ESET ilk UEFI rootkit siber saldırısını keşfetti

Kullanıcılarının UEFI firmware’lerini taratabileceği uç nokta koruması yazılımları olan tek üreticinin ESET olduğu doğru mu? Eğer öyleyse neden rakipleriniz de bu tür teknolojiler kullanmıyor?

ESET’in gelirlerine göre ilk 20 güvenlik yazılımı üreticisi arasında UEFI taraması gerçekleştiren ürüne sahip olduğu doğru. Diğer bazı üreticilerin de adında UEFI geçen birtakım ürünleri var fakat bu ürünler gerçek bir firmware tarayıcısı olmaktan uzaklar.

ESET kullanıcılarını UEFI Tarayıcısı ile koruyan tek üreticidir ve bu da ESET’in sorumlu yaklaşımından kaynaklanır. Evet, UEFI firmware ile ilgili saldırılar şimdiye kadar tek tüktü ve sadece bilgisayara fiziksel olarak ulaşılmasını gerektiriyordu. Fakat başarılı olacak böyle bir saldırı, tüm bilgisayarın kontrolünün ele alınması ile sonuçlanır. ESET bu nedenle yatırım yaparak kullanıcılarını UEFI firmware saldırılarına karşı da korumayı sağladı.

İlk UEFI rootkiti olan LoJax’ın son keşfi maalesef gösterdi ki UEFI saldırıları sıklıkla karşımıza çıkabilecek

ESET UEFI Tarayıcı sayesinde kullanıcılarımız en iyi şekilde korunuyorlar.

Kısaca, içinde oluşabilecek modifikasyonu tespit etmek için firmware’i taramak tek yol. Güvenlik açısından bozulmuş bir firmware tespit edilmesi zor olduğu ve işletim sistemini yeniden yüklemek veya sabit diski değiştirmek gibi önlemlerle giderilemeyeceği için oldukça tehlikelidir.

Firmware eğer saldırgan fiziksel olarak erişebiliyor ise daha bilgisayar üretilirken, taşınırken veya tekrar yüklenirken bozulmuş olabilir. Veya ESET’in son araştırmasından da anlaşılacağı gibi karmaşık bir uzaktan saldırı ile de bozulabilir.

Firmware genellikle güvenlik çözümlerinin taramasına kapalıdır. Bu nedenle güvenlik ürünleri genellikle sabit diski ve belleği taramaya odaklanır. Firmware’e erişmek için özel bir araç, bir tarayıcı gereklidir.

UEFI Tarayıcısı, ESET güvenlik çözümlerinde yer alan ve UEFI firmware’ini okuyan ve incelemeye açmaya yarayan bir modüldür. Bu sayede ESET UEFI Tarayıcısı firmware’i ESET’in olağan taramalarına açar ve açılış öncesi sistemde ESET’in güvenlik politikalarının uygulanmasını sağlar.

Sonuç olarak UEFI Tarayıcısı ile güçlenen ESET güvenlik çözümleri bu kapalı firmware içerisinde olan biten şüpheli aktiviteler hakkında kullanıcılarını bilgilendirebilir.

Firmware’de şüpheli bir aktivite tespit edildiğinde kullanıcı uyarılarak gerekli önlemi alması sağlanır.

Bir senaryoya göre, şüpheli aktivitede herhangi bir sorun yoktur, örneğin hırsızlığa karşı bir yazılımın parçası olup, güvenli olabilir.

Diğer bir senaryoya göre ise hiçbir geçerli nedeni olmadan firmware’de duran kötü amaçlı bir koddur ve gerekli önlemler alınmalıdır.

Ne yazık ki sistemi böyle bir tehditten kurtarmanın kolay bir yolu yoktur. Firmware’in baştan kurulması gerekir. Eğer kurulum mümkün değil ise anakartın değişmesi gerekir.

ESET’in keşfi WeLiveSecurity’de yayınlanan blog yazımızda ve yayınladığımız kâğıtta detaylı olarak anlatılmıştır.

Kısaca, ESET’in kıdemli araştırmacısı Jean-Ian Boutin önderliğindeki araştırmacılarımız Sednit APT grubu hakkındaki derin bilgilerini, ESET tespit sistemlerinden gelen telemetrik verileri ve Arbor Network’de çalışan arkadaşlarının önceki keşiflerini başarılı bir şekilde bir araya getirdiler. Sonuç olarak siber saldırılarda kullanılmak üzere UEFI rootkiti de dâhil olmak üzere yepyeni bir araç seti keşfettiler.

APT28, STRONTIUM, Sofacy ve Fancy Bear olarak da bilinen Sednit en azından 2004 yılındna bu yana çalışan bilinen en aktif APT “Gelişmiş Kalıcı Tehdit” grubudur. (APT: Advanced Persistent Threat) Bu gruplar yüksek profilli hedeflerine siber saldırılar ve siber espiyonaj kampanyaları ile bilinirler.

Amerika’da 2016 seçimlerini etkileyen Demokratik Milli Komite saldırısı, TV5Monde Televizyon kanalı saldırısı, Dünya Anti Doping Ajansı epostalarının ele geçirilip sızdırılması gibi birçok olayın Sednit grubu tarafından gerçekleştirildiği düşünülüyor.

Bu grubun cephaneliğinde bir dizi zararlı yazılım aracı seti bulunmaktadır. Bunların birçoğu, ESET araştırmacılarının önceki kağıdındave WeLiveSecurity'deki birçok blog yazısında belgelendirmiştir. ESET Zararlı Amaçlı Yazılım Araştırmacısı Jean-Ian Boutin’e göre Lojax UEFI rootkit’inin keşfi, Sednit APT grubunun, daha önce düşünülenden daha ileri ve tehlikeli olduğunu gösteriyor.

İlişkilendirmeye gelince, ESET herhangi bir jeopolitik ilişkilendirme gerçekleştirmez. İlişkilendirmeyi ciddi, bilimsel bir şekilde yapmak, ESET güvenlik araştırmacılarının görevinin ötesindeki hassas bir iştir. ESET araştırmacılarının “Sednit grubu” olarak adlandırdıkları, belirli bir organizasyonla herhangi bir ilintiye sahip olmaksızın sadece bir dizi yazılım ve ilgili ağ altyapısıdır.