Piyon Fırtınası

2014 yılının sonlarında ortaya çıkan ve “Pawn Storm” olarak adlandılan siber casusluk operasyonunda kullanılan yeni bir bileşen ortaya çıktı. Apple mobil cihazlarda kullanılan iOS işletim sistemini hedef alan zararlı yazılım “Pawn Storm” (Tür. “Piyon Fırtınası”) operasyonunun ilk bakışta tahmin ettiğimizden çok daha geniş bir ölçeğe yayılmış olabileceğine de kanıt oluşturabilecek niteliktedir.

“Pawn Storm” Operasyonu

2007 yılından beri yürütüldüğüne dair kanıtlar bulunan siber operasyon dünya genelinde Askeri, Kamu, savunma sanayii ve medya kuruluşlarını hedef almaktadır. A.B.D’li savunma sanayii taşeronu ACADEMI (Eski adıyla Blackwater), Fransa Savunma Bakanlığı, Avrupa Birliği Güvenlik ve İşbirliği Örgütü (Organization for Security and Co-operation in Europe), Pakistanlı üst düzey askeri komutanlar ve Polonya hükümeti şu ana kadar tespit edilebilen hedeflerden sadece bir kaçı. Operasyon kademeli olarak ve birden fazla zararlı yazılım ve/veya güvenlik zafiyeti kullanılarak yürülmektedir.

“Pawn Storm” saldırıları

Saldırıların ilk aşaması seçilen hedefe yönelik özel olarak hazırlanmış bir oltalama (phishing) e-postası yoluyla zararlı yazılımın Microsoft Office formatında bir belge (PDF, Word ve Excel görülmüştür) ile gönderilmesidir.

Aşağıda Irak’ta bulunan Vatikan Büyükelçiliğine gönderilen oltalama e-postası ve ekindeki dosyanın görüntüsü var.

Resim 1: Gelen oltalama e-postası

Resim 2: Zararlı kod çalışırken görülen belge

Bu örnekte ilgili Word belgesinde bulunan zararlı kod Microsoft Office 2003, 2007 ve 2010’u etkileyen CVE-2012-0158 zafiyetini istismar ederek saldırganların bu dosyanın açıldığı bilgisayar üzerinde kod çalıştırmalarını sağlamaktadır.

Aşağıdaki görüntüler ise yine aynı zafiyetin Microsoft Excel dosyaları kullanılarak Pakistan ordusunun üst düzey komutanlarına yönelik saldırıda istismar edildiğini görebiliyoruz.

Resim 3: Gelen başka bir oltalama e-postası

Resim 4: Zararlı kod çalışırken görülen belge

İlk aşamanın sonunda hedef bilgisayarı ele geçiren saldırganlar bu sistemi ikinci aşamada kullanacakları zararlı yazılımı indirmek için kullanıyorlar. İkinci aşamada indirilen yazılım klavye hareketlerini komuta sunucusuna iletmektedir.

Saldırganların sistemi ele geçirmek için kullandıkları zafiyeti kullanarak klavye kaydedici yazılımı indirmemeleri izlerini daha etkili biçimde gizlemelerini sağlamaktadır. Bu durumda ilk aşamada kullanılan zararlı yazılım tespit edilse bile ikinci aşamayla ilgili bilgi sahibi olunamayacağından saldırganların asıl amaçları anlaşılmayacaktır.

Yeni nesil sosyal mühendislik saldırıları

Operasyon kapsamında kullanılan bir diğer önemli saldırı vektörü ise hedef kuruluşların OWA (Outlook Web Access – kuruluş e-postalarına tarayıcı üzerinden ulaşılmasına imkan veren arayüz) erişimleridir.

Saldırganların hedefe gönderdikleri ve popüler savunma sanayi fuarlarını düzenleyen şirketlerden  gelmiş gibi görünen oltalama e-postaları içerisinde zararlı yazılım yok ancak kullanılan yöntem dikkat çekici.

Saldırganların gönderdiği oltalama e-postasını OWA üzerinden bağlanarak açan kurbanların tarayıcılarında çalışan bir Javascript kodu OWA oturumunun sonlandırıldığını ve yeniden parola girilmesi gerektiğini düşündüren bir ekran gösteriyor.

Güvenlik ve savunma teknoloji fuarı Eurosatory konferansının sayfasına (eurosatory.com) benzeyecek şekilde eurosatory2014.com alanadını kullanan saldırganlar yine iki kademeli bir saldırı düzenlemektedir.

İlk aşamada saldırganlar tarafından gönderilen e-posta üzerindeki bağlantıya tıklandığında kurban saldırganların sayfasına yönlendiriliyor ve eşzamanlı olarak yeni bir sekmede Eurosatory (konferansın gerçek sayfası açılıyor).

Diğer sekmede kalan saldırganların sayfası ise hedef kuruluşa özel olarak hazırlanmış bir alanadı üzerinde barındırılan sahte bir OWA giriş sayfası oluyor.

Aşağıda Macaristan Savunma Bakanlığı’nı hedef alan saldırının ekran görüntüsünü bulabilirsiniz.

İkinci sekmede Eurosatory konferansının sayfası açıkken, kullanıcıya OWA oturumunun sonlandırıldığını ve yeniden şifre girmesi gerektiğini düşündürecek sahte OWA sayfası görülmektedir.

Resim 5: Gerçek sayfa

Resim 6: Sahte OWA sayfası (konferans sayfası ikinci sekmede)

Macaristan Savunma Bakanlığı’nın OWA sayfasının adresi mail.hm.gov.hu iken bu saldırıya özel olarak hazırlanmış alanadı mail.hm.qov.hu dur.

Aynı saldırı yönteminin başka fuarlar ve ülkeler için de kullanıldığı tespit edilmiştir.

Mobil cephesi

“Pawn Storm” operasyonu adını saldırıların satrançta kullanılana benzer kademeli taktikleri kullanmasından almaktadır. Bu benzetmeden devam edecek olursak son olarak tespit edilen piyonlar ile oyunun düşündüğümüzden ok daha geniş bir alanda oynandığını söyleyebiliriz.

IOS_XAGENT.A ve IOS_XAGENT.B olarak adlandırılan iki farkı zararlı yazılımın bu operasyon kapsamında Apple iOS işletim sistemini kullanan mobil cihazları hedef almak için geliştirildiği görülmektedir.

Hedef alınan kişinin kullandığı iPhone’a bulaşan zararlı yazılımlar aşağıdaki bilgilere saldırganlara iletebilmektedir:

SMS’ler

Rehberdeki kayıtlar

Fotoğraflar

Konum bilgisi

Yazılımın buna ek olarak sahip olduğu özellikler şunlardır;

Ses kayıt başlatabilme

Yüklü uygulamaların listesini çıkartabilme

Kablosuz ağ bağlantı durumunu görme

Zararlı yazılım bu bilgileri komuta sunucusuna internet bağlantısı (mobil veya kablosuz) iletmektedir.

Zararlıların iOS 7 üzerinde istikrarlı çalışması ve uygulama kapatılsa bile kendini geri açabilmesi gibi özelliklerinin iOS 8 üzerinde verimsiz çalışması nedeniyle ele geçirilen sürümün iOS 8 çıkmadan yazıldığı ve bulaştırıldığı düşünülmektedir.

“Pawn Storm” operasyonunun devam ettiğine dair kanıtlar göz önüne alındığında iOS8 sürümünün çıkmış olabileceğini düşünmek yanlış olmaz.