2014 yılının sonlarında ortaya çıkan ve “Pawn
Storm” olarak adlandılan siber casusluk operasyonunda kullanılan yeni bir
bileşen ortaya çıktı. Apple mobil cihazlarda kullanılan iOS işletim sistemini
hedef alan zararlı yazılım “Pawn Storm” (Tür. “Piyon Fırtınası”) operasyonunun
ilk bakışta tahmin ettiğimizden çok daha geniş bir ölçeğe yayılmış
olabileceğine de kanıt oluşturabilecek niteliktedir.
“Pawn Storm” Operasyonu
2007 yılından beri yürütüldüğüne dair kanıtlar
bulunan siber operasyon dünya genelinde Askeri, Kamu, savunma sanayii ve medya
kuruluşlarını hedef almaktadır. A.B.D’li savunma sanayii taşeronu ACADEMI (Eski
adıyla Blackwater), Fransa Savunma Bakanlığı, Avrupa Birliği Güvenlik ve
İşbirliği Örgütü (Organization for Security and Co-operation in Europe), Pakistanlı
üst düzey askeri komutanlar ve Polonya hükümeti şu ana kadar tespit edilebilen
hedeflerden sadece bir kaçı. Operasyon kademeli olarak ve birden fazla zararlı
yazılım ve/veya güvenlik zafiyeti kullanılarak yürülmektedir.
“Pawn Storm” saldırıları
Saldırıların ilk aşaması seçilen hedefe
yönelik özel olarak hazırlanmış bir oltalama (phishing) e-postası yoluyla
zararlı yazılımın Microsoft Office formatında bir belge (PDF, Word ve Excel
görülmüştür) ile gönderilmesidir.
Aşağıda Irak’ta bulunan Vatikan
Büyükelçiliğine gönderilen oltalama e-postası ve ekindeki dosyanın görüntüsü
var.
Resim 1: Gelen oltalama e-postası
Resim 2: Zararlı kod çalışırken görülen belge
Bu örnekte ilgili Word belgesinde bulunan
zararlı kod Microsoft Office 2003, 2007 ve 2010’u etkileyen CVE-2012-0158
zafiyetini istismar ederek saldırganların bu dosyanın açıldığı bilgisayar
üzerinde kod çalıştırmalarını sağlamaktadır.
Aşağıdaki görüntüler ise yine aynı zafiyetin
Microsoft Excel dosyaları kullanılarak Pakistan ordusunun üst düzey
komutanlarına yönelik saldırıda istismar edildiğini görebiliyoruz.
Resim 3: Gelen başka bir oltalama e-postası
Resim 4: Zararlı kod çalışırken görülen belge
İlk aşamanın sonunda hedef bilgisayarı ele
geçiren saldırganlar bu sistemi ikinci aşamada kullanacakları zararlı yazılımı
indirmek için kullanıyorlar. İkinci aşamada indirilen yazılım klavye
hareketlerini komuta sunucusuna iletmektedir.
Saldırganların sistemi ele geçirmek için
kullandıkları zafiyeti kullanarak klavye kaydedici yazılımı indirmemeleri
izlerini daha etkili biçimde gizlemelerini sağlamaktadır. Bu durumda ilk
aşamada kullanılan zararlı yazılım tespit edilse bile ikinci aşamayla ilgili
bilgi sahibi olunamayacağından saldırganların asıl amaçları anlaşılmayacaktır.
Yeni nesil sosyal mühendislik saldırıları
Operasyon kapsamında kullanılan bir diğer
önemli saldırı vektörü ise hedef kuruluşların OWA (Outlook Web Access – kuruluş
e-postalarına tarayıcı üzerinden ulaşılmasına imkan veren arayüz)
erişimleridir.
Saldırganların hedefe gönderdikleri ve popüler
savunma sanayi fuarlarını düzenleyen şirketlerden gelmiş gibi görünen oltalama e-postaları
içerisinde zararlı yazılım yok ancak kullanılan yöntem dikkat çekici.
Saldırganların gönderdiği oltalama e-postasını
OWA üzerinden bağlanarak açan kurbanların tarayıcılarında çalışan bir
Javascript kodu OWA oturumunun sonlandırıldığını ve yeniden parola girilmesi
gerektiğini düşündüren bir ekran gösteriyor.
Güvenlik ve savunma teknoloji fuarı Eurosatory
konferansının sayfasına (eurosatory.com) benzeyecek şekilde eurosatory2014.com
alanadını kullanan saldırganlar yine iki kademeli bir saldırı düzenlemektedir.
İlk aşamada saldırganlar tarafından gönderilen
e-posta üzerindeki bağlantıya tıklandığında kurban saldırganların sayfasına
yönlendiriliyor ve eşzamanlı olarak yeni bir sekmede Eurosatory (konferansın
gerçek sayfası açılıyor).
Diğer sekmede kalan saldırganların sayfası ise
hedef kuruluşa özel olarak hazırlanmış bir alanadı üzerinde barındırılan sahte
bir OWA giriş sayfası oluyor.
Aşağıda Macaristan Savunma Bakanlığı’nı hedef
alan saldırının ekran görüntüsünü bulabilirsiniz.
İkinci sekmede Eurosatory konferansının
sayfası açıkken, kullanıcıya OWA oturumunun sonlandırıldığını ve yeniden şifre
girmesi gerektiğini düşündürecek sahte OWA sayfası görülmektedir.
Resim 5: Gerçek sayfa
Resim 6: Sahte OWA sayfası (konferans sayfası ikinci sekmede)
Macaristan Savunma Bakanlığı’nın OWA
sayfasının adresi mail.hm.gov.hu iken bu saldırıya özel olarak hazırlanmış
alanadı mail.hm.qov.hu dur.
Aynı saldırı yönteminin başka fuarlar ve
ülkeler için de kullanıldığı tespit edilmiştir.
Mobil cephesi
“Pawn Storm” operasyonu adını saldırıların
satrançta kullanılana benzer kademeli taktikleri kullanmasından almaktadır. Bu
benzetmeden devam edecek olursak son olarak tespit edilen piyonlar ile oyunun
düşündüğümüzden ok daha geniş bir alanda oynandığını söyleyebiliriz.
IOS_XAGENT.A ve IOS_XAGENT.B olarak
adlandırılan iki farkı zararlı yazılımın bu operasyon kapsamında Apple iOS
işletim sistemini kullanan mobil cihazları hedef almak için geliştirildiği
görülmektedir.
Hedef alınan kişinin kullandığı iPhone’a
bulaşan zararlı yazılımlar aşağıdaki bilgilere saldırganlara iletebilmektedir:
SMS’ler
Rehberdeki kayıtlar
Fotoğraflar
Konum bilgisi
Yazılımın buna ek olarak sahip olduğu
özellikler şunlardır;
Ses kayıt başlatabilme
Yüklü uygulamaların listesini çıkartabilme
Kablosuz ağ bağlantı durumunu görme
Zararlı yazılım bu bilgileri komuta sunucusuna
internet bağlantısı (mobil veya kablosuz) iletmektedir.
Zararlıların iOS 7 üzerinde istikrarlı
çalışması ve uygulama kapatılsa bile kendini geri açabilmesi gibi özelliklerinin
iOS 8 üzerinde verimsiz çalışması nedeniyle ele geçirilen sürümün iOS 8
çıkmadan yazıldığı ve bulaştırıldığı düşünülmektedir.
“Pawn Storm” operasyonunun devam ettiğine dair
kanıtlar göz önüne alındığında iOS8 sürümünün çıkmış olabileceğini düşünmek
yanlış olmaz.