CIA’in siber casusluk faaliyetlerini gün yüzüne çıkaran Vault 7 serisinin 7 Nisan 2017 tarihli belgesi ‘Grasshooper’ (Çekirge) adını taşıyor.
Grasshooper, Microsoft Windows işletim sistemleri için geliştirilen bir framework ve hedefteki sisteme sürekli malware (zararlı) yükler oluşturmak için kullanılıyor. Framework ise içerisinde uygulama geliştirme arayüzleri (API) ve programcıların ihtiyaç duyduklarında çağırabilecekleri paylaşımlı bir kod kütüphanesi barından paketlere deniyor.
Grasshooper ile temel amaç PSP denilen kişisel güvenlik ürünlerini önlemek. PSP’lere örnek olarak Kaspersky, Microsoft Security Essentials, Symantec Endpoint gibi anti virüs programları verilebilir. Grasshooper, CIA ajanının özelleştirilmiş bir zararlı payload (yük) oluşturmasına olanak sağlıyor. Payload bir veri transferinde (kablolu, kablosuz ağlar üzerinden) son kullanıcının ilgisini çekecek, yani işe yarayacak kısmı ifade ediyor.
İlgili haber>> CIA, Athena ve Hera ile Windows’un bütün sürümlerine sızmış
CIA ajanı Grasshooper sayesinde bu payload’u çalıştırabiliyor ve işlem sonucu ortaya çıkan sonucu analiz ediyor. Hedefe saldırma, sızma, bilgi toplama gibi pek çok faaliyeti bir arada yapabilen Grasshopper kullanılarak bugüne kadar birçok gizli operasyon gerçekleştirildiği düşünülüyor.
Wikileaks’e göre Grasshooper, CIA’ye bir bilgisayarın güvenlik kapasitesine göre davranan özelleştirilmiş bir eklenti oluşturma kabiliyeti sağlıyor. Grasshooper hedefteki cihaza yönelik, ön kurulum araştırması yapıyor.
Bu araştırma, payload (yük) yüklemesinin yapılabilmesi için hedefteki cihazın yapılandırmasının doğru olup olmadığını belirleme amacı taşıyor. Bu da CIA ajanına hedefteki bilgisayarın Microsoft Windows’un belirli bir versiyonu kullanıp kullanmadığını ya da bilgisayarda bir anti virüs programı olup olmadığını belirleme imkanı veriyor.
İlgili haber>> CIA, Windows’a “Angelfire” ile saldırmış
Grasshoper adı verilen CLI tabanlı framework’ün Windows işletim sistemlerine sızarak antivirüs korumalarını önlemeye çalışmak. Ve ajanların bu şekilde birçok yazılımı devre dışı bıraktığı da tespit edildi.
WikiLeaks’e göre Grasshopper isimli framework, Rus hackerlar tarafından geliştirilmiş olan Carberp isimli zararlı yazılım kodlarının çalınmasıyla oluşturulmuş.
Siber Bülten abone listesine kaydolmak için doldurunuz!
