btbilgi

Dünyaca ünlü donanım firması Asus’un başı ciddi bir siber güvenlik operasyonu ile dertte. Firmanın sattığı bilgisayarlardaki sistemleri güncelleme için kullandığı uygulamaya, siber suçlular tarafından bir arka kapı yerleştirildiği saptanmış durumda. Olayı ortaya çıkartan ve duyuran Kaspersky Labs araştırmacıları, saldırının ilk olarak Ocak 2019’da tespit edildiğini ve potansiyel olarak bir milyondan fazla bilgisayarı etkilemiş olabileceğini aktarmaktalar.

Uzmanlar ShadowHammer adı verilen siber suç operasyonunun Haziran ve Kasım 2018 tarihleri arasında arasında gerçekleştiğine inanıyorlar. Görünüşe göre aslında hackerlar küçük bir grup kurbanı hedeflemişler. Fakat potansiyel olarak sayısız kullanıcıyı tehlikeye atmışlar. ShadowHammer, Asus bilgisayarlarının çoğunda baştan kurulmuş olan ‘Live Update Utility’den yararlanıyor. Bu uygulama sürücüler, BIOS ve UEFI gibi sistemlerin güvenlik güncellemelerini ve yamalarını otomatik şekilde yükleyen program olarak biliniyor.

Kaspersky firması bu güncelleme uygulamasına yerleştirilmiş arka kapıyı kullanan kötü niyetli yazılımı bilgisayarına yüklemiş en az 57 bin 000 kullanıcı tespit etmiş. Rapora göre yazılım “ASUSTeK Computer Inc.” isimli resmi güvenlik sertifikalarıyla imzalandığı için, bu arka kapı saldırısı kolayca tespit edilememiş. Ayrıca kötü niyetli kod barındıran güncelleyici uygulamalar, Asus’un kendi resmi güncelleme sunucularında barındırılmış. Bu da operasyonun farkedilmesini zorlaştıran bir başka etken.

Asus yazılım güncelleme uygulamasında arka kapı
Kaynak: Kaspersky Lab

ShadowHammer operasyonunun, eski ‘Shadowpad’ ve ‘CCleaner’ saldırılarını karmaşıklıkta aşan çok sofistike bir tedarik zinciri saldırısı olduğu bilgisi verilmekte. Ayrıca bu kalıcı tehdit grubunun (advanced persistent threat group – APT) yöntemleri, Asya odaklı online oyun servislerindeki saldırılarda kullanılan arka kapı tekniklerine de benzetilmekte. Güvenlik firması kurbanların büyük çoğunluğunun Rusya, Almanya, Fransa ve İtalya’da olduğunu da aktarıyor.

Asus bu durumdan erkenden, haberler halka açılmadan çok önce haberdar edilmiş. Fakat donanım devi sunucularının tehlikeye girdiğini düşünmediğini söylemiş. Bunun da ötesinde saldırıdan sonra ele geçirilen sertifikalardan birini, kendilerine haber verildikten sonra en az bir ay daha kullanmaya devam etmiş. Güncelleme uygulamasının kullandığı sertifikaların hala iptal edilmediği de ifade ediliyor.

Yorumlar
btbilgi
PAYLAŞ
blank
xTRlarge, Türkiye'nin (TR) üretici ve yenilikçi potansiyelini sergilemek; farklı bakış açılarını, yeni tarzları, x sayıda yeni değeri, girişimi, fikri yansıtmak; teknolojiden doğaya, iş yönetiminden tasarıma, insana dair faaliyetlerin en geniş ufkunu sizlerle mümkün olduğu kadar geniş 'large" paylaşabilmek için yola çıktı. Geleceğe inancı olanlarla birlikte mesafe katetmeyi planlıyor.