Sevimsiz bir Penguen: Linux için gelişmiş bir RAT (Remote Access Trojan - Truva Atı) "Penquin"
Sene başından beri bazı bileşenleri yakalanan ve “Turla” olarak adlandırılan gelişmiş bir zararlı yazılımın Linux sürümü gün yüzüne çıktı.
Daha önce 45 farklı ülkede (tabii ki listedeyiz) siber casusluk ve APT (Advanced Persistent Threat - Gelişmiş Sürekli Tehdit) saldırılarında kullanılan zararlı yazılımın şu ana kadar sadece Windows işletim sistemi ajanları yakalanmıştı.
Kaspersky tarafından Windows sürümü için hazırlanan infografik
32 ve 64 bit sürümleri de bulunan bu zararlı yazılımın kullanıldığı saldırılar aşağıdaki saldırı vektörleri kullanılarak gerçekleştirilmişti.
Oltalama saldırıları: “NATO’nun Suriye tutumu.src”, “Nota_N107-41D.pdf” veya “Sınır güvenlik protokolü.rar” gibi isimlerle önceden belirlenmiş kişilere gönderilen epostaların ekinde.
Zararlı yazılımın hedef kişilerin ilgisini çekecek web sayfaların içerisine gizlenmesi.
Daha “genel” sitelerde flash uygulaması güncellemesi olarak gösterilmesi.
Bu operasyon kapsamında şimdiye kadar tespit edilebilen ve saldırganlar tarafından zararlı yazılım dağıtmak için hazırlanan 100’e yakın site arasında 2 tanesi Türkçe’dir.
Şimdiye kadar yakalanan zararlı yazılım numuneleri CVE-2013-5065 (Windows XP ve 2003) ve CVE-2013-3346 (Adobe Reader) zafiyetlerini istismar ederek Windows işletim sistemini kullanan bilgisayarlarda arka kapı açıyordu. Arka kapıyı diğerlerinden ayıran en büyük özelliklerden birisi, aynı anda 2 farklı arka kapının açılması ve herhangi birinin kapanması halinde diğerinin onu tekrar açmasıdır.
Saldırın sonraki aşamaları ise genel olarak gördüğümüz “ölüm zinciri” döngüsüne uygun olarak yürüyor ve önemli kurumların (Kamu, Sağlık, Askeri ve Eğitim) verileri dışarıya sızdırılıyor.
Yeni yakalanan Linux sürümünün var olabileceği bir süredir tahmin ediliyordu ancak ilk defa geçtiğimiz günlerde gerçek bir numune ele geçirilebildi. Yapılan inceleme sonucunda yapı itibariyle Windows sistemleri hedef alan sürümüyle aynı bağlantı modelini kullandığı görülmüştür. Kaynak kod içerisinde gömülü olan “news-bbc.podzone(nokta)org” (Söylememe gerek yok ama ziyaret etmeyin) komuta sunucusu adresi ve “80.248.65.xx” ile başlayan DNS sunucusu bilgileri de Windows sürümlerindekilerle uyumludur.
Saldırganlar zararlıyı özel olarak hazırlanmış TCP ve UDP paketlerini kullanarak yönetiyor. Bulaştığı sunucuya gelen trafiği dinleyen zararlı yazılım TCP paketlerinde ACK bayrağı veya UDP paketlerin gövdesi içinde gönderilen talimatları bekliyor.
“Penquin” çoğu kurumda Linux işletim sistemi kullanan sunucuların internete bakması (web, mail, vb.) ve süregelen “Linux’larda virüs olmaz” yanılgısı nedeniyle, genelde savunmasız kaldığımız bir noktayı hedef almaktadır.
Zaralıyla ilgili lazım olabilecek bazı önemli bilgileri aşağıda paylaşıyorum, ağınızı ve özellikle internete bağlı Linux sunucularınızı kontrol etmenizde fayda var.
Yakalanan zararlı örneklerinin MD5 hashleri:
0994d9deb50352e76b0322f48ee576c6
14ecd5e6fc8e501037b54ca263896a11
zararlının bağlandığı kütüphaneler
glibc2.3.2
openssl v0.9.6
libpcap
Zararlının Windows sürümlerinde “Zagruzchik” adında bir DLL dosyası olduğu görülmüştür. Bu zararlının kaç sürümünün (unix? Solaris? Vb.) olduğunu bilmediğimiz için bu kelimeyi de sistem dosyaları içerisinde aramakta fayda olabilir.
Bu zararlı için kullanılan "Snake/Uroburos" platformunu dünyanın önde gelen antivirüs firmaları tarafından aşağıdaki isimlerle tanınmaktadır, tarama sonuçlarında bunlara dikkat etmekte fayda var.
F-secure: "Dropped:Backdoor.Generic.252173"
Kaspersky: "Trojan.Win32.Genome.hitb"
Symantec: "Backdoor.Pfinet"
Linux sunucularının temel güvenlik standartlarına uygun hale getirilmesinin ne kadar kritik olduğunu bu olayla bir kez daha görmüş olduk.
