K. KORE SİBER SALDIRILARINI SÜRDÜRÜYOR

Türkiye’yi de sık sık hedef alan Kuzey Kore kökenli hacker ekipleri saldırılarına bir yenisini eklediler. Malware’in kod adı HOPLIGHT olarak açıklandı. Sözü geçen zararlı yazılımın uzaktan iletişim kurduğu C2 sunucusunu saklamak için, dahili olarak yerleştirilmiş bir proxy aplikasyonu kullandığı saptandı. Saptamayı ABD Yurt Savunma Departmanı (DHS) ve Federal Soruşturma Bürosu (FBI) ortaklaşa çalışmaları sonucu gerçekleştirdiler.
Penetrasyon testi gibi çalışmaların ne kadar önemli olduğunu bir kez daha doğrular nitelikte olan saldırının arka kapı inşa eden bir trojan virüsü olduğu açıklandı. Trojanın izini süren yetkililer malware ile Kuzey Kore destekli bir hacker ekibi olan HIDDEN COBRA arasında bağlantılar saptadılar. Bu başarılı saptamadan sonra penetrasyon testi çalışmalarının daha efektif olması bekleniyor.
DHS ve FBI’ın yaptığı açıklamaların devamını incelediğimizde malware ile alakalı dokuz dosyanın olduğu açıklandı. Dokuz dosyanın da dijital imzaları mevcut ve daha önce herhangi birisi, VirusTotal bünyesinde bulunmuyordu.
Ek olarak dosyalardan bir tanesinin halka açık SSL sertifikasına sahip olduğu açıklandı. Fakat dosyanın saldırgan kısmı (payload) bir şifre veya anahtar ile korunuyor. Kalan dosyalar herhangi bir halka açık SSL sertifikası içermiyor fakat dışarıdan çeşitli bağlantılar kurmaya çalışıyorlar ve dört adet dosyayı sisteme bırakıyorlar.
Penetrasyon testi gibi çalışmalarla bu tarz saldırıları gerçekleştiğinde durdurabilir – yahut en azından gerçekleştiğinde hazır olabilir- saldırganları caydıracak önlemler alabilirsiniz. Son derece tehlikeli olan HOPLIGHT saldırısının verebileceği hasarlara kısaca göz atalım:

1. OS versiyonu ve sürümü öğrenme
2. Sistem zamanını öğrenme
3. Mevcut işlemlere kod enjektesi yapma
4. Çeşitli hizmetleri başlatma, yok etme ve yeni hizmetler yaratma
5. Dosyaları incelemek, yer değiştirmek ve yazma
6. Remote bir biglisayara bağlanma
7. Sistem sürücüleri hakkında bilgi toplamak
8. Kayıt defteri ayarlarında değişiklik yapma
9. Süreçleri sonlandırmak ve başlatmak
10. Dosya upload ve download etme
Gördüğünüz gibi sisteminizdeki kritik verilerin ifşa olmasıyla sonuçlanabilecek saldırıların sayısı her gün artmaktadır. Bu saldırılar bazen HOPLIGHT örneğindeki gibi devlet destekli hacker ekipleri tarafından bazen de paralı asker olarak çalışan hacker ekipleri tarafından düzenlenebilmektedir. Ülkemizde de aktif olarak gerçekleşen siber saldırıların arkasında bazen sanayi casusluğu, bazen fidye talebi bazen de aktivist eylemler yatabilmektedir.
Sebep ne olursa olsun penetrasyon testi çalışması yaparak daha güvenli bir sisteme sahip olmak son derece önemli. Günümüz siber güvenliğinin en efektif savunmalarından olan ve sızma testi olarak da bilinen bu hizmeti Rootcon bünyesinde alabilirsiniz.

Rootcon’un penetrasyon çalışması hizmetiyle alakalı detaylı bilgiye ve iletişim bilgilerine buraya tıklayarak ulaşabilirsiniz.