Hackerlar, ASUS'un yazılım güncelleme sunucusunu ele geçirdi ve zararlı yazılım dağıttı

Siber güvenlik firması olan Kaspersky Lab'ın araştırmacıları, dünyanın en büyük bilgisayarlarından Tayvan merkezli teknoloji devi ASUS'un , saldırganların şirketlerinin yazılım güncelleme araçlarını kullandıklarını ve çin bir sunucuyu ele geçirmesiyle yazarak kelimeleri bu binlerce yana bilgisayara zararlı yazılım yüklediklerini söylüyorlar.

Kaspersky Lab, zararlı dosyaların, ASUS dijital sertifikaları ile imzalandığını ve bu şekilde fark edilmediğini belirtiyor.

Moskova merkezli bir güvenlik firmasının yaptığı araştırmada, Tayvan merkezli olan, masaüstü bilgisayarlar, dizüstü bilgisayarlar, cep telefonları, akıllı ev sistemleri ve diğer elektronik cihaz üreten milyarlı bir bilgisayar donanım şirketi olan ASUS'un, bu arka kapı (arka kapı) keşfedilmeden önce de son 5 kişiye zararlı yazılım sistemlerini tespit etti.

Araştırmacılar, yarım milyon Windows makinesinin bu zararlı yazılımını ASUS'un güncelleme sunucusu üzerinden genel olarak tahmin ediyor. Zararlı yazılım, ilk olarak MAC adreslerini keşfederek kendi hedeflediği sistemleri arıyor. Bir sistem, hedeflenen adreslerden birini bulursa, