TOPIC:

Gelişmiş siber casusluk tehditleri (APT) olarak bilinen Flamer, DUQU, Stuxnet gibi organize ve teknik açıdan güçlü kurum/kuruluş veya kişiler tarafından hazırlandığı düşünülen zararlı yazılımların ardından, siber dünya, yeni bir gelişmiş siber casusluk tehdidini; "Elderwood Projesi" ni tartışmaktadır. Symantec firması "Elderwood Projesi" ile ilgili bir rapor yayınlamıştır. Bu yazı da [1]'de verilen Symantec raporununun incelemesi ve değerlendirmesi niteliğindedir.

Bahsi geçen raporda Symantec;

2009 Yılında Google; Hydraq (Aurora) isimli truva atı kullanan bir grup tarafından siber casusluk saldırısına uğramıştır. Bu olay sonrasında, Symantec firması, son 3 yıl içerisinde bu grubun aktivitelerini gözlemlemiş ve grubun birçok sayıda endüstriye saldırıda bulunduğunu tespit etmiştir.

Grubun yapmış olduğu saldırılarda ve hedeflerinde ilgi çekici ortak özellikler bulunmaktadır. Symantec'in raporuna göre bu özellikler şunlardır:

Saldırılarında; asıl hedefledikleri kurumların malzeme veya diğer ihtiyaçları konusunda tedarikçisi olan, hedef firmalar tarafından ziyaret edilmesi muhtemel firmalara saldırmaktadırlar.

Çok sayıda sıfırıncı gün açıklığı kullanmaktadırlar.

Hedefleri arasında savunma sanayi firmaları ve BT servis sağlayıcıları vardır. Fakat hedefler bunlarla sınırlı değildir.

Hazırlamış oldukları truva atlarını, Hydraq truva atında kullanılan paketleme yöntemi ile paketlemektedirler.

Söz konusu saldırgan grup; birçok endüstriye, çok sayıda sıfırıncı gün (zero-day) açıklığını kullanarak saldırmaktadır. Saldırılarında benzerlikler gösteren grubun daha önce sıfırıncı gün açıklığından istifade ederek hazırlanmış olan Flamer, Stuxnet, Duqu, Sykipot, Nitro gibi organize siber tehditlerden en önemli farkı; kullanılan sıfırıncı gün açıklıkları sayısının yüksek olmasıdır.

Aslında, ciddi tehlikeler arz edebilecek sıfırıncı gün açıklıkları yıllara göre yüksek sayılarda ortaya çıkmazlar. Mesela bu sayı, Symantec'in raporuna göre 2011 yılı içerisinde 8 kabul edilebilir. Fakat söz konusu saldırgan grubun sadece geçtiğimiz bir-iki ay içerisinde tespit edilen 4 tane sıfırıncı gün açıklığı ile saldırı yapmış olduğu belirlenmiştir [1].

Bu grubun incelenmesinin ardından, kurum ve kuruluşlara yapılan bazı saldırıların da söz konusu grup ile bağlantılı olduğu, kullanılan yöntemlerden ve açıklıklardan anlaşılmaktadır.Bu sayıda, başarılı organize saldırının, önemli ve güçlü firmalara karşı gerçekleştirilebilmesi güvenlik dünyasını, saldırıda kullanılan bir platformun varlığı düşüncesine sürüklemiştir. Söz konusu platforma da, saldırıda kullanılan kaynak koda ait bir değişkenin ismi olan "Elderwood" ismi verilmiştir.

Yukarıda genel hatlarıyla bahsetmiş olduğumuz platforma; güvenlik dünyasını götüren yolların detaylarından bahsedelim.

2010 yılı Aralık ayında, Google firması, altyapısına; Çin kaynaklı bir siber saldırının, 2009 senesinin Aralık ayında gerçekleştirildiğini belgelemiştir. Saldırganların dağıtmakta olduğu Hydraq ismi verilen truva atı, CVE-2010-0249 koduna sahip Internet Explorer uygulamasında var olan bir sıfırıncı gün açıklığını kullanmaktadır.

2011 yılı Mart ayında, benzer şekilde asıl hedef olarak belirledikleri kurumların, sıklıkla uğradığı varsayılan, Amnesty International Hong Kong sitesinden, bir truva atı dağıtabilme amacıyla, Adobe Flash uygulamasında bulunan CVE-2011-0609 ve CVE-2011-0611 kodlu açıklıklardan istifade edilmiştir. Söz konusu siteye bir şekilde zararlı yazılım dağıtan bir iFrame eklenmiş ve buradan ilgili açıklıklar yoluyla, asıl hedeflenen sistemlerde, siteye yapılan erişimlerle, sızma girişiminde bulunulmuştur.

Saldırgan grubun, hedef sistemlere sızmak için kullandığı iki temel yöntem var. Birisi e-posta ile oltalama saldırısı ve diğeri de su kaynağı (waterhole) saldırısıdır.

E-posta ile oltalama saldırısı; bildiğimiz üzere zararlı bir ek dosyası iliştirilmiş aldatma e-postaları ile kullanıcıların bilgisayarlarındaki Internet Explorer, Adobe Flash, gibi uygulamalara ait açıklığın sömürülmesiyle kullanıcı bilgisayarlarında yetkisiz erişim elde etmektir.

Waterhole saldırı tekniği ise; hedef sistemlerden erişilmesi muhtemel İternet sayfalarının ele geçirilip, ilgili sayfaya iFrame koymak yoluyla, sayfaya girmesi beklenen hedef sistemlerdeki açıklığın sömürülmesi ile sisteme sızmaktır. Aslında burada kullanılan atak yöntemi Drive-By-Download atağıdır fakat Waterhole atağı Drive-By-Download atak yönteminin hedef sistemlerin bir nevi su kaynağı olarak kabul edilebilecek; yani bir şekilde girmek zorunda kalacağı İnternet adresleri üzerinden yapılmasına denmektedir.

Elbetteki, Elderwood Platformu kullanılarak gerçekleştirilen ataklarda başka yöntemlerde kullanılmaktadır fakat şu an için en çok bilinen ve rastlanılan atak yöntemleri bunlardır.

E-posta ile oltalama yöntemi veya Waterhole yöntemi, eskiden beri bilinen ve birçok yerde kullanılan atak yöntemleridir. Fakat Symantec Firması'nın yapmış olduğu araştırmaya ve istatistiklere göre Hydraq(Aurora) truva atının kullanılmasının ardından bu saldırı yöntemlerinin kullanımında çok ciddi artışlar görülmektedir. Bu tür ataklarla gerçekleştirilen saldırılarda dağıtılan truva atlarını paketlemek için kullanılan yöntemin ortak olması, aynı zamanda gizleme (obfuscation) yönteminin benzerliği ve sıfırıncı gün açıklıklarının sayısının fazla olması 7 Eylül 2012 Symantec Security Response raporuna göre Elderwood Platformunun bir göstergesi olarak değerlendirilmektedir.

7 Eylül 2012 tarihinde Symantec tarafından hazırlanan "The Elderwood Project" Security Response raporunda yukarıda anlattıklarımızı özetleyen, ilgili saldırılardaki benzer bağlantıları gösteren şema aşağıda verilmiştir.

sekil-1.jpg
Şekil 1. Elderwood Projesi İlişki Şeması

Yukarıdaki şekilde de görüldüğü üzere, Hydraq truva atının packer'ı ile diğer truva atlarının packer'ı ortak kullanılmıştır. Birçok ciddi seviyede tehlike içeren sıfırıncı gün açıklığı tespit edilmiş ve bunlar saldırılarda ortak olarak kullanılmıştır. Yazının ilerleyen kısımlarında da açıklayacağımız gibi SWF dosyası ve gizleme (obfuscation) tekniği de ortak olarak kullanılmaktadır.

Elderwood platformu ile ilgili olduğu düşünülen açıklıkların gösterildiği tablo aşağıda verilmiştir.

tablo-1.jpg
Tablo 1. Elderwood Saldırganlarının Kullandıkları Açıklıklar

Platform Yapısı:

sekil-2.jpg
Şekil 2. Elderwood Platformu Çalışma Prensibi

Şekil 2. de çalışma yöntemi gösterilen Elderwood Platfomu'nun temel özelliklerinden kısaca bahsedelim. Her bir atakta truva atı kullanarak kullanıcı bilgisayar köle hale getirilmesi hedeflenmektedir. Platforma ait olduğu düşünülen truva atları Tablo 2. de verilmiştir.

tablo-2.jpg
TABLO 2. İlgili Olduğu Düşünülen Truva Atları

Bu truva atları ortak bir paketleyici (Hydraq packer) ile paketlenmektedir.

Ataklarda kullanılan saldırı e-postalarına eklenmiş olan zararlı dosyaların hazırlanabileceği ortak bir araç kullanılmaktadır.

Exploit kodunun doğru çalışmasını sağlamak için ortak kullanılan bir Shockwave Flash dosyası vardır. Bu dosya exploit kodunun hafıza da doğru yerde çalıştırabilmesi için kullanılan bir dosyadır. Hafızanın, exploit kodunun koyulacağı kısmını ayarladıktan sonra kodun nereden alacağı değişkenine göre, kodu alıp hafızanın ilgili yerine yazılmasını sağlamaktadır. Hata olasılığını azaltmak için, platformu oluşturanlar ortak bir SWF kullanmaktadır. Exploit kodunun nereden alacağını belirleyen değişkene birçok saldırıda "Elderwood" ismi verilmektedir. Bu nedenle platforma ve projeye "Elderwood" ismi verilmiştir.

Truva atlarının C&C olarak kullandıkları birçok sayıda ortak sunucu bulunmaktadır. Platforma ait olduğu tahmin edilen C&C domain bilgileri de Tablo 3. de verilmiştir.

tablo-3.jpg
TABLO 3. Elderwood Projesi ile İlgili Olduğu Düşünülen C&C Sunucuları

Ele geçirilen bilgisayarlardan sızdırılan bilgilerin analiz edildiği bir ortamında var olduğuna inanılmaktadır fakat bununla ilgili ciddi bir tespit henüz söz konusu değildir.

Sonuç olarak, büyük firmalara ve ülkelere yönelik yapılan siber saldırıların ilgi çekici ortak özellikleri bulunmaktadır. Bu ortak özellikler arasında amatör olarak yapılması mümkün olmayan yöntemler ve bulgular mevcuttur. Dolayısıyla, siber savaş tartışıldığında APT olarak, sadece SCADA sistemlere yönelik saldırıda bulunan zararlı yazılımları değil aynı zamanda bu yazılımları ve saldırıları otomatize eden sistemleri de göz önünde bulundurmak gerekmektedir.