Kaspersky araştırmacıları yeni firmware rootkiti "CosmicStrand"ı ortaya çıkardı

İSTANBUL (AA) - Kaspersky araştırmacıları, işletim sistemi yeniden başlatılsa veya Windows yeniden yüklense bile kurbanın makinesinde kalan ve onu uzun vadede çok tehlikeli hale getiren gelişmiş bir kalıcı tehdit (APT) aktörü tarafından geliştirilen yeni bir rootkiti ortaya çıkardı.

Firmadan yapılan açıklamaya göre, "CosmicStrand" olarak adlandırılan bu UEFI firmware rootkit, Vietnam, İran ve Rusya'da nadir görülen vakalarla, büyük ölçüde Çin'deki özel kişilere saldırmak için kullanıldı.

UEFI firmware, donanımların büyük çoğunluğunda kritik bir bileşen. İçeriğindeki kod, cihazı başlatmaktan yani işletim sistemini yükleyen yazılım bileşenini çalıştırmaktan sorumlu. UEFI firmware, bir şekilde kötü amaçlı kod içerecek şekilde değiştirilirse, bu kod işletim sisteminden önce başlatılıyor ve etkinliğini potansiyel olarak güvenlik çözümleri ve işletim sisteminin savunması tarafından görünmez hale getirebiliyor. Bunun sabit diskten ayrı bir yonga üzerinde bulunması, UEFI bellenimine yönelik saldırıları kalıcı hale getirebiliyor. Çünkü işletim sistemi kaç kez yeniden yüklenirse yüklensin, kötü amaçlı yazılım cihazda kalıyor.

Kaspersky araştırmacıları tarafından yapılan son UEFI firmware keşfi olan CosmicStrand, daha önce bilinmeyen bir Çince konuşan aktöre atfediliyor. Saldırganların nihai hedefleri bilinmemekle birlikte, etkilenen kurbanların kurumsal bilgisayarların aksine bireysel kullanıcılar olduğu gözlemlendi. Saldırıya uğrayan tüm makineler Windows tabanlıydı. Bilgisayar her açıldığında, Windows başlatıldıktan sonra bir miktar kötü amaçlı kod yürütüldü. Amacı bir C2 (komut ve kontrol) sunucusuna bağlanmak ve ek bir kötü amaçlı yürütülebilir dosya indirmekti.

Araştırmacılar, ilk etapta rootkitin virüslü makinelere nasıl bulaştığını belirleyemediler. Ancak çevrim içi olarak keşfedilen doğrulanmamış hesaplar, bazı kullanıcıların çevrim içi donanım bileşenleri sipariş ederken güvenliği ihlal edilmiş cihazlar aldığını gösteriyor. CosmicStrand'in en çarpıcı yönü, UEFI implantının 2016'nın sonundan beri (UEFI saldırılarının kamuoyuna açıklanmaya başlamasından çok önce) açık ortamda kullanıldığı görülüyor.

Açıklamada görüşlerine yer verilen Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT) Kıdemli Güvenlik Araştırmacısı Ivan Kwiatkowski, "Yakın zaman önce keşfedilmesine rağmen CosmicStrand UEFI firmware rootkit oldukça uzun bir süredir kullanılıyor gibi görünüyor. Bu, bazı tehdit aktörlerinin 2017'den beri gözlerden uzak tutmayı başardıkları çok gelişmiş yeteneklere sahip olduğunu gösteriyor. Dahası henüz keşfetmediğimiz hangi yeni araçları yarattıklarını da merak ediyoruz." ifadelerini kullandı.

CosmicStrand çerçevesinin ve bileşenlerinin daha ayrıntılı bir analizi Securelist'te yer alıyor.

Kaspersky uzmanları, CosmicStrand gibi tehditlerden korunmak için şunları öneriyor:

"SOC ekibinize en son tehdit istihbaratına (TI) erişimini sağlayın. Kaspersky Tehdit İstihbarat Portalı, TI için 20 yılı aşkın süredir Kaspersky tarafından toplanan siber saldırı verileri ve öngörüleri sağlayan tek bir erişim noktasıdır. Kaspersky Endpoint Detection and Response gibi uç nokta düzeyinde olay algılama, araştırma ve hızla düzeltme için EDR çözümlerini kullanın. Hedefli saldırıların çoğu kimlik avı veya diğer sosyal mühendislik teknikleriyle başladığı için personelinize temel siber güvenlik hijyeni eğitimi sağlayın. Kaspersky Endpoint Security for Business gibi firmware ihlalini algılayabilen sağlam bir uç nokta güvenlik ürünü kullanın. UEFI sabit yazılımınızı düzenli olarak güncelleyin ve yalnızca güvenilir satıcıların ürün yazılımını kullanın."