Daha önceden ESET tarafından tespit edilen Lojax zararlısından sonra, Ekim ayında yeni bir UEFI bootkit daha keşfedildi.
Siber güvenlik araştırmacıları tarafından tespit edilen, günümüzdeki çoğu bilgisayarı etkileyebilecek şekilde yeni bir UEFI bootkit zararlısı, saldırganların tekniğe fazlasıyla önem vererek çalıştıklarını gözler önüne seriyor. Bilgisayar sistemlerinde donanımla yazılımın buluşması arasındaki katmanlardan birisi olan UEFI (Unified Extensible Firmware Interface), temelde bir yazılım hatta işletim sistemi. Bilgisayarların anakartında EEPROM adını verdiğimiz bir çipte bulunan bu yazılım, günümüzde BIOS’un yerini alıyor. Bu noktanın saldırganlara cazip gelmesinin nedeni ise, bir çipte yer alan yazılımın incelenmesinin sadece son kullanıcı değil birçok alanda çalışan insanlar için de zor olması.
Bilgisayar açıldığında ilk devreye giren şeyin kontrol edilmesi demek, sistem üzerinde çalışan işlemlerin de kontrol edilebileceği anlamına gelir. Bu; işletim sisteminiz, güvenlik yazılımınız, kritik işlemleriniz ve bilgisayar üzerinde yaptığınız her şeyin kontrol edilebilmesi demek.
Büyük güvenlik şirketlerinden Kaspersky LAB tarafından yapılan araştırmaya göre, saldırganların UEFI’nin bulunduğu noktaya göz dikmesinin asıl nedeni de buydu. UEFI birimini etkileyen bir zararlı yazılım, sisteme daha sonraları farklı amaçlar için yerleştirilecek diğer zararlıların tespitini zorlaştırmakla kalmayıp, saldırganların sistemdeki faaliyetlerini rahatça gizleyebilmeleri, görünmez hale getirebilmelerine de imkan tanıyabilir.
Yeni UEFI Bootkit’inden Etkilenen Kişiler Diplomat
Moskova merkezli Kaspersky LAB’ın güvenlik yazılımına yerleştirmiş olduğu firmware tarayıcısının kullanıcılara sunulmasından tam bir sene sonra kullanıcılardan birisinde şüpheli UEFI bir imajı tespit edildi. Araştırmanın ilerlemesinin sonucu olarak aynı şüpheli UEFI imajının 2018 yılında başka bir Asyalı kullanıcıda daha tespit edildiği öğrenildi. Bu zararlıdan etkilenen her iki kullanıcı da aslında birer diplomattı.
Zararlı firmware’nin çalışmadan önce her seferinde Windows Startup klasöründe IntelUpdate.exe adında bir dosyanın varlığını kontrol ettiği analizler sonucu ortaya çıktı. Eğer bu dosya halihazırda kurbanın bilgisayarında mevcut değilse, bu yeni UEFI bootkiti oraya zararlıyı yerleştiriyor. Adından da anlaşılacağı üzere kullanıcıları şüphelendirmemek adına Intel güncelleme yazılımı gibi isimlendirilen bu zararlı modülü, aslında saldırının akışındaki önemli dinamiklerden birisi. Asıl amacı siber espiyonaj ve veri casusluğu olan bu dosya, saldırı zincirindeki ilk basamak görevini gördü.
Zararlının bağlandığı noktalar ve kontrol merkezlerinden yapılan indirmeler ise sistemleri enfekte olmuş kişilere özgü şekilde özelleştirildi.
Güvenlik araştırmacılarından Mark Lechtik ve Igor Kuznetsov, SecureList üzerinde yazmış oldukları blog gönderisinde bir saldırının ne kadar uzun süre kalıcılık sağlayabileceğinin örneği olarak bu zararlının çalışma mantığını anlattı. Firmware hedeflenerek yapılan saldırıların SPI flash çipe yazmanın zorluğu, çeşitli teknikleri bilmeyi gerektirmesi ve işin sonunda başarısız olup çuvallaması gibi risklerin büyük ve çok yüksek olduğu göz önüne alındığında, genel siber tehdit dünyasında bu tarz zararlıları çok görmek zordur. Yine de kalıcılık açısından UEFI sektörü APT grupları için ilgi çekici olsa da, güvenlik firmaları tarafından da bir o kadar göz ardı edilmekte. Blog gönderisinde Kaspersky’nin algılama teknolojisine de değiniliyor.
Bugünlere kadar UEFI sektörünü hedefleyen zararlılar ve bootkitler güvenlik camiasında teori olarak dönüp durdu. UEFI’nin yer aldığı yonganın da yazılabilir olduğunu göz önüne alarak, önyükleme evresinden önce sistemde her şeyi yapabilecek, yazma ve silme eylemlerini yerine getirebilecek zararlıların ortaya çıkabileceği söyleniyordu lakin saldırganlar için çok cazip olsa bile UEFI’nin istismar edilmesi için önceden birkaç engel mevcuttu.
Birkaç Yıl Öncesi: UEFI Rootkit/Bootkit Zararlılarının Ortaya Çıkışı
2014 yılında Absolute Computrace tarafından geliştirilmiş bir hırsızlık önleme yazılımında ortaya çıkabilecek zafiyetlerin ve yazılımın saldırı amacıyla hedef sistemlerde kullanılabileceği ortaya atıldı. Bu konu hakkında yayınlanan blog gönderisinde Kaspersky araştırmacılarından Sergey Belov ve Vitaly Kamluk’un Güvenlik Analizcileri Zirvesi 2014’te yapmış olduğu sunum da örnek verildi. Bu sunumda iki bilgisayar bulunuyordu ve saldırgan bilgisayar kullanılarak hedef bilgisayarın kameraları çalıştırıldı ve bunlar olurken saldırgan bilgisayar kendisini gerçek Computrace sunucusu gibi göstererek uzaktan verileri silmeyi başardı. Bu hırsızlık koruma yazılımı daha sonraları ise LoJack olarak adlandırıldı ve UEFI üzerine gömülü bir yapıya sahip. Bilgisayar, hırsızlık koruması amacıyla Absolute Computrace sunucusuna bağlı kalıyordu.
Asıl ortaya çıkışı iyi niyetli olan LoJack ile hırsızlık koruma yazılımı kullanılarak uzaktan çalınan bilgisayar kontrol edilebiliyor, sıfırlanabiliyor ve IP adresleri ile yaklaşık konumu ortaya çıkarılabiliyordu. İşletim sisteminizi silip baştan yükleseniz hatta sabit diski değiştirseniz bile halen işlevini koruyan bir hırsızlık çözümüydü.
Birçok Üreticinin Bilgisayarlarında Yüklü Geliyor
Kaspersky’nin bulgularına göre LoJack hırsızlık önleme yazılımı birçok iş ve tüketici cihazına kutudan çıktığı haliyle önceden yüklenmiş olarak bulundu. KSN (Kaspersky Security Network) verilerine göre Kaspersky müşterilerinden 150.000 kişinin bilgisayarında da bu yazılım aktif halde çalışmakta. 2014 yılındaki tahmine göre 2 milyon cihazda Computrace istemcisi yüklü ve aktif durumda. Bu bilgisayarlardaki Computrace istemcisinin kimlerin kontrolünde olduğu veya ne amaçlı kullanıldığı ise bilinmiyor. Çoğu BIOS veya UEFI çipinde yer alan bu yazılım, kimi bilgisayarda kapatılabilirken, kimisi böyle bir imkan tanımıyor.
İşin kötü yanı ise, bu yazılımda Absolute Computrace kendi sunucularının doğrulanması için herhangi bir teknik, kontrol yöntemi sağlamamıştı. Bu nedenle çok iyi ve zekice düşünülerek tasarlanmış bir hırsızlık koruma yazılımının istismar edilmesiyle saldırganlar bilgisayarları yönetebilirdi. Yine 2014’deki blog yazısında koruma amaçlı kullanılan yazılımlarda hatalar varsa bu yazılımların saldırılar için kullanılabileceği belirtiliyor. Ancak Absolute Computrace yazılımının bir saldırıda kullanılmadığı fakat tehlikeli bir potansiyele sahip olduğu belirtildi.
İlk UEFI Rootkit: LoJax
Bütün bunların değinildiği 2014 yılından tam olarak 4 sene sonra 2018 yılında ESET tarafından dünyanın en gelişmiş ve en kötü bilinen hacker gruplarından birisinin bu tekniği kullandığını ortaya çıkardı. ESET tarafından tespit edilen LoJax UEFI rootkitinin, Absolute Computrace’nin yazılımının üzerinde oynamalar yapılıp, saldırganlar tarafından kötü amaçlı kodlar eklenmesi sonucunda çeşitli amaçlar güden saldırılarda kullanılmak üzere geliştirildiği ortaya çıktı. Ortaya çıkan zararlı, 2016 yılında Demokratik Ulusal Komite’yi hackleyen Rusya devleti destekli hacker gruplarından olan Fancy Bear’ın sunucularına raporlamalarda bulundu.
Böylece siber tehdit dünyasında ilk kez UEFI zararlılarının aktif olarak kullanılmaya başlandığı ortaya çıktı ve ESET tarafından bu zararlı yazılıma LoJack hırsızlık koruma yazılımının isminden esinlenerek LoJax ismi verildi. Netscout güvenlik firması tarafından LoJax’ın tespit edilmesinden 8 ay sonra bile halen komuta kontrol sunucularının aktif olduğu belirtiliyor.
Hacking Team, 2015 Yılında UEFI Bootkit Geliştirdi
Tek bulgu elbette bunlar değil. İtalya merkezli casus yazılım ürünleri geliştiricisi Hacking Team firmasını hatırlayalım. Orijinal UEFI firmware geliştiricilerinden AMI’nın yazılımının üzerinde eklemeler ve düzenlemeler yapılarak 2015 yılında Hacking Team tarafından bir UEFI bootkit geliştirildiği de sızıntılar sonrası ortaya çıktı. Hacking Team tarafından çeşitli devletlere satılan UEFI bootkitlere ait firmware üzerine eklenen dört modülden üçü kaynak kodlarından kaldırılmıştı fakat dördüncü modül tamamen Hacking Team’a dayanacak şekilde neredeyse sıfırdan yazılmış.
Kaspersky LAB, bu bootkitin hedef bilgisayarlara ne şekilde ve hangi yol ile kurulduğunu bilmiyor fakat tahmin edilen o ki, bilgisayarların sahte bir UEFI BIOS güncellemesi yoluyla enfekte olduğu düşünülüyor. Yine de Kaspersky verilerine göre bu bulgulara da rastlanmadı. Bu nedenle güvenlik araştırmacılarına göre saldırganların hedef cihaza fiziksel erişimleri bulunuyordu. Hacking Team’ın sızan kaynak kodu ve geliştirmiş oldukları hack araçlarının nasıl kullanılacağına dair yazdığı dökümanda VectorEDK adı verilen zararlı UEFI bootkitinin USB bellek kullanarak bilgisayarlara yerleştirileceğine değiniliyordu.
Saldırgan kişinin bu işlemleri gerçekleştirmesi için sadece bilgisayar ile birkaç dakika baş başa kalması yeterli. Kaspersky araştırmacıları ortaya çıkan bu teoriler hakkında kesin açıklamalarda bulunmadı fakat bunun mümkün olduğu bilinen bir gerçek. Çoğu USB cihaz UEFI tarafında saldırılara karşı savunmasız olan kısımda çalışıyor. Sızdırılan Hacking Team belgelerine göre bu yöntem ASUS X550C laptopta da denendi. Bu laptopta da AMI’nin UEFI yazılımını kullanıldığı için Hacking Team’in eklemeler yoluyla yazdığı kötü amaçlı firmware çalıştı.
Yeni UEFI Rootkit/Bootkit Zararlısı: MosaicRegressor
Bütün yazı boyunca anlatıldığı gibi bootkitin asıl amacı kendisinden sonra sistemi kurulacak diğer kötü amaçlı yazılımları gizlemek ve sisteme yüksek düzeyde erişim sağlamaktı. Bu, Kaspersky LAB tarafından MosaicRegressor olarak adlandırıldı. Araştırmacılar tarafından olaylar incelendikçe altından çok daha başka şeyler çıkmaya başladı. Zararlı kütüphanesini oluşturan birkaç modül daha incelendiğinde AV kullanıcılarının bir kısmının UEFI ile alakalı olmayan kısımlarla veya kısımlardan etkilenmiş olabilecekleri ortaya çıktı. Yeni UEFI bootkitinden etkilenen iki bilgisayar kullanıcısından yola çıkılarak keşfedilen kurbanların neredeyse tamamı sivil toplum kuruluşlarının üyesiydi ya da diplomatik makamlarda yer alan kimselerdi. Birçoğu Avrupa, Asya ve Afrika ülkelerinde yer almaktaydı. Bu kişilerin faaliyetlerinde Kuzey Kore ile olan ilişki de dikkat çekiyor.
Kaspersky LAB tarafından MosaicRegressor adı verilen bootkit modülünün tek bir yol kullanılarak yayıldığı keşfedildi. Üzerinde düşünülerek hazırlanmış bir kimlik avı saldırısı söz konusuydu. Saldırı için hazırlanan belgelerden birisi İngilizce birisi ise Rusça hazırlanmıştı ve Kuzey Kore ile ilgili meseleler saldırı için hazırlanmış belgelerde yer almaktaydı. Güvenlik araştırmacıları saldırının arkasında kimlerin olduklarını ortaya çıkarmaya çalışırken, ilginç başka veriler de elde edildi. Yeni UEFI kötü amaçlı yazılımının loglama için kullandığı karakter dizeleri Korece ve Çince içeriyordu ve aynı zamanda saldırganın bilgisayarına yüklediği dillerden birisinin de Çince gözüktüğü dikkatten kaçmıyor. Kaspersky araştırmacılarına göre, saldırganlar Çince konuşan kimselerdi.
Bir başka siber güvenlik firması olan ProtectWise’a göre yeni çıkan MosaicRegressor zararlısına ait komuta kontrol sunucusu bir zamanlar Winnti Umbrella hacker grubu tarafından arka kapı amacıyla kullanılmıştı. Bütün kanıtların toplandığı tek şey ise bu saldırıyı gerçekleştiren aktörlerden birisinin Winnti arka kapısını daha önce kullandığı ve Çince konuştuğu. Kaspersky LAB’a göre Winnti ile ilgili tek kanıt bu olduğundan saldırıyı Winnti’nin yaptığı pek de olası gözükmüyor.
Sonuç
Yine de her şeye rağmen güvenlik yazılımı geliştiren firmalar ve donanım üreticileri tam anlamıyla bu tarz UEFI bootkit saldırılarına karşı yeterince önlem almış gibi durmuyor. Art arda çıkan yeni zararlı örnekleri, çeşitli casus yazılım firmalarının geliştirdiği özel siber silahların kaynak kodlarının yayınlanmasının sonucunda bu zararlıların artık aktif halde kullanım için tehdit aktörleri için ilgi çekici olduğu aşikar.
Yalnızca son kullanıcı için değil, birçok uzman seviyesindeki kullanıcılar için bile UEFI’nin bulunduğu EEPROM bir sır gibidir. Neticede neredeyse hiçbirimiz bilgisayarı her seferinde açmadan önce çipin içerisinde kötü amaçlı bir kod var mı diye kontrol etmiyoruz. Burayı kontrol eden kötü amaçlı bir yazılım bilgisayarın tüm işleyişine müdahale edebilecek seviyeye geliyor.
Kritik makamlarda bulunan kimselerin günümüzde özellikle bu tarz şeylere dikkat etmesi gerekiyor. Mümkün mertebe önemli bilgilerin bulunduğu bilgisayarlar toplu alanlarda, başkalarının yanında bırakılmamalı. Bilinmeyen BIOS ve UEFI güncellemelerinin cihazlara yüklenmemesi, sistemlerde gerçek zamanlı koruma ve firmware tarama özelliği bulunan iyi bir güvenlik yazılımı bulunmasına dikkat edilmeli. Zaman ilerledikçe teknoloji de tehditler de gelişiyor…
