Geçtiğimiz yıl Amerikan Ulusal Güvenlik Ajansı (NSA) tarafından kullanıldığı iddia edilen istismar yazılımlarını ortaya çıkaran Shadow Brokers adlı hacker grubu, yeni bir “dosya hazinesi” daha yayınladı. Grup, ilk önce açık artırma ile satışa sunduğu “NSA’dan çaldığı” bu dosyalar için, daha sonra ücretsiz bir şifre sundu. Söz konusu dosya, bazı eski Windows sürümlerindeki açıkları içeriyor ve bu yüzden Windows, sızıntının ardından bir güvenlik güncellemesi yayınlamakta gecikmedi. Ancak sızdırılan dosyalar arasında özellikle Ortadoğu’daki bazı bankaların hedef alındığını gösteren veriler de yer alıyor.
İlgili haber >> NSA sızıntısı milyon dolarlık siber silahlar çocukların eline mi geçti?
Shadow Brokers ismi daha önce, geçtiğimiz Ağustos ayında, birçok güvenlik ürününde yer alan açıklıkları içeren ve NSA ile Equation Group ile bağlantılı exploitleri sızdırmalarıyla gündem olmuştu. Grup daha sonra da Equation Group tarafından gizliliği ifşa edildiği iddia edilen bazı IP adreslerini sızdırmıştı. Shadow Brokers, sızdırdıkları bu dosya hazinesi için bir açık artırma düzenlemeyi umuyordu, ancak çok fazla ilgi çekmemişti. Bunun üzerine de grup Ocak ayında “bir veda mesajı” ile birlikte Windows işletim sistemi ile ilgili bazı açıklıkları içeren bir yayın daha yapmıştı.
TRUMP’A SELAM ÇAKTILAR
Ancak Shadow Brokers grubu geçen hafta yayınladığı bu son sızıntısını, “Donald Trump’ın liderliğine olan inancını kaybettikten sonra bir protesto olarak” yaptığını duyurdu. Medium’da yayınladığı mesajında Trump’ın “üssü terk ettiği” belirtilirken, “Amerika’yı yeniden güçlü bir ülke yapmak için” bazı tavsiyelerini sıraladı.
Güvenlik araştırmacıları, hâlâ dosyaları inceliyor. Ancak exploitlerin büyük kısmının daha eski veya kullanılmış sistemleri hedef aldığı görülüyor. Ve sadece bir kişi, bu sızıntının hackerların maskesini düşürebileceğini düşüyor: Edward Snowden.
Snowden, sızıntıyla ilgili Twitter mesajında “sızıntının dolu bir kütüphaneden başka bir yerden yapılamayacağını, NSA’nın bu dosyaları nerede kaybettiğini ve nereden geldiğini kolaylıkla bulabileceğini, bunu yapamamasının ise tam bir skandal olacağını” kaydetti.
HAZİNENİN İÇİNDE NE VAR?
Shadow Brokers’ın son sızıntısında yer alan bazı exploitler, daha önce etkilenmiş olduğu bilinmeyen bazı sağlayıcıları da içeriyor. Ayrıca ‘hazinenin’ içinde bankacılık sistemlerinden veri toplanmasına ilişkin bazı dosya ve sunumlar da yer alıyor.
Motherboard’a konuşan Hacker Fantastic isimli bir güvenlik araştırmacısı, bu dosyaların “artık dosyalar” olduğunu söyledi.
Shadow Brokers’ın hazinesinin içinde bazı dosyalar ve klasörler yer alıyor. Bir alt klasör “Exploits” olarak adlandırılmış, içinde ise “Eternalsynergy,” “Erraticgopher” ve “Emeraldthread” gibi isimleri bulunan çalıştırılabilir dosyalar bulunuyor.
Araştırmacılar bu dosyaların ne için kullanıldığı veya bu hazinenin içinde gerçekten Windows platformuna karşı bir etkili bir exploit olup olmadığı üzerinde çalıştırmalarını sürdürse de, Windows çoktan bir güvenlik güncellemesi yayınladı bile.
Yine Hacker Fantastic’e göre sızdırılan dosyalar “Fevkalade bir veri, dâhili saldırı araçlarının tüm özelliklerini taşıyor.” Daha da önemlisi Hacker Fantastic, bu veriler üzerinde yapılacak analizin bir sıfırıncı gün açıklığı ortaya çıkaracağından emin olduğunu söylüyor.
Güvenlik mimarı Kevin Beaumont’un Motherboard’a yaptığı açıklamaya göre de “Windows implantlarının tümü VirusTotal’ın [bir çevrimiçi dosya tarama aracı] daha önce karşılaşmadığı dosyalar, yani bu dosyalar daha önce hiç görülmemiş.”
Windows tabanlı implantların yer aldığı ODDJOB adlı bir klasörde, “Windows 2003 Enterprise işletim sisteminden Windows XP Professional sistemine kadar hangi sistemlerle çalıştığı” belirtiliyor. Bir başka klasörde ise ODDJOB’un virüs yazılımlarını atlatma başarısı gösteriliyor. Buna göre F-Secure, Kaspersky, Symantec ve daha birçok firmanın yanına “Virüs bulunamadı” etiketi yerleştirilmiş. Dosyanın içinde 2013 ortalarına kadar giden tarih bilgisi bulunuyor.
Bu dosyalara bakıldığında hazinenin, daha eski Windows sistemleri ile ilgili araçlar olduğu anlaşılıyor. Ancak bu elbette rahatlatıcı bir durum değil, zira halen birçok kurum, kuruluş ve şahıslar eski sürüm Windowsları kullanmaya devam ediyor. Exploitlerden bir tanesinin de Windows 8’i hedef aldığı görülüyor.
Bir Microsoft sözcüsü – güvenlik güncellemesi yayınlanmadan önce – Motherboard’a “iddiaları incelediklerini ve müşterileri korumak için gerekli tedbirleri alacaklarını” açıklamıştı.
Hazinede yer alan bir başka klasörde ise “ÇOK GİZLİ” işaretli “JEEPFLEA_MARKET” isimli bir klasör yer alıyor. JEEPFLA’nın, NSA tarafından kullanılan bir elit hackleme birimi olduğu biliniyor.
HEDEFTEKİ BANKALARIN ÇOĞU ORTADOĞU’DA
Dosyalar incelendiğinde ise “JEEPFLEA_MARKET” klasörünün Swift İttifak Erişimi (SSA – Swift Alliance Access) sistemleri ile ilgili olduğu görülüyor. SSA, dünyadaki bankalar tarafından para transferi yapmak için kullanılan bir sistem. Bu klasörün bir bölümünde “9 SAA sunucusunda devam eden tahsilat” başlığı yer alıyor ve bazı bankalara işaret ediliyor. Bu bankaların büyük kısmı ise Ortadoğu bölgesinde yer alıyor.
Shadow Brokers son olarak “Gelecek sefere elimizde ne olacağını kim bilebilir?” mesajını paylaştı.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
[wysija_form id=”2″]