Saldırganlara virüs bulaşmış bir bilgisayara neredeyse sınırsız ve zımnî erişim yetkisi sağlayan makûs gayeli programlar Kartal Escort yahut yazılım araçları rootkit olarak isimlendiriliyor Rootkitler işletim sisteminin yapısına ahenk sağlama yetenekleri nedeniyle saklılık ve tespitten kaçabilmeleriyle ünlü Yıllar boyunca Microsoft tarafından sistemleri korumak için alınan tedbirler sayesinde rootkit Tuzla Escort bileşenlerinin başarılı bir biçimde yerleştirilmesi ve yürütülmesi sıkıntı bir misyon haline geldi Bu nedenle birçok Windows rootkit artık TunnelSnake üzere yüksek profilli APT ataklarında kullanılıyor
Kaspersky kampanyayla ilgili yaptığı araştırmada Anadolu Yakası Escort hedeflenen ağlarda eşsiz bir rootkit tespit etmesinin akabinde eserlerinden misal bir dizi ihtar almaya başladı Moriya olarak isimlendirilen bu rootkit işletim sistemi çekirdeğinin bulunan olarak sadece ayrıcalıklı ve emniyetli kodun çalıştığı bir bellek bölgesi olan Windows çekirdeğinin adres alanından geçen ağ paketlerini yakalıyor ve denetliyor Bu makûs hedefli yazılımın kendisine teslim edilen eşsiz berbat maksatlı paketleri işletim sisteminin ağ yığını tarafından işlenmeden evvel yakalamasına müsaade veriyor
Bu teknik sayesinde saldırganlar güvenlik tahlilleri tarafından tespit edilmekten kaçınmayı başardı İkinci olarak rootkit yaygın kullanılan art kapılardan farklı olarak komut istemek için rastgele bir sunucuya ulaşma yoluna gitmedi Bunun yerine bunları berbat emelli yazılımın incelediği ağ trafiğinin büyük bir kısmıyla harmanlanmış özel olarak işaretlenmiş paketler halinde teslim aldı Bu teknik rootkitin komuta denetim altyapısını sürdürme muhtaçlığını ortadan kaldırmasına tahlilleri engellemesine ve aktivitesini gizlemesine müsaade verdi
Moriya çoğunlukla hedeflenen tertip içindeki savunmasız web sunucularına yönelik akınlar sonucunda konuşlandırıldı Bir örnekte saldırganlar virüslü sunucunun uzaktan denetimine müsaade veren makus gayeli bir kod olan China Chopper web kabuğunu sunucuya bulaştırdı Bu web kabuğu ile elde edilen erişim sayesinde Moriya dağıtılmış oldu
Ayrıyeten saldırganların mahallî ağdaki ana bilgisayarları taramasına yeni amaçlar bulmasına ve yanal hareket gerçekleştirmesine imkan tanıyan rootkit ile birlikte özel olarak yapılmış yahut daha evvel çeşitli Çince konuşan aktörler tarafından kullanıldığı görülen çeşitli araçlara da rastlandı
Şirketin Global Araştırma ve Tahlil Grubu Kıdemli Güvenlik Araştırmacısı Giampaolo Dedola şunları tabir ediyor Söz konusu kampanyayı belli bir aktöre bağlayamasak da APT’de kullanılan maksatlar ve araçlar Çince konuşan kümelerle ilişkili Bu nedenle aktörün muhtemelen Çince konuştuğunu düşünüyoruz Ayrıyeten 2018 yılında bağımsız bir taarruzda kullanılan ve en az 2018’den beri etkin olan bir aktörün kullanıldığını gösteren Moriya’nın eski bir versiyonuna da rastladık Gayelerin profili ve araç seti kampanyadaki emelin casusluk olduğunu gösteriyor
Şirketin Global Araştırma ve Tahlil Takımı Kıdemli Güvenlik Araştırmacısı Mark Lechtik şunları ekliyor Hedeflenen ataklara karşı daha düzgün savunma çizgisi kurma gayretlerimize tehdit aktörleri stratejilerini değiştirerek karşılık veriyorlar Aktörlerin mümkün olduğunca uzun müddet radarın altında kalmak için ek adımlar attıkları yeni araç setlerine yatırım yaptıkları daha özel karmaşık ve tespit edilmesi sıkıntı TunnelSnake üzere kampanyaları sıkça görüyoruz Bununla birlikte son keşfimizde de görüldüğü üzere son derece saklı araçlar da tespit edilebiliyor ve durdurulabiliyor Bu güvenlik tedarikçileri ve tehdit aktörleri ortasında devam eden bir yarış Bu yarışta öne geçmek için siber güvenlik topluluğu olarak birlikte çalışmamız gerekiyor