UEFI ve Rootkitler artık beraber anılıyorlar.

Sonraki hikaye

Zaman içinde, bilişim okur yazarlığı genel halk ve işletmeler arasında büyüdü. Bu ayrıca kötü amaçlı teknolojik güçler konusunda artan bir farkındalığa da yol açtı. Fidye yazılımı, kriptolama ve gelişmiş kalıcı tehditler bilişimsel kelime dağarcığımıza olmasa bile kolektif bilincimize girdiler. Yine de, “IT efsanesi” olarak anılan, konu hakkında en bilgili olanların bile duraksadığı daha derinde gömülü tehditler de var.

Rootkits ve UEFI

2007'de, endüstri liderleri Intel, AMD ve Microsoft'un yanı sıra bilgisayar üreticileri arasında Temel Giriş / Çıkış Sisteminin (BIOS) eksikliklerini gidermek için bir gereksinimin varlığı kabul edildi ve 64bit işletim sisteminin kullanıma sunulmasından önce, Birleşik Genişletilebilir Ürün Yazılımı Arabirimi (UEFI) doğdu. Bu, büyük ölçüde PC önyükleme işlemlerinin performansını ve güvenliğini artırmak için yapıldı. 
BIOS'tan UEFI'ye geçişin yaşandığı 2007 yılı boyunca ESET, halka açık güvenlik tartışmalarına katıldı ve 2012 yılına kadar tehdit oluşturabilecek açıkları gördü. Endişeler özellikle, (BIOS'ta olduğu gibi) önyükleme sırasında bir PC'yi değiştirebilecek veya manipule edebilecek araçların potansiyel dağıtımına odaklandı. Takip eden yıllarda, endüstrideki pek çok kişi ve muhtemelen siber suçluların çoğu, rootkit'lerin geliştirilmesinin, kim tarafından, ne zaman, nasıl ve kötü niyetli kodların akışına katılacağını düşündü. Fakat bu fikir “tek boynuzlu at” gibi bir efsane olarak orada kaldı. 

Bununla birlikte, ESET Baş Araştırma Görevlisi Roman Kovac “Bir PC'yi açılış sırasında hedefleme potansiyeline sahip olarak, bu tehdit türünü tanımlamak için pratik yollar aradık.” diyor. Sektördeki birçok siber güvenlik uzmanı, UEFI rootkit'leri de dahil olmak üzere, rootkit'leri izliyor olsa da, ESET, firmware değişikliklerini kendi teknolojisi içinde tespit etme yoluna gitti. 

UEFI'nin taranmasıyla ilgili bir sorun da, değişikliğin gerçekten meşru sebepleri de olabileceğidir.  Uzaktan tanılama veya servis gibi meşru modifikasyonları mümkün kılan aynı değişikliklik yöntemlerinin çoğu, güvenlik açıklarını da kullanabilirler. Bu kötüye kullanma nakliye sırasında veya bir serviste onarılırken gerçekleşebilir. Bir şirket içinde ise kötü amaçlı bir çalışan veya binaya giren bir davetsiz misafir tarafından gerçekleştirilebilir. 

Ve yep yeni bir başka seçenek de yazılımı değiştirmek için kötü amaçlı yazılım ve diğer çeşitli araçları kullanan uzaktan yapılacak bir saldırıdır.

ESET ilk 20 siber güvenlik üreticisi içerisinde böyle bir saldırıya karşı önlem almayı seçerek geleneksel bakış açısından uzaklaşmış tek üreticidir.  Bu karar gerekli yatırımların yapılmasına ve 2017 yılında ESET UEFI Tarayıcısı'nın geliştirilmesine neden oldu. Bu şekilde tüketiciler ve kurumlara yönelik çok katmanlı ürünlerimize bilgisayarların firmware'lerinin de taranması yeteneği eklendi.  

Efsane gerçeğe dönüşür - Sednit anti-hırsızlık yazılımını bir APT'ye dönüştürür

ESET ve endüstrinin önde gelenleri kötü niyetli aktörler, siber çeteler ve zararlı yazılımlar arasında  Fancy Bears adı ile de bilinen Sednit grubunu izlenmeye değerbuldu. 
Siyasette, gazetecilikte ve hatta sporda çok sayıda yüksek profilli saldırının arkasında yer alan Sednit, cephaneliğinde çok sayıda güçlü kötü amaçlı yazılım aracına sahip. ESET, 2016'da yayınladığı Sednit araştırmasında daha önce de grubun üretken kapasitesini tartışmıştı. O zamandan beri, grubun çalışma metodunu, kullandığı araçları izleyerek kapsamlı bir dizi ipucu oluşturduk.

Mayıs ayında, daha geniş siber güvenlik topluluğunun üyeleri, yasal bir dizüstü bilgisayar kurtarma çözümü olan Absolute Software'in LoJack ürününde bulunan küçük kodun nasıl bir truva atı haline getirildiğini açıkladı. Şimdi ise, ESET araştırmacıları, bu işin sorumlusunun Fancy Bears adı ile bilinen Sednit grubu olduğunu gösterdi. 
Zararlı örnekler, Absolute Software'in sunucusu yerine kötü niyetli bir komut ve kontrol sunucusuyla iletişimini ve yazılımın kodlanmış ayarlarındaki değişiklikleri gösterir. Diğer ipuçları, komuta kontrol sunucu alan adlarının 2017 yılında SedUploader adı ile bilinen arka kapı için kullanıldığını gösteriyor.  Bu bağlantılar anlaşıldığında, ESET araştırmacıları kampanyada kullanılan meşhur yazılımdan LoJax olarak bahsetmeye başladılar. 

UEFI'ye yapılan bu saldırı kullanıcılar için ne anlama geliyor?

Geniş kapsamlı varsayımlar yapmadan, zararlı yazılımlar kullanarak başarılı bir şekilde UEFI'ye sızılması gerçeği bile ciddi bir endişe kaynağıdır. UEFI'yi hacklemek zararlı yazılımların kalıcılığını artırdığından ve ortalama siber güvenlik çözümlerinin geleneksel tarama yöntemleriyle neredeyse tespit edilemediğinden, bilgisayar korsanları erişim kazanma, kullanıcı ayrıcalıklarını artırma ve doğrudan flash belleğin bir parçası olan UEFI Seri Çevresel Arayüzüne doğrudan yazmanın yollarını arıyorlar. Ki bu bölüm bilgisayarınızın önyüklemesini yapmak için güvenilir olan kodun tutulduğu ve çalştırıldığı bölümdür. Basitçe söylemek gerekirse; eğer önyükleme sırasının kontrolünü ele geçirirseniz, makinenin çalıştığında yapacağı her şeyi kontrol edebilirsiniz.

Bu sebeple, IT yöneticileri, diğer yöneticiler ve bilişim tehditlerini takip eden diğer kullanıcılar, dikkatli olun, şimdi bilgisayarınızın size karşı kullanılabileceği yep yeni bir yöntem var.  Sednit hepimize, bilgisayarların önyükleme seviyelerinde saldırı ve manipülasyon yapılabildiğini gösterdi. Neyse ki, ESET araştırmacılarının tespiti, güvenlik teknisyenlerinin de boş durmadığı ve daha güvenli teknolojiler için kendilerini geliştirdiklerinin ispatı.

UEFI Güvenliği hakkında daha fazla bilgi için

Burayı TIKLAYIN