güvenliği tehdit edebilecek bir bağlantı kullanmak yerine bilgisayarlar arasında veri alış-verişi için bir bağlantı türü.

Air-gap bilgisayarlar internete bağlı olmadığı için bir flaş bellek ya da diğer çıkarılabilir sürücüler bu cihazlardan bilgi transferi sağlamak için tek yöntem. Cihazlardaki mevcut veriler kullanıcılar tarafından kopyalanabiliyor ancak özel bir ağın kısıtlamaları dahilinde yapılabiliyor.

İlgili haber>> Telefonları ‘inşallah’ diyerek hacklemişler!

CIA’ye göre Brutal Kangaroo’nun birçok bileşeni bulunuyor. Bunlardan biri ‘Shattered Assurance’ (yıpranmış teminat). Bir sunucu aracı olan bu bileşen, ‘drifting deadline’ denilen ve cihaza bağlanan herhangi bir USB sürücüsünü bozma kabiliyetine sahip aracı çalıştırıyor. Drifting Deadline USB sürücüsü taktığınızda makineye virüs bulaştıran bir araç.

Birçok kötü yazılım üzerine tıklanması halinde aktive olurken ‘Drifting Deadline’ için Windows Explorer’da görüntülenmesi gerekiyor. Virüs bulaşmış cihaz ana makine haline geliyor ve program bunu virüs dağıtım istasyonu olarak kullanıyor. Eğer ikinci bir kullanıcı USB sürücüsünü başka bir bilgisayara gönderirse bilgisayar da ikinci kademe bir kötü yazılımla virüs bulaştırılmış oluyor.

İlgili haber>> CIA ithal ‘malware’lardan yararlanmış

CIA’in bu program için öngördüğü sistem şu şekilde çalışıyor: Öncelikle hackerlar hedefteki organizasyona ait internet bağlantılı bir bilgisayara virüs bulaştırmak zorunda. Hedef kuruluşta çalışan bir kullanıcı, bu virüslü makineye bir USB sürücüsü taktığında sürücüye de virüs bulaşmış oluyor. Son olarak bu tehlikeli flaş sürücü kapalı ağa ya da air-gap ağına sahip bilgisayara ulaşıyor.