Donanıma gömülü UEFI yazılımı, bilgisayara yüklü işletim sistemi ve bunun üzerinde yer alan başka tüm programlardan evvel çalışmaya başlayan bilgisayarın kıymetli bir kesimi. UEFI yazılımı bir halde makûs hedefli kod içerecek biçimde değiştirilirse, bu kod işletim sisteminden evvel başlatılıyor ve bu da saldırıyı güvenlik tahlilleri açısından potansiyel olarak görünmez hale getiriyor. UEFI verisinin sabit şoförden başka olarak kendine mahsus bir flash yongada yer alması, işletim sistemi büsbütün silinip tekrar yüklense bile tehdidin aygıtta yer almaya devam edeceği manasına geliyor.
Kaspersky araştırmacıları, MosaicRegressor olarak isimlendirilen karmaşık, çok basamaklı modüler bir kampanyada bu çeşit makus hedefli yazılımların bir örneğini buldular. Yeni keşfedilen bu kampanya, casusluk ve UEFI’ye yerleşen makus maksatlı yazılım sayesinde data toplama için kullanıldı.
UEFI bootkit bileşenleri, yüklü olarak Hacking Team tarafından geliştirilen ve kaynak kodu 2015’te çevrimiçi olarak sızdırılan ‘Vector-EDK’ önyükleme setine dayanıyor. Sızan kod, büyük olasılıkla failler tarafından çok az bir geliştirme uğraşıyla kendi yazılımlarını oluşturmak riski azaltmak için kullanıldı.
Akınlar, 2019’un başından beri Kaspersky eserlerine dahil edilen Firmware Scanner yardımıyla tespit edildi. Bu teknoloji, UEFI bellenim imgeleri de dahil olmak üzere ROM BIOS’ta gizlenen tehditleri tespit etmek için özel olarak geliştirildi.
Saldırganların orjinal UEFI aygıt yazılımının üzerine yazmasına müsaade veren kesin bulaşma vektörünü tespit etmek mümkün olmasa da, Kaspersky araştırmacıları, sızdırılan Hacking Team evraklarından VectorEDK hakkında bilinenlere dayanarak bunun nasıl yapılacağına dair olasılıkları çıkardılar. Öbür seçenekleri göz gerisi etmemekle birlikte virüs muhtemelen kurbanın makinesine fizikî erişim yoluyla, bilhassa özel bir güncelleme yardımcı programı içeren önyüklenebilir bir USB bellek yardımıyla giriş yapıyor. Birinci bulaşma sonrası Truva atı indiricisi devreye girerek saldırganın gereksinimlerine uygun rastgele bir ziyanlı kodun işletim sistemi çalışır durumdayken indirilmesini sağlıyor.
Bununla birlikte birçok durumda MosaicRegressor bileşenleri çok daha kolay yollarla, örneğin ileti eklerindeki geçersiz arşivlere gizlenmiş evrakların seçilen amaçlara gönderilmesiyle aygıtlara sızdırıldı. Kampanyanın modüler yapısı, atakların geniş bir alana yayılarak tahlillerden gizlenmesine ve bileşenlerin sadece hedeflenen aygıtlara gönderilmesine yardımcı oldu. Virüs bulaşmış aygıta başlangıçta yüklenen makûs hedefli yazılım, ek yük ve başka makûs emelli yazılımları indirebilen bir program olan Truva atı indiricisinden oluşuyor. İndirilen yüke bağlı olarak, makus maksatlı yazılım keyfi URL’lerden rastgele belgeler indirip yükleyerek hedeflenen makineden bilgi toplayabiliyor.
Keşfedilen kurbanların kontağına dayanarak, araştırmacılar MosaicRegressor’ın Afrika, Asya ve Avrupa’dan diplomatlara ve STK üyelerine yönelik bir dizi gayeli taarruzda kullanıldığını belirledi. Akınların kimileri Rus lisanında amaçlı kimlik avı evrakları içeriyordu. Kimileri ise Kuzey Kore ile ilgiliydi ve makûs maksatlı yazılımları indirmek için yem olarak kullanılıyordu.
Kampanyanın bilinen rastgele bir gelişmiş kalıcı tehdit aktörüyle temasına rastlanmadı.
Kaspersky Global Araştırma ve Tahlil Takımı (GReAT) Kıdemli Güvenlik Araştırmacısı Mark Lechtik, şunları söylüyor: “UEFI akınları tehdit aktörleri için geniş fırsatlar sunsa da, MosaicRegressor bir tehdit aktörünün yabanî ortamda özel yapılmış, makus niyetli bir UEFI eser yazılımı kullandığı, kamuya açık olarak bilinen birinci hadisedir. Hür ortamda evvelce gözlemlenen misal akınlar, yasal bir yazılımın (örneğin LoJax) basitçe yine tasarlanmasıyla gerçekleştiriliyordu. Meğer bu akın, istisnai durumlarda saldırganların kurbanın makinesinde en yüksek seviyede kalıcılığı elde etmek için büyük efor sarf etmeye istekli olduğunu gösteriyor. Tehdit aktörleri araç setlerini çeşitlendirmeye ve yaratıcılığını kullanmaya devam ediyor.”
Kaspersky GReAT Baş Güvenlik Araştırmacısı Igor Kuznetsov da şunları ekliyor: “Sızan üçüncü taraf kaynak kodunun kullanılması ve yeni, gelişmiş bir berbat maksatlı yazılım olarak özelleştirilmesi, bilgi güvenliğinin kıymetini bizlere bir defa daha hatırlatıyor. Ziyanlı yazılım – bir önyükleme seti, berbat gayeli yazılım yahut diğer bir şey olsun – bir kere sızdırıldığında, tehdit aktörleri kıymetli bir avantaj elde eder. Fiyatsız olarak kullanılabilen araçlar, onlara araç setlerini daha az eforla ve daha düşük tespit edilme talihiyle geliştirme ve özelleştirme fırsatı sunuyor.”
Hürriyet
