Bilgi güvenliği kuruluşu ESET, kurbanların bilgisayarına sızmak için sistemin UEFI kısmını hedef alan bir siber saldırı keşfetti. Söz konusu UEFI rootkit saldırısı, yüksek profilli hedeflere yönelik bu türde kaydedilen ilk saldırı olma özelliğini taşıyor. Bu saldırı sonucu, bilgisayarın tüm kontrolü neredeyse tamamen kalıcı olarak ele geçirilebilir. ESET, böyle saldırıların olacağını öngörerek, 2018 sürüm ürünlerinde ESET UEFI Scanner’i devreye sokmuş ve bunu sağlayan ilk ve tek büyük bilgi güvenliği şirketi olmuştu.
Antivirüs yazılım kuruluşu ESET, bilgisayar sistemlerindeki en savunmasız bölüm olan UEFI’ye yönelik saldırıların oluşacağını tahmin etmiş ve 2018 sürüm ürünlerinde artık ESET UEFI Tarayıcı sunduğunu açıklamıştı.
Yapılan öngörü ne yazık ki doğru çıktı. ESET araştırmacıları, kurbanların bilgisayarına sızmak için UEFI rootkit kullanan ilk siber saldırıyı 2018 Eylül ayı içinde keşfetti. ESET tarafından “LoJax” olarak adlandırılan bu rootkit, elde edilen tespitlere göre kötü şöhretli Sednit grubu tarafından kullanılıyor ve Balkanlar ile Doğu Avrupa'daki yüksek profilli hedeflere yöneliyor.
Konferanslarda konuşulan konu olmaktan çıkıp gerçek oldu
Söz konusu saldırı, bu türde kaydedilen ilk saldırı olma özelliğini taşırken, konuyu değerlendiren ESET Türkiye Ürün ve Pazarlama Müdürü Can Erginkurban, "Teoride UEFI rootkitlerin var olduğunu biliyorduk, araştırmacılarımızın keşfi aktif bir APT grubu tarafından olağan hayatta da kullanıldıklarını ortaya çıkardı. Yani artık konferanslarda konuşulan ilginç bir konu olmaktan öte, gerçek bir tehdit oluşturuyorlar" açıklamasını yaptı.
UEFI ve Rootkit nedir?
UEFI, bilgisayar düğmesine bastığınızda, işletim sistemi başlamadan hemen önce çalışıp sistemi ve çevre birimlerini çalışmaya hazır hale getiren temel yazılım bölümü olarak biliniyor. Eski cihazlarda BIOS olarak bilinen bu bölüm, genellikle sadece fiziksel erişim ile ulaşılabildiği için bugüne dek korumasız bırakılmıştı. Fakat UEFI ile birlikte daha kolay bir şekilde uzaktan erişilebilir, dolayısıyla da siber suçlular açısından cazip bir saldırı hedefi haline geldi. Rootkit ise diğer yazılımların ulaşamadığı bölümlere kalıcı ve yasa dışı olarak ulaşmak için tasarlanmış zararlı yazılımlara verilen addır. Rootkit, tipik olarak kendi varlığını veya diğer başka zararlı yazılımları gizler.
UEFI rootkit nedir?
UEFI rootkitleri, siber saldırıların başlatılmasında oldukça güçlü ve tehlikeli birer araç olarak kullanılıyor. Tüm bilgisayara açılan kapının anahtarı olarak, işletim sisteminin yeniden yüklenmesi ya da sabit disk değişimi gibi güvenlik önlemlerini atlatabilmesiyle tespit edilmesi oldukça zordur. Dahası, bir UEFI rootkit bulaşmış sistemi temizlemek, cihaz yazılımının yeniden düzenlenmesi gibi tipik bir kullanıcının sahip olmadığı üst düzeyde bilgiler gerektiriyor.
Bilgisayarı tamamen ve kalıcı olarak ele geçirebilir
Dolaşımda görülen bu ilk UEFI rootkit, cihaz yazılımlarına (firmware) ilişkin değişikliklerin oluşturduğu riskleri görmezden gelen kullanıcılar ve işletmeler için bir uyarı niteliği taşıyor. Can Erginkurban, "Artık firmware’leri düzenli taramaların dışında bırakmanın bir mazereti olamaz. Evet, UEFI kullanılan saldırılar şimdiye kadar oldukça ender görülmekteydi; genelde hedef bilgisayara fiziksel olarak erişimi gerektiriyordu. Fakat bu tip bir saldırı başarılı olduğunda, bilgisayarın tüm kontrolünü ele geçirerek neredeyse tamamen kalıcı olabilir ve kullanıcı yıllarca farkında olmadan bu zararlı ile yaşayabilir" bilgisini paylaştı.
ESET, kullanıcılarını UEFI tarayıcısı ile koruyan tek üretici
Antivirüs yazılım kuruluşu ESET, bir bilgisayarın cihaz yazılımındaki zararlı araçları tespit edebilmek üzere tasarlanmış özel koruma katmanı olan ESET UEFI Tarayıcı’yı (ESET UEFI Scanner) uç nokta güvenlik çözümlerine ekleyen tek büyük güvenlik sağlayıcısı konumunda. ESET Türkiye Ürün ve Pazarlama Müdürü Can Erginkurban, “ESET UEFI Tarayıcı sayesinde, bireysel ve kurumsal müşterilerimiz bu tip saldırıları tespit ederek kendilerini kolayca koruyabilecek konumdalar" şeklinde konuştu.
Saldırının arkasında Sednit grubunun olduğu tahmin ediliyor
APT28, Strontium, Sofacy veya Fancy Bear olarak da bilinen Sednit, en azından 2004 yılından beri aktif şekilde faaliyet gösteren APT gruplarından biri. İddiaya göre 2016 ABD seçimlerini etkileyen Demokratik Ulusal Komite saldırısı, global televizyon ağı TV5 Monde saldırısı, Dünya Anti-Doping Ajansı e-posta sızıntısı ve pek çok diğer saldırının arkasında Sednit olduğuna inanılıyor. Grubun elinde bulunan çeşitli zararlı yazılım araçlarının bazı örnekleri, ESET araştırmacıları tarafından yayınlanan makalelerde ve sayısız WeLiveSecurity blog paylaşımında incelendi.
ESET Türkiye web sayfasında ilk UEFI siber saldırısı ve korunma önlemleriyle ilgili bilgiler Türkçe olarak takip edilebilir:
https://www.eset.com/tr/uefi-rootkit-cyber-attack-discovered/
Ayrıca bu konudaki özet makale ve ESET araştırmacılarının detaylı analizlerine şu linklerden ulaşılabilir:
https://www.welivesecurity.com/wp-content/uploads/2018/09/ESET-LoJax.pdf