btbilgi

Cisco ve Symantec’in dün hakkında özel raporlar yayımladığı kötü niyetli VPNFilter yazılımı olayında önemli bir gelişme yaşandı. ABD istihbarat teşkilatlarından FBI’ın, 54 ülkede 500 bin‘den fazla router cihazına (trafik yönlendirici) bulaşmayı başaran yazılımın dağıtım sitesinin kontrolünü ele geçirdiği haber ediliyor. Daily Beast sitesinin verdiği bilgiye göre, FBI bir resmi açıklama ile saldırıların arkasında Sofacy denilen bir grubun olduğunu söylemiş.

FBI raporunda eski adı ile ‘Fancy Bear’ diye bilinen Sofacy grubunun, Rusya hükümetinin istihabarat örgütlerinden birine bağlı çalıştığı iddia edilmekte. Bu grubun daha önce de birçok siber saldırı gerçekleştirdiği aktarılmakta. Bunların arasında en ünlüsü, 2016’daki ABD seçimleri döneminde Demokratik Ulusal Komite’ye yapılan hacker operasyonu olarak gösteriliyor.

Kötü niyetli VPNFilter yazılımını çok tehlikeli hale getiren özellik, aşamalar halinde çalışıyor olması. Router cihazına bulaştıktan sonra ilk aşamada yazılım kendini cihazın belleğine eklemekte. Bu sayede cihazı yeniden başlatmak bile işe yaramıyor ve ilk aşama saldırı cihazda kalmaya devam ediyor. İkinci aşamada yazılım cihazın yönetici kontrollerini ele geçiriyor, cihazdan geçen dosyaları taramaya ve dışarıya aktarmaya başlıyor. Bu aşamada saldırganlar isterse cihaza uzaktan kumanda ederek, fimware (sabit ana yazılım) yazılımını bile silebilir. Bu da router’ı tamamen kullanılmaz hale getirmeye yarıyor.

Dünya çapında 500 bin router cihazına hacker saldırısı: VPNFilter
Kaynak: Cisco

Üçüncü aşamada ise iki eklenti kuruluyor. Biri web sitesi login bilgileri gibi hassas verileri toplamak, diğeri ise ikinci aşama için TOR sunucuları üzerinden iletişim kurmak için. Bu ikinci eklenti sayesinde VPNFilter ve komut verici sunusu aradındaki veri trafiği anonim hale getirilmekte. Yani kimse trafiğin nereye gittiğini takip edemiyor.

FBI kurumunun bu saldırıları 2017’nin Ağustos ayından beri gözlemlediği raporlanmış. Kurum Pennsylvania’daki bir federal mahkemeden müdahale için izin almış. Düzenlenen siber operasyon sonucunda, yazılımın bağlanıp komut aldığı ve veri ilettiği saptanan “ToKnowAll.com” isimli web sayfası çökertilmiş. Symantec’in teknik müdürü Vikram Thakur, FBI operasyonu ardından VPNFilter’ın router yeniden başlatma sonucunda tekrar aktive olma özelliğinin durdurulduğunu açıklamış.

Yorumlar
btbilgi
PAYLAŞ
blank
xTRlarge, Türkiye'nin (TR) üretici ve yenilikçi potansiyelini sergilemek; farklı bakış açılarını, yeni tarzları, x sayıda yeni değeri, girişimi, fikri yansıtmak; teknolojiden doğaya, iş yönetiminden tasarıma, insana dair faaliyetlerin en geniş ufkunu sizlerle mümkün olduğu kadar geniş 'large" paylaşabilmek için yola çıktı. Geleceğe inancı olanlarla birlikte mesafe katetmeyi planlıyor.