Thursday, December 4, 2014

İran'ın Stuxnet'e cevabı

Önemli güncelleme: Bazı logoları kaldırdım. Logoları kullanmaktaki amacım firmaların ticari itibarına zarar vermek değildi. Logoları olayların görsel olarak daha net algılanmasını sağladığını düşündüğüm bir şemada yer aldığı için yazıma eklemiştim.
Yazının ana konusu olmamasına ve bütün içerisinde "ayrıntı" olarak görülebilecek bu güvenlik ihlali ile ilgili bağımsız bir kuruluş olan Uluslararası Bilgi Sistemleri Güvenliği Sertifikaları Konsorsiyumu (the International Information Systems Security Certification Consortium - ISC2) tarafından olayla ilgili yayınlanan yazı http://blog.isc2.org/isc2_blog/2012/04/test.html adresinde okunabilir. 


İran 2009 yılından beri gelişmiş yöntemleri ve zararlı yazılımları kullanıldığı siber operasyonların hedefi oluyor. Bunlardan en meşhur olanı hiç şüphesiz Stuxnet’tir. İran özelinde siber savaşın kısa tarihinin; İran’nın bazı sertifika üreticilerinin hacklemesi ile başlayan ve günümüze “satır” operasyonu ile uzanan diğer yüzü ise pek bilinmez.

Resim 1: Cylance firması tarafından "satır operasyonu" için çizilen logo



İran’a karşı siber saldırılar 2010 yılında Stuxnet zararlısının tespiti ile ortaya çıkıyor.
İran buna karşılık olarak 2011 yılında bazı sertifika firmalarını hackliyor. Firmalar zararın gerçek boyutuna ilişkin kapsamlı raporlar yayınlamamak ve olayı örtbas etmeye çabasıyla bilgi saklamakla suçlandı.
2011 yılında “Batı Cephesi” olarak adlandırabileceğimiz, kaynağı belli olmasa da A.B.D., İsrail, İngiltere veya Almanya gibi bir ülkenin elinden çıkmış olabilecek kadar gelişmiş bir zararlı olan Duqu ortaya çıkıyor.
2012 yılında “Batı Cephesi” Flame ve Gauss  zararlı yazılımları ile İran’ı hedef almış, İran ise bunlara “Shamon” ve “Operation Ababil” (Ebabil Operasyonu) ile karşılık vermiştir.
2013 yılında İran A.B.D. Deniz Kuvvetlerinin iç ağını hedef alan bir saldırı gerçekleştirdi.
2014 yılında ise ucu İran’a bağlanabilecek “Saffron Rose”, “Newscaster” ve yeni ortaya çıkan “Satır” Operasyonları görülmüştür.


Resim 2: İran'ın Siber Savaşı. Solda İran'a karşı yapılan saldırılar, Sağda İran'nın başarıya sonuçlandırdığı operasyonlar



Satır Operasyonu
Türkiye’de bazı kurumları da hedef alan “Satır Operasyonu” İran’ın siber savaş gücünün yeni bir boyuta ulaştığına dair önemli kanıtlar sunmaktadır. Operasyona adınız veren “satır” (İngilizce “Cleaver”) kullanılan zararlı yazılımın kaynak kodu içerisinde bir kaç yerde geçmektedir. Örneğin zararlı yazılımın keylogger (basılan tuşları kaydeden bileşen) dizini e:\Projects\Cleaver’dir.

“Satır” operasyonun sadece küçük bir bölümünün gün yüzüne çıkmış olabileceği düşünülmektedir. Bu tür gelişmiş zararlı yazılımların tam olarak nerelere ve kimlere bulaştığının tespit edilmesi ve işlevlerinin tümümün kısa sürede ortaya çıkartılması mümkün olmadığı için bu saldırıdan etkilenen sistemlerin sayısının tespit edilenin çok üstünde olduğunu varsaymak yanlış olmaz.


İran’ı gösteren bulgular
Salman Ghazikhani, Bahman Mohebbi, Kaj, Parviz, Alireza gibi Farsça hacker isimleri.
Operasyona destek için kaydedilen alanadlarının İran’da olması
Saldırılarda kullanılan altyapının bir İran şirketine kayıtlı olması
IP adreslerinin İran’a yönlendirilmesi
Altyapının İsfahan’da bir hosting şirketinde tutulması
Altyapı maliyetinin tek kişinin veya ufak bir grubun yapabileceği yatırımın çok üzerinde olması nedeniyle operasyonu İran devletinin desteklediği düşünülmektedir.

