Bu saldırı sonucu, bilgisayarın tüm kontrolü neredeyse
tamamen kalıcı olarak ele geçirilebilir. ESET, böyle saldırıların olacağını
öngörerek, 2018 sürüm ürünlerinde eset UEFI Scanner’i devreye sokmuş ve bunu
sağlayan ilk ve tek büyük bilgi güvenliği şirketi olmuştu.
Antivirüs yazılım kuruluşu ESET, bilgisayar sistemlerindeki
en savunmasız bölüm olan UEFI’ye yönelik saldırıların oluşacağını tahmin etmiş
ve 2018 sürüm ürünlerinde artık ESET UEFI Tarayıcı sunduğunu
açıklamıştı.Yapılan öngörü ne yazık ki doğru çıktı. ESET araştırmacıları,
kurbanların bilgisayarına sızmak için UEFI rootkit kullanan ilk siber saldırıyı
2018 Eylül ayı içinde keşfetti. ESET tarafından “LoJax” olarak adlandırılan bu
rootkit, elde edilen tespitlere göre kötü şöhretli Sednit grubu tarafından
kullanılıyor ve Balkanlar ile Doğu Avrupa'daki yüksek profilli hedeflere
yöneliyor.
Konferanslarda konuşulan konu olmaktan çıkıp gerçek oldu
Söz konusu saldırı, bu türde kaydedilen ilk saldırı olma
özelliğini taşırken, konuyu değerlendiren ESET Türkiye Ürün ve Pazarlama Müdürü
Can Erginkurban, "Teoride UEFI rootkitlerin var olduğunu biliyorduk,
araştırmacılarımızın keşfi aktif bir APT grubu tarafından olağan hayatta da
kullanıldıklarını ortaya çıkardı. Yani artık konferanslarda konuşulan ilginç
bir konu olmaktan öte, gerçek bir tehdit oluşturuyorlar" açıklamasını
yaptı.
UEFI ve Rootkit nedir?
UEFI, bilgisayar düğmesine bastığınızda, işletim sistemi
başlamadan hemen önce çalışıp sistemi ve çevre birimlerini çalışmaya hazır hale
getiren temel yazılım bölümü olarak biliniyor. Eski cihazlarda BIOS olarak
bilinen bu bölüm, genellikle sadece fiziksel erişim ile ulaşılabildiği için
bugüne dek korumasız bırakılmıştı. Fakat UEFI ile birlikte daha kolay bir
şekilde uzaktan erişilebilir, dolayısıyla da siber suçlular açısından cazip bir
saldırı hedefi haline geldi. Rootkit ise diğer yazılımların ulaşamadığı
bölümlere kalıcı ve yasa dışı olarak ulaşmak için tasarlanmış zararlı
yazılımlara verilen addır. Rootkit, tipik olarak kendi varlığını veya diğer
başka zararlı yazılımları gizler.
UEFI rootkit nedir?
UEFI rootkitleri, siber saldırıların başlatılmasında oldukça
güçlü ve tehlikeli birer araç olarak kullanılıyor. Tüm bilgisayara açılan
kapının anahtarı olarak, işletim sisteminin yeniden yüklenmesi ya da sabit disk
değişimi gibi güvenlik önlemlerini atlatabilmesiyle tespit edilmesi oldukça
zordur. Dahası, bir UEFI rootkit bulaşmış sistemi temizlemek, cihaz yazılımının
yeniden düzenlenmesi gibi tipik bir kullanıcının sahip olmadığı üst düzeyde
bilgiler gerektiriyor.
Bilgisayarı tamamen ve kalıcı olarak ele geçirebilir
Dolaşımda görülen bu ilk UEFI rootkit, cihaz yazılımlarına
(firmware) ilişkin değişikliklerin oluşturduğu riskleri görmezden gelen
kullanıcılar ve işletmeler için bir uyarı niteliği taşıyor. Can Erginkurban,
"Artık firmware’leri düzenli taramaların dışında bırakmanın bir mazereti
olamaz. Evet, UEFI kullanılan saldırılar şimdiye kadar oldukça ender
görülmekteydi; genelde hedef bilgisayara fiziksel olarak erişimi
gerektiriyordu. Fakat bu tip bir saldırı başarılı olduğunda, bilgisayarın tüm
kontrolünü ele geçirerek neredeyse tamamen kalıcı olabilir ve kullanıcı
yıllarca farkında olmadan bu zararlı ile yaşayabilir" bilgisini paylaştı.
ESET, kullanıcılarını UEFI tarayıcısı ile koruyan tek
üretici
Antivirüs yazılım kuruluşu ESET, bir bilgisayarın cihaz
yazılımındaki zararlı araçları tespit edebilmek üzere tasarlanmış özel koruma
katmanı olan ESET UEFI Tarayıcı’yı (ESET UEFI Scanner) uç nokta güvenlik
çözümlerine ekleyen tek büyük güvenlik sağlayıcısı konumunda. ESET Türkiye Ürün
ve Pazarlama Müdürü Can Erginkurban, “ESET UEFI Tarayıcı sayesinde, bireysel ve
kurumsal müşterilerimiz bu tip saldırıları tespit ederek kendilerini kolayca
koruyabilecek konumdalar" şeklinde konuştu.
Saldırının arkasında Sednit grubunun olduğu tahmin ediliyor
APT28, Strontium, Sofacy veya Fancy Bear olarak da bilinen
Sednit, en azından 2004 yılından beri aktif şekilde faaliyet gösteren APT
gruplarından biri. İddiaya göre 2016 ABD seçimlerini etkileyen Demokratik
Ulusal Komite saldırısı, global televizyon ağı TV5 Monde saldırısı, Dünya
Anti-Doping Ajansı e-posta sızıntısı ve pek çok diğer saldırının arkasında
Sednit olduğuna inanılıyor. Grubun elinde bulunan çeşitli zararlı yazılım
araçlarının bazı örnekleri, ESET araştırmacıları tarafından yayınlanan
makalelerde ve sayısız WeLiveSecurity blog paylaşımında incelendi.
