ESET ilk UEFI rootkit siber saldırısını keşfetti

Güvenlik riskleriniz nelerdir?

Firmware, UEFI, rootkit hakkında bilgi alın

UEFI rootkit'leri – teoriden gerçek tehdide

UEFI rootkit’leri, bilgisayar korsanlarının kutsal kasesi, uzun zamandır korkuluyordu, ama hiç kimse gerçek ortamda görmemişti. ESET, meşhur APT grubu Sednit tarafından bir kampanyada kullanıldığını tespit edene kadar. Bazı UEFI rootkitleri, güvenlik konferanslarında konsept kanıtları olarak sunulmuştu; bazılarının ise devlet kurumlarının emrinde olduğu bilinmekteydi. Fakat 2018 Ağustos’una kadar, gerçek bir siber saldırıda hiçbir UEFI rootkit tespit edilmedi.

ESET araştırmacıları , bahsedilen Sednit kampanyasında kullanılan EUFI rootkitini Lojax olarak tanımladı. ESET’in detaylı araştırmasının sonuçlarına şuradan ulaşabilirsiniz: “LoJax: First UEFI rootkit found in the wild, courtesy of the Sednit group” . UEFI güvenliği ile ilgili daha fazla bilgiye ESET'in bloğundan ulaşılabilir, WeLiveSecurity.

Firmware, UEFI, rootkit'lerin güvenlik riskleri

Bilgisayarınız ilk açıldığında çalışan ve bilgisayarın işletim sistemi üzerinde bile etkisi olan (dolayısı ile tüm makinenin) koda firmware adı verilir. Firmware’in nasıl çalışacağına dair adımların belirlendiği standarda ise UEFI (önceki sürümleri BIOS olarak biliniyordu) denir. Firmware ve UEFI sıklıkla birlikte UEFI firmware olarak anılır.

Rootkit, diğer yazılımların ulaşamadığı bölümlere kalıcı ve yasa dışı olarak ulaşmak için tasarlanmış zararlı yazılımlara verilen addır. Rootkit tipik olarak kendi varlığını veya diğer başka zararlı yazılımları gizler.

UEFI rootkiti firmware içerisinde gizlenen bir rootkit türüdür ve bu tür tehditler iki nedenden çok tehlikelidir. İlki, UEFI rootkit’leri kalıcıdır, bilgisayar yeniden başlatıldığında gitmezler, işletim sistemini baştan kurmanız ve hatta sabit diskinizi değiştirmeniz bile çözüm olmaz. İkincisi, tespit edilmeleri oldukça güçtür çünkü firmare adı verilen bölüm için genellikle kod taraması yapılmaz. ESET güvenlik çözümlerinin ESET UEFI Tarayıcısı adı verilen dedike katmanı bir istisnadır.

Bulaşıcı UEFI firmware’leri IT güvenliği ile ilgili herkes için bir kâbus. Zararı çok ve tespit edilmesi oldukça güç.

Jean-Ian Boutin, ESET Kıdemli Zararlı Yazılım Araştırmacısı

ESET bulaşıcı UEFI firmware'lerine karşı nasıl korur

ESET, firmware’ler içine yerleşmiş zararlı kod parçalarını tespit etmek üzere dedike bir katman ekleyen tek büyük internet güvenlik sağlayıcısıdır.

ESET UEFI Tarayıcısı firmware’i tarayabilen bir araçtır. Firmware kodları zararlı yazılım tespit teknolojilerimiz tarafından taranır. ESET kullanıcıları otomatik olarak veya diledikleri zamanda bilgisayarlarının firmware bölümlerini taratabilirler. Tespitlerin çoğu Tehlikeli Olabilecek Türden Uygulamalar adı altında etiketlenir. Bu tür sistem üzerinde büyük etkisi olabilecek ve kötüye kullanılabilecek uygulamaları kapsar. Eğer kullanıcı veya yönetici kodun varlığından haberdar ise yasal ve gerçek olabilir veya habersizce yüklenmiştir ve zararlıdır.

UEFI rootkit kullanan bu saldırının keşfiyle birlikte tedirgin olmuş olabilecek ESET kullanıcıları ESET UEFI Tarayıcısı ile doğal olarak korunuyorlar ve zararlı modifikasyonları tespit edebilirler.

Diğer kullanıcılar için ise çipin temiz bir firmware ile tekrardan yüklenmesi bir çözüm olabilir. Eğer bu mümkün değil ise geri kalan seçenek anakartın değiştirilmesi olacaktır.

Sık sorulan sorular

Kullanıcılarının UEFI firmware’lerini taratabileceği uç nokta koruması yazılımları olan tek üreticinin ESET olduğu doğru mu? Eğer öyleyse neden rakipleriniz de bu tür teknolojiler kullanmıyor?

ESET’in gelirlerine göre ilk 20 güvenlik yazılımı üreticisi arasında UEFI taraması gerçekleştiren ürüne sahip olduğu doğru. Diğer bazı üreticilerin de adında UEFI geçen birtakım ürünleri var fakat bu ürünler gerçek bir firmware tarayıcısı olmaktan uzaklar.

ESET kullanıcılarını UEFI Tarayıcısı ile koruyan tek üreticidir ve bu da ESET’in sorumlu yaklaşımından kaynaklanır. Evet, UEFI firmware ile ilgili saldırılar şimdiye kadar tek tüktü ve sadece bilgisayara fiziksel olarak ulaşılmasını gerektiriyordu. Fakat başarılı olacak böyle bir saldırı, tüm bilgisayarın kontrolünün ele alınması ile sonuçlanır. ESET bu nedenle yatırım yaparak kullanıcılarını UEFI firmware saldırılarına karşı da korumayı sağladı.

İlk UEFI rootkiti olan LoJax’ın son keşfi maalesef gösterdi ki UEFI saldırıları sıklıkla karşımıza çıkabilecek

ESET UEFI Tarayıcı sayesinde kullanıcılarımız en iyi şekilde korunuyorlar.

Kısaca, içinde oluşabilecek modifikasyonu tespit etmek için firmware’i taramak tek yol. Güvenlik açısından bozulmuş bir firmware tespit edilmesi zor olduğu ve işletim sistemini yeniden yüklemek veya sabit diski değiştirmek gibi önlemlerle giderilemeyeceği için oldukça tehlikelidir.

Firmware eğer saldırgan fiziksel olarak erişebiliyor ise daha bilgisayar üretilirken, taşınırken veya tekrar yüklenirken bozulmuş olabilir. Veya ESET’in son araştırmasından da anlaşılacağı gibi karmaşık bir uzaktan saldırı ile de bozulabilir.

Firmware genellikle güvenlik çözümlerinin taramasına kapalıdır. Bu nedenle güvenlik ürünleri genellikle sabit diski ve belleği taramaya odaklanır. Firmware’e erişmek için özel bir araç, bir tarayıcı gereklidir.

UEFI Tarayıcısı, ESET güvenlik çözümlerinde yer alan ve UEFI firmware’ini okuyan ve incelemeye açmaya yarayan bir modüldür. Bu sayede ESET UEFI Tarayıcısı firmware’i ESET’in olağan taramalarına açar ve açılış öncesi sistemde ESET’in güvenlik politikalarının uygulanmasını sağlar.

Sonuç olarak UEFI Tarayıcısı ile güçlenen ESET güvenlik çözümleri bu kapalı firmware içerisinde olan biten şüpheli aktiviteler hakkında kullanıcılarını bilgilendirebilir.

Firmware’de şüpheli bir aktivite tespit edildiğinde kullanıcı uyarılarak gerekli önlemi alması sağlanır.

Bir senaryoya göre, şüpheli aktivitede herhangi bir sorun yoktur, örneğin hırsızlığa karşı bir yazılımın parçası olup, güvenli olabilir.

Diğer bir senaryoya göre ise hiçbir geçerli nedeni olmadan firmware’de duran kötü amaçlı bir koddur ve gerekli önlemler alınmalıdır.

Ne yazık ki sistemi böyle bir tehditten kurtarmanın kolay bir yolu yoktur. Firmware’in baştan kurulması gerekir. Eğer kurulum mümkün değil ise anakartın değişmesi gerekir.

ESET’in keşfi WeLiveSecurity’de yayınlanan blog yazımızda ve yayınladığımız kâğıtta detaylı olarak anlatılmıştır.

Kısaca, ESET’in kıdemli araştırmacısı Jean-Ian Boutin önderliğindeki araştırmacılarımız Sednit APT grubu hakkındaki derin bilgilerini, ESET tespit sistemlerinden gelen telemetrik verileri ve Arbor Network’de çalışan arkadaşlarının önceki keşiflerini başarılı bir şekilde bir araya getirdiler. Sonuç olarak siber saldırılarda kullanılmak üzere UEFI rootkiti de dâhil olmak üzere yepyeni bir araç seti keşfettiler.

APT28, STRONTIUM, Sofacy ve Fancy Bear olarak da bilinen Sednit en azından 2004 yılındna bu yana çalışan bilinen en aktif APT “Gelişmiş Kalıcı Tehdit” grubudur. (APT: Advanced Persistent Threat) Bu gruplar yüksek profilli hedeflerine siber saldırılar ve siber espiyonaj kampanyaları ile bilinirler.

Amerika’da 2016 seçimlerini etkileyen Demokratik Milli Komite saldırısı, TV5Monde Televizyon kanalı saldırısı, Dünya Anti Doping Ajansı epostalarının ele geçirilip sızdırılması gibi birçok olayın Sednit grubu tarafından gerçekleştirildiği düşünülüyor.

Bu grubun cephaneliğinde bir dizi zararlı yazılım aracı seti bulunmaktadır. Bunların birçoğu, ESET araştırmacılarının önceki kağıdındave WeLiveSecurity'deki birçok blog yazısında belgelendirmiştir. ESET Zararlı Amaçlı Yazılım Araştırmacısı Jean-Ian Boutin’e göre Lojax UEFI rootkit’inin keşfi, Sednit APT grubunun, daha önce düşünülenden daha ileri ve tehlikeli olduğunu gösteriyor.

İlişkilendirmeye gelince, ESET herhangi bir jeopolitik ilişkilendirme gerçekleştirmez. İlişkilendirmeyi ciddi, bilimsel bir şekilde yapmak, ESET güvenlik araştırmacılarının görevinin ötesindeki hassas bir iştir. ESET araştırmacılarının “Sednit grubu” olarak adlandırdıkları, belirli bir organizasyonla herhangi bir ilintiye sahip olmaksızın sadece bir dizi yazılım ve ilgili ağ altyapısıdır.