Saldırı Kanada, Çin, İngiltere, Fransa, Almanya, Hindistan, İsrail, Kuveyt, Meksika, Pakistan, Katar, Suudi Arabistan, Güney Kore, Türkiye, Birleşik Arap Emirlikleri ve A.B.D.’de stratejik ve kritik altyapıları hedef almıştır.

Şu ana kadar Türkiye’de ortaya çıkan bulgular ilk hedefin enerji altyapısı olduğunu göstermektedir. Kişisel görüşüm tehlikenin Kamu Kurumlarında ve önemli şirketlerin bünyesinde de yayılmış olabileceği yönündedir. Askeri birimlerin bünyesinde bu operasyonun izlerinin aranmasında fayda olacaktır.

Operasyonun belkemiğini oluşturan zararlı yazılımların içerisinde gelişmiş sıfır gün (0-day) açıklarını istismar eden bir bileşene rastlanmamış, ancak Cisco Switch’lerden IIS sunuculara, Cisco VPN’lerden Linux sunuculara kadar geniş bir hedef yelpazesini istismar edebildiği görülmüştür.

Yapılan incelemede SCADA benzeri sanayi otomasyon sistemlerine sızabilme ve ele geçirme becerisine dair bir bulguya rastlanmamıştır. Kişisel tecrübem bu tür gelişmiş zararlı yazılımların birden fazla sürümünün olabildiğini göstermiştir. Bu nedenle henüz tespit edilememiş SCADA veya PLC sistemlerine özel bir sürümünün de var olabileceğini düşünmekte fayda vardır. Operasyonun havalimanları ve uçuş sistemlerinin yoğun olduğu birimleri hedef alması bu yöndeki görüşümü güçlendirmektedir.


Bazı teknik notlar
Saldırılarda ilk kullanılan vektörler SQL injection ile zafiyetin bulunduğu sunucunun ele geçirilmesi ve oltalama (phishing) saldırıları ile kullanıcı bilgilerinin çalınması gibi görünüyor. Sisteme sızdıktan sonra sistem içerisinde ve ağ üzerinde yayılmak için saldırganların yaygın olarak görülen Windows zafiyetlerini ve sızma testlerinde de sıklıkta kullandığımız Mimikatz yazılımının türevlerini kullandıklarını görüyoruz. Mimikatz ile kullanıcı bilgilerini ele geçirdikten sonra sisteme erişmek için PSExec araçlarının kullanıldığı anlaşılmıştır. 
Saldırı içerisinde artık kronikleşmiş, sızma testlerinde de sıkça karşımıza çıkan MS08-067 zafiyetinin istismar edilmesi anlamlıdır. Bu operasyon başarısını çok özel bir sıfırıncı gün açığından değil, dikkatlice yapılmış bir sızma testinde ortaya çıkartılabilecek ve kapatılabilecek basit zafiyetlere borçludur.
Ağ üzerinde ele geçirdikleri önemli verileri dışarı sızdırmak için saldırganlar yine basit yöntemler kullanmıştır. Saldırganlar anonim bağlantı kabul eden FTP sunucularını ve Netcat yazılımını sızdıkları ağ ve sistemlerden bilgi çalmak için  kullanmışlardır.

Sızdıkları sistemde kalıcı olabilmek için saldırganlar TinyZBot adlı arka kapıyı kullanmış. TinyZBot aşağıda bir kısmını listelediğim gelişmiş bazı özelliklere sahiptir;
SMTP üzerinden veri sızdırabilme
Keylogger özelliği
SOAP üzerinden komut alabilme
Otomatik güncelleme
Ekran görüntüsü alma
İnternet Explorer üzerinde kayıtlı parolaları çalma
FTP üzerinden veri sızdırma
Avira antivirüsü devre dışı bırakma


Kurumunuzun hedef alındığını nasıl anlarsınız?

Aşağıda, bu saldırının kurbanı olduğunuzu gösteren bazı önemli noktaları paylaştım, kullanılan IP adreslerinin, alanadlarının ve zararlı yazılım numune hashlerinin tamamı için benimle iletişime geçebilirsiniz.
İçlerinden birinin bile varlığını tespit ederseniz konuşmamızda fayda var.


Saldırı için kullanılan alanadlarının birkaçı aşağıdadır.
easyresumecreatorpro(dot)com
googleproductupdate(dot)com
googleproductupdate(dot)net
kundenpflege.menrad(dot)de
microsoftactiveservices(dot)com
microsoftmiddleast(dot)com
microsoftonlineupdates(dot)com

Veri sızdırmak için kullanılan email adresleri:
testmail_00001(at)yahoo.com
TerafficAnalyzer(at)yahoo.com
dyanachear(at)beyondsys.com

Operasyonda kullanılan bazı IP adresleri
50.23.164.161
64.120.128.154
64.120.208.74
64.120.208.75
64.120.208.76
64.120.208.78
64.120.208.154
66.96.252.198
78.109.194.114
80.243.182.149

Tespit edilen zararlı numunelerin bazılarının MD-5 Hashleri
01606d42c64e4d15ea07d4e1fbd0c40d
0405adfc8739025ba88c746c8edebfb8
04fdf5b757764af8bc7ef88e0f8fe8c1
0512c5a8807e4fdeb662e61d81cd1645
0593352cadb2789c19c2660e02b2648b
08eabb6164b1b12307931e4f2d95f7c6
0900c3319e4c46ff9478e3e1fa9528a1
0acd8945bd162e5e7aa982cddbd8ecaa
0ad6a01a916f14fc24fa43e46813b3bb
0b2cbfa07fa9a090b35a3dfdb0ebad9d
0b80a8d2c56789b4bda9a56a53e7e2b1
0f4b526d8edf1d3d32c81a692c325733
10d019932fc43e9b39be709f8281203d
1223e93dd4a5ad0536c8232936cb35fe
144064951cceaf1bb81e8f215de76101
14a80287490f3a68d99c0f518b246fd2
17d1f25185b31044eb89a99d50d36a26
18942a44d2b5f2bbf54e2c18ac293915

Tespit edilen zararlı numunelerin bazılarının SHA-256 Hashleri

c30a2fe22050dcac30616a3d27d5c92ea2815d060b365747984913758a209aaa
c74df42cfc7c7221f7f28c67bd726a1caad8453fc35daddfb094aaeede2e8e1e
c9010e060de6a83c3802ed4e6b7f544e6eb2b5420ee2be5c71646e6a27182bea
c901d84878f50a93ab76f2ea31763bebb0acf0c0f9ad86b3abf98e5cde499332
c99fa90038cec60d9aa21a49e537ad9ea55672ed78cf5b429cb4c75ebc5ccd69
c9fc8133e755c14cb02872ba05a2332baefe5e94797479aded46c3db83a7cc14
ca7138bfe08b480386653072482e58f6c48b05a1e7fb8a82cc042806eae9acc2
caa769a21bf97987de4cc92874eaa03e7b0538082c502606aa8ca97823e2e2aa
cd75664edea18e3aa303763e6f6c639b3e90ead4b51c2b3e41c808e3d968c848
cffba2a145d91bdecfa8cb32af6964576889faa04591b503a58507cf89ab7cae
d045ea925cf461da5c58cc2af8a0f96ec7c961ea62ffcf1de0b04abf9b0fa8ac
d11b504b18bc8615e98f3c37d98c6fe11216a0f070a056414ca4407fc298fbd6


Operasyonun kurbanı olduğunuzu anlamanızı sağlayacak diğer ipuçları ve IPS/IDS (Sızma tespit ve engelleme sistemi) imzaları için bana ulaşabilirsiniz.

---------------------------------
---------------------------------
---------------------------------

“Safran Gülü”... “Ebabil”... İran operasyon isimlerine doğu ezgilerini soktu ve aklıma Vedat Özdemir’in “iki resim arasındaki 7 fark” yazısı geldi. Doğu ve Batı arasındaki 7 farkı şöyle söylemiş (ağır siber savaş yazısına renk katması ümidiyle paylaşıyorum):

Doğu incecidir, halıyı uçurur…
Batı birebircidir, adamı uçurur…

Doğu’ya sömürgeciler gitmiştir…
Batı’ya kaşifler gitmiştir…

Doğu temennicidir, “yüreğine sağlık” der…
Batı, nesneldir, “by pass”a girer…

Doğu’nun Batı’ya saldırıları ‘barbarlık’tır…
Batı’nın Doğu’ya saldırıları ‘sefer’dir…

Doğu’da “aşk” olunur…
Batı’da yapılır…

Doğu’nun Ali Baba’sı haramilerle uğraşır…
Batı’nın Godfather’ı da haramilerle uğraşır ama kendisi de bizzat haramidir…

Doğulu cemaatçidir, yoldaş için can cerir…
Batılı bireycidir, kendi kendine intihar eder…

1 comment: