Wikileaks geçtiğimiz mart ayından beri CIA tarafından kullanılan yazılımlara dair detaylar yayınlıyor. Vault 7 adı altında yayınlanan belgelerden 20 Temmuz tarihli olanı ise CIA’in müşterisi olduğu Raytheon Blackbird Teknoloji şirketine ait.
Belgelerde şirketin ‘UMBRAGE Component Library’ (UCL) adı verilen projesi kapsamında kullanılan 5 çeşit zararlı yazılımdan bahsediliyor. Bunlar, Rusya ve Çin gibi denizaşırı ülkelere ait, halihazırda kullanımda olan yazılımlar. CIA’in bunlardan kendi zararlı yazılımlarını geliştirmek için yararlandığı belirtiliyor.
İlgili haber>> CIA güvenlik kameralarından görüntü kaydetmiş
Projenin detaylarının yer aldığı belgeler CIA’ye 21 Kasım 2014 ile 11 Eylül 2015 tarihleri arasında sunulmuş. CIA’e begelerin sunulduğu ilk tarih, Raytheon’un bir siber güç merkezi inşa etmek için Blackbird Technologies firmasını satın aldığı tarihten 2 hafta sonrasına denk geliyor. Belgeler çoğunlukla kavram kanıtlama fikirleri ile zararlı yazılımların saldırı vektörleri (attack vectors) için değerlendirmeler içeriyor.
Raytheon Blackbird Technologies, CIA’in Uzaktan Geliştirme Birimi (RDB) için bir çeşit teknoloji izcisi görevi görüyor. Bu görev altındaki sorumluluklar ise, kullanımda olan malware saldırılarını analiz etmek ve CIA’in geliştirme ekibine daha fazla araştırma imkanı ve kendi malware projelerini geliştirmeleri konusunda tavsiyelerde bulunmak.
Bahsi geçen 5 çeşit zararlı yazılım (malware) ise şu şekilde:
- HTTPBrowser RAT
HTTPBrowser uzaktan erişim aracı (RAT), 2015’te Çin’de geliştirildiği düşünülen ‘Casus Panda’ adlı bir siber tehdit unsuru tarafından kullanılıyor. HTTPBrowser RAT, keylogger olarak bilinen ve klavyeye basılan her tuşu bir server’a kaydeden zararlı bir yazılım. Keylogger’lar kişilerin her türlü şifresinin kopyalanıp çalınmasına olanak sağlıyor.
- NfLog RAT (IsSpace)
IsSpace olarak da bilinen NfLog RAT ‘Samuray Panda’ tarafından kullanılıyor. Raytheon’a göre IsSpace, şifreli C2 sunucularını 6 saniyede bir tarayan basit bir uzaktan erişim aracı (RAT). Söz konusu yazılım, bir kullanıcının adminsel yetkileri olduğunu tespit ederse, yükseltilmiş erişim izinlerini kullanarak kendisini yeniden yüklemeye kalkışıyor.
- Regin
Oldukça karmaşık bir malware örneği olarak bilinen Regin, 2013 yılından beri gözetleme ve veri toplamakta kullanılıyor. Raytheon’a göre 6 aşamalı modüler yapısı sayesinde belirli bir hedefe yönelik saldırı kabiliyetini değiştirme noktasında saldırgana esneklik sağlıyor. Kendisini saklama özelliği ile de saldırgana dosya erişimi, event loglarına erişim gibi imkanlar sunuyor.
- HammerToss
Rusya destekli bir zararlı yazılım olduğu düşünülen HammerToss 2014’te faaliyete geçmiş, 2015’te açığa çıkmıştı. HammerToss, komuta ve kontrol fonksiyonlarını gerçekleştirmek için Twitter hesapları, tehlikeli web siteleri, web tabanlı depolama sistemi ya da bulut depolama teknolojilerini kullanıyor. Sözkonusu 5 zararlı yazılımdan en karmaşık olanı.
- Gamker
Gamker veri hırsızlığı yapan bir trojan olarak biliniyor ve hiç bir verinin diske yazılmamasını sağlayan “self-code injection” tekniğini (kendi kendini şifreleme) kullanıyor. Wikileaks’in açıklamasında da belirtildiği üzere sözkonusu ‘malware’lar halihazırda kullanımda olan yazılımlar, dolayısıyla gizli değil. Ancak CIA’in beklentisi açık bir şekilde bu yazılımları kendi malware projelerini geliştirmek için kullanmak.
Bu da sözkonusu zararlı yazılımların sadece kişisel bilgisayarlara ya da sistemlere değil Twitter gibi sosyal medya platformlarına da saldırma noktasında kullanılmasını öngörüyor.
Siber Bülten abone listesine kaydolmak için doldurunuz