Reductor adlı zararlı yazılım, web trafiğini ele geçiriyor
İSTANBUL (AA) - Kaspersky araştırmacıları, kullanıcıların web siteleriyle arasındaki etkileşimin arasına giren yeni bir zararlı yazılım keşfetti.
Kaspersky açıklamasına göre, HTTPS kısaltmasındaki "S" harfi, güvenli anlamına gelen "secure" sözcüğünü temsil etse de tarayıcı ile web sitesi arasında iletilen bilgilerin başkaları tarafından görülemeyeceğini iddia eden bu protokolü aşan yetenekli ve yüksek profilli saldırganlar bulunuyor.
Kaspersky araştırmacıları tarafından tespit edilen "Reductor", bu amaçla geliştirilen bir araç olarak öne çıkıyor. Bağımsız Devletler Topluluğu’na dahil ülkelerdeki diplomatik kurumlarda siber casusluk için kullanılan bu araç sayesinde çalışanların internet trafiği takip ediliyor. Tespit edilen modüllerde uzaktan yönetim araçlarının da bulunduğu ve zararlı yazılımın yapabildiklerinin neredeyse sınırsız olduğu belirtildi.
Kullanıcı ile web sitesi arasında şifreli iletişim kurmakta kullanılan rastgele sayı üreticilerini yamayarak kurbanların HTTPS web siteleri ile etkileşiminin arasına giren bu zararlı yazılım, hileli dijital sertifikalar yükleyerek kurbanların tarayıcı faaliyetlerinin gözetlenmesini sağlıyor.
Reductor yazılımını dağıtanlar iki ana saldırı vektöründen yararlanıyor. Bunlardan biri, Rusça konuşan kişilerden oluşan Turla tehdit grubuna atfedilen COMPfun zararlı yazılımı kullanılarak modüllerin indirilmesiyle gerçekleşiyor. Diğer vektörde ise daha sinsi bir yol izleniyor. Saldırganlar, yasal web sitelerindeki temiz yazılımları, kullanıcıların bilgisayarlarına indirilirken yamayabiliyorlar. Korsan yazılımların ücretsiz indirilebildiği sitelerden alınan kurulum dosyalarında da bu işlem yapılabiliyor. Bu web sitelerindeki orijinal kurulum dosyalarında zararlı yazılım bulunmasa bile kurbanın bilgisayarına indirilirken zararlı yazılım bulaştırılıyor.
- "Hassas verilerle çalışan kurumlar dikkatli olmalı"
Kaspersky araştırmacıları, bu değişimin indirme işlemi sırasında yapıldığını ve bunun için Reductor'ı kullananların hedefin ağı üzerinde kontrol sahibi olması gerektiğini belirledi.
Siber suçlular, trafiği ele geçirilen kurbanları tanımlamak için her bir kurbana ayrı bir donanım ve yazılım tabanlı kimlik atıyor ve artık o kadar da rastgele olmayan sayı üreticisiyle elde edilen sayılarla her birini işaretliyor. Zararlı yazılım bulaşan cihazdaki tarayıcı yamandığında, tehdit grubu tarayıcı ile yapılan tüm faaliyetlerden haberdar oluyor. Kurbanlar ise hiçbir şeyin farkında olmuyor.
Açıklamada görüşlerine yer verilen Kaspersky Global Araştırma ve Analiz Ekibi Güvenlik Araştırmacısı Kurt Baumgartner, zararlı yazılım geliştiricilerinin tarayıcı şifrelemesiyle bu şekilde etkileşime geçtiklerini daha önce hiç görmediklerini belirtti.
Bunun çok incelikli bir yöntem olduğunu ve bu yöntemle saldırganların uzun süre fark edilmeden çalışabildiğini aktaran Baumgartner, şunları kaydetti:
"Saldırı yönteminin karmaşıklığı, Reductor'ın yaratıcılarının son derece profesyonel olduğunu gösteriyor. Bu düzey, devlet destekli gruplarda sıkça görülüyor. Ancak bu zararlı yazılımın bilinen tehdit gruplarıyla bağlantısını gösterecek herhangi bir somut teknik ipucu bulamadık. Hassas verilerle çalışan tüm kurumlara dikkatli olmalarını ve düzenli olarak ayrıntılı güvenlik denetimleri yapmalarını tavsiye ediyoruz."
- "Tehdit önleyebilme özelliğine sahip güvenlik çözümleri kullanılmalı"
Kaspersky ürünleri, Reductor adlı zararlı yazılımı başarılı bir şekilde tespit edip engelliyor.
Kaspersky, Reductor gibi zararlı yazılımlardan etkilenmemek için kullanıcılara şunları öneriyor:
"Kurumun BT altyapısına düzenli olarak güvenlik denetimleri yapın. Kaspersky Endpoint Security for Business gibi sisteme tespit edilmeden sızmak için şifreli kanalları kullanmaya çalışan tehditleri tespit edip önleyebilme özelliklerine sahip, başarısı kanıtlanmış bir güvenlik çözümü kullanın. Mutlaka bulunması gereken uç nokta koruma çözümlerinin yanı sıra gelişmiş tehditleri ilk aşamada ağ düzeyindeyken tespit eden, Kaspersky Anti Targeted Attack Platform gibi kurumsal sınıf bir güvenlik çözümü kullanın.
Güvenlik merkezi ekiplerinizin en yeni tehdit istihbaratı verilerine ulaşmasını sağlayın. Böylece tehdit grupları tarafından kullanılan yeni araçlar, teknikler ve taktikler hakkında güncel bilgiye sahip olabilirler. Çalışanlar için güvenlik farkındalığı eğitimleri düzenleyin. Böylece korsan yazılımların farkını anlayıp bunlarla ilgili riskleri öğrenebilirler."
Türkçe karakter kullanılmayan ve büyük harflerle yazılmış yorumlar onaylanmamaktadır.