Etiket arşivi: Windows

Vault7

CIA’in çok gizli virüs programı: Hive

Yorum yapın

14 Nisan 2017 tarihli Vault 7 belgeleri CIA’in Hive kod adıyla bilinen çok gizli virüs kontrol sistemine dair bilgi sunuyor.

Wikileaks’in sızdırdığı belgeye göre Hive, arka plan görevlerini gerçekleştiren bir bilgisayar programı. Hive, hedefteki masaüstü bilgisayarlardan ve akıllı telefonlardan CIA’ye bilgi aktarmak için CIA tarafından kullanılan halka açık bir HTTPS arayüzüne sahip bir CIA arka uç altyapısı ve bu cihazları belirli görevleri yürütmek için CIA operatörlerinden gelen diğer komutları almak üzere açan araç ve görevlerden oluşuyor.

Hive; Windows, Solaris, MikroTik ve Linux platformları için isteğe göre uyarlanabilir bir eklenti sağlıyor. Bu eklentiler CIA’ye belirli komutlarla iletişime geçmeyi mümkün kılıyor. Kullanıcı kılavuzu, yazılım eklentisinin iki ana fonksiyonundan bahsediyor. Bunlar beacon (işaretçi) ve interaktiv shell (etkileşimli kabuk) olarak ifade edilmiş.

İlgili haber>> CIA, Windows’a “Angelfire” ile saldırmış

İki eklenti de diğer ‘sınırsız özellikli araçlar’ı harekete geçirmek için başlangıç noktası sağlıyor. Eklentiler HTTPS aracılığıyla gizli bir domainin ağ sunucusu ile iletişime geçiyor. Her bir gizli domain, ticari bir VPS’teki (Sanal sunucu) IP adresine bağlı. Bu, tüm gelen trafiği blot adı verilen bir sunucuya yönlendiriyor. Yönlendirilen trafik, geçerli bir işaretçi içerip içermediğinin belirlenmesi için test ediliyor. Eğer içeriyorsa araç işleyicisine gönderiliyor.

Kullanıcı kılavuzu ayrıca mevcut komutlara ilişkin detaylar da ortaya koyuyor. Bunlar arasında dosya yüklemek ve silmek, bilgisayarda uygulama çalıştırmak gibi komutlar var.

Hive, CIA’ye bağlı Gömülü Sistem Geliştirme Birimi (EBD) tarafından geliştirilmiş. Bu birim ayrıca CIA’in Apple sistem yazılımına yönelik hackleme aracı olan Dark Matter’a ilişkin projelerden de sorumlu idi.

Siber Bülten abone listesine kaydolmak için doldurunuz!

Vault7

CIA, Athena ve Hera ile Windows’un bütün sürümlerine sızmış

Yorum yapın

CIA’in geliştirdiği Athena/Hera, XP Pro işletim sisteminden Windows 10’a kadar tüm sistemlerden veri ve iletişim bilgisi çalma amacıyla hayata geçirilmiş bir zararlı yazılım.

Athena’ya dair gizli bilgileri öğrenmemizi sağlayan ise Wikileaks. Wikileaks geçtiğimiz mart ayından bu yana Amerikan Merkezi Haberalma Teşkilatı CIA’ye dair çok gizli  siber belgeler yayınlıyor. Vault 7 adı altında sızdırılan belgelerden 19 Mayıs 2017 tarihli olanı, Athena/Hera adını taşıyan zararlı bir yazılıma dair detaylar içeriyor.

Wikileaks’in iddiasına göre sözkonusu hackleme aracı ile CIA, neredeyse her Windows cihazına sızıp bunları uzaktan kontrol edebiliyor. XP’den Windows 10’a kadar Athena kod adlı yazılım, Windows 8’den Windows 10’a kadar ise Hera kod adlı yazılımı kullanan CIA, bu siber güvenlik şirketi Siege Technologies ile işbirliği içinde geliştirmiş.

Wikileaks’in açıklamasına göre, yüklendikten sonra, zararlı yazılım, bir işaretleme yeteneği (yapılandırma ve görev yönetimi dahil), belirli görevler yerine getirecek zararlı yazılımların hafızaya yüklenmesi / boşaltılması ve hedef sistemdeki belirli klasörlere bu dosyaların gönderilmesi ve alınması olanağı sağlıyor.

Athena CIA’in dinleme istasyonları iletişime geçirecek bir arka kapı kurmak için DLL dosyalarını (programların ortaklaşa yaptıkları görevi koordine eden dosyalar) kullanıyor. Bu ayrıca CIA’ye zarar verilen cihaza ekstra komut göndermesine ve gerektiğinde ek zararlı yazılımlar yüklemesine olanak veriyor.

Siber Bülten abone listesine kaydolmak için doldurunuz!

Vault7

Yasal dosyaları kötü amaçlı dosyalarla değiştiren hackleme aracı: Pandemic

Yorum yapın

Wikileaks’in Vault 7 serisi kapsamında mart ayından itibaren yayınladığı CIA’ye dair çok gizli siber bilgilerden 1 Haziran 2017 tarihli olanı Pandemic (salgın) adını taşıyor.

CIA’in kullandığı hackleme aracı adından da anlaşılacağı üzere hedefteki bir kuruluşa ait bilgisayar ağına kötü amaçlı yazılım bulaştırmayı amaçlıyor.

Bahsi geçen hackleme aracı, bir bilgisayar ağına dosya sistemi filtre sürücüsü yükleyebiliyor yasal dosyaları zararlı yazılımlar ile değiştirebiliyor. Bu zararlı yazılımlar SMB aracılığıyla uzaktan sisteme girişi yapılıyor. SMB, Windows’un ağ üzerinde dosya ve yazıcı paylaşımı yapmasını veya paylaşılan dosya ve yazıcılara erişmesini sağlayan bir protokol.

İlgili haber>> Telefonları ‘inşallah’ diyerek hacklemişler!

Saldırganlara dosya sunucularına uzaktan erişim sağladıkları cihazlara virüs ve zararlı yazılım bulaştırma imkanı veren Pandemic, burada Microsoft Wiindows dosya sunucuları için bir eklenti görevi görüyor. Pandemic’in yüklenmesi sadece 15 saniyede gerçekleşiyor.

Pandemic, diskteki hedef dosyada fiziksel bir değişiklik yapmıyor. Pandemic’in yüklendiği sistemdeki hedef dosya değişmemiş bir şekilde kalıyor. Pandemic’in hedefindeki kullanıcılar ve hedefteki dosyayı indirmek için SMB kullanan kullanıcılar ‘yenilenen’ dosyayı almış oluyorlar.

Wikileaks’in açıklamasında ise Pandemic şu ifadelerle anlatıldı: “İsminden de anlaşılacağı üzere Pandemic ile virüs bulaşmış olan bilgisayar, bir hastalığı ilk yayan kişi olarak adlandırılan ‘Patient Zero’ gibi davranıyor. Kullanıcı eğer pandemic dosya sunucusundaki programları çalıştırırsa Patient Zero bilgisayar, uzak bilgisayarlara virüs bulaştırıyor.”

Siber Bülten abone listesine kaydolmak için doldurunuz!

Vault7

CIA’in SSH’i aştığı siber gereçler: BothanSpy ve Gyrfalcon

Yorum yapın

Wikileaks’in CIA’in çok gizli siber bilgilerini yayınladığı Vault 7 belgelerinin, 7 Temmuz tarihli olanı, CIA’in zararlı yazılımlarla Linux ve Windows işletim sistemli cihazlardan SSH kimlik bilgilerini nasıl çaldığını ortaya koyuyor.

SSH bir ağ üzerinden baska bilgisayarlara erişim sağlamak, uzak bir bilgisayarda komutlar çalıştırmak ve bir bilgisayardan diğerine dosya transfer etmek için geliştirilmiş bir protokol.

Bu SSH bilgilerinin çalınması için kullanılan zararlı yazılımlar ise BothanSpy ve Gyrfalcon olarak adlandırılmış.

BothanSpy, Windows kullanan cihazları hedef alıyor. BothanSpy sayesinde kullanıcının sistemine ait SSH kimlik bilgilerinin çalınması mümkün oluyor. SSH kimlik bilgileri bir başka deyişle Secure Shell, bir sisteme uzaktan giriş yapma hakkı sağlayan bilgilerdir. Bunun çalınması demek, CIA ajanının bu bilgileri eline geçirip istediği bir sistemi gasp etmesi anlamına geliyor. Bu bilgiler ayrıca bir kişinin kullanıcı adı ve şifresini de kapsıyor.

Zararlı yazılım bir kez aktive edildi mi, söz konusu bilgisayardan çalınan ilgili datalar doğrudan CIA’in sunucularından birine kaçırılmış oluyor. Böylece kurbanın bilgisayarındaki hiçbir dahili donanım zarar görmemiş oluyor ve veri de daha sonra kullanmak üzere şifreli bir dosyada saklanabiliyor.

Gyrfalcon ise Centos, Rhel, Debian, SuSE ve Ubuntu’yu içeren bütün Linux platformları için kullanılan bir zararlı yazılım. CIA tarafından geliştirilen bu özel yazılımın kurbanın bilgisayarına yüklenmesi gerekiyor. BothanSpy gibi Gyrfalcon da bilgisayarda SSH bilgilerini dolayısıyla sisteme uzaktan girişi mümkün kılacak bilgileri arıyor.

Ancak buna ek olarak OpenSSH aracılığıyla oluşturulan oturum trafiğini kısmen ya da tamamen ele geçirilmesini de sağlıyor. Zira Linux üzerinde SSH bağlantısı OpenSSH uygulaması ile sağlanmakta. Toplanan bilgiler yine şifreli bir dosyada depolanıyor. Daha sonra CIA’in sunucularına kaçırılıyor.

Siber Bülten abone listesine kaydolmak için doldurunuz!

Vault7

CIA sadece kamera ve mikrofonları hacklemiyor, görüntüleri de değiştiriyor

Yorum yapın

Wikileaks’in Vault 7 serisi kapsamında yayınladığı Dumbo Projesi, CIA’in güvenlik sistemlerine saldırmak için hayata geçirdiği gizli projelerinden biri. Söz konusu proje, Windows OS işletim sistemine sahip cihazlardaki web kameralar, mikrofonlar ve diğer cihazların kontrolünü ele geçirmek suretiyle verileri manipule etmek üzerine tasarlanmış bir sistem.

Sızdırılan belgelere göre, Dumbo sistemi video kayıtlarını bozma kabiliyetine sahip. Bu da bazı durumlarda kanıtların silinmesi anlamına geliyor. Ve bu görev CIA bünyesindeki Siber İstihbarat Merkezi’nin (CCI) özel bir birimi olan Fiziksel Erişim Grubu (PAG) için yerine getirilmiş. Sistem, CIA’in operasyonlarında kullanılan hedef bilgisayarlara fiziksel erişim ve verileri kendi çıkarları için kullanma amaçlı kullanılıyor.

İlgili haber>> CIA güvenlik kameralarından görüntü kaydetmiş

Dumbo Projesinin hackleme araçları, web kameralar kanalıyla işlemleri yok etme kabiliyetine sahip. Wikileaks’in basın açıklamasına göre sistem ayrıca web kamerası, mikrofon gibi izleme ve saptama araçlarını kontrol ve manipüle edebiliyor. Sistemin çalışması için hedef bilgisayara bir flaş bellek ile yüklenmesi gerekiyor.

Basın açıklamasında Dumbo sistemi sayesinde mikrofonlar ya da kamera kayıtlarının durdurulabildiğini ve silinebildiği iddia ediliyor. Bu kayıtları yok etmek ya da manipüle etmekteki amaç ise CIA’in saldırı operasyonlarına ait güncel kanıtların yok edilmesi ya da sahte kayıt üretilmesi olarak belirtiliyor.

İlgili haber>> CIA’in kolu FBI ve NSA’ya kadar uzanmış

WikiLeaks daha önce Haziran 2012’de Dumbo belgeleri yayınlamıştı. O dönemde yayınlanan belge, sistemin CIA’in operasyonları engelleyebilecek ya da ajanların kimliğini açığa çıkarabilecek güvenlik sistemlerini devre dışı bırakmak amacıyla’ CIA’in özel birimi tarafından hayata geçirildiğini iddia ediyordu.

Programın çalışması için bir USB flaş bellek gerekiyor. Bu flaş belleğin operasyon tamamlanana kadar Dumbo yüklü cihaza bağlı kalma şartı bulunuyor.

Söz konusu sistem yerel ya da kablosuz ağlar gibi araçları tespit edip web kameraları ve mikrofonların gözetleme ya da dinleme yapmasına engel olabiliyor.

Siber Bülten abone listesine kaydolmak için doldurunuz