Wikileaks tarafından sızdırılan 12 Mayıs 2017 tarihli Vault 7 belgesi CIA’in Microsoft Windows platformu için özel olarak hazırladığı iki zararlı yazılıma dair detaylar sunuyor.
AfterMidnight (Geceyarısından Sonra) ve Assassin (suikastçi) kod adlı iki zararlı yazılım, CIA’ye hedef bilgisayarın kontrolünü ele geçirmesine imkan veren bir backdoor (arka kapı açıklığı) işlevi görüyor.
Wikileaks’e göre AfterMidnight kod adlı hackleme aracı, CIA ajanına hedefindeki sisteme zararlı payload’u (görev yükü) yükleme ve çalıştırmasına imkan veriyor. Ana payload, Windows DLL (Dinamik Bağlantı Kütüphanesi) dosyası gibi davranarak Gremlins adı verilen küçük ‘payload’ları çalıştırır. ‘Gremlin’ler, hedefteki yazılımın işlevini bozma, hedef sistemdeki bilgileri toplama ya da diğer ‘gremlin’ler için hizmet sağlama kabiliyetine sahip.
İlgili haber>> CIA, Windows’a “Angelfire” ile saldırmış
AfterMidnight, hedef bilgisayara bir kez yüklendikten sonra yapılandırılmış dinleme istasyonuna geri bildirim yaparak yerine getirilmesi gereken yeni görev olup olmadığını kontrol eder. Eğer varsa bütün yeni ‘gremlin’leri belleğe yüklemeden önce gerekli bütün bileşenleri indirip depolar. Yerel belleğin tamamı, dinleme istasyonu kodu ile şifrelenmiş. AfterMidnight’ın, dinleme istasyonuyla irtibat kuramaması halinde herhangi bir payload’u çalıştırması mümkün değil.
İkinci zararlı Assassin ise Microsoft Windows işletim sistemi kullanan uzak bilgisayarlarda basit bir bilgi toplama platformu sağlayan otomatik bir eklenti. Hedefteki bilgisayara sızıldıktan sonra Assassin eklentiyi bir Windows işlem prosesinde çalıştırıyor. Assassin de tıpkı AfterMidnight gibi dinleme istasyonuna görev almak ya da teslim etmek için sinyal gönderiyor.
Siber Bülten abone listesine kaydolmak için doldurunuz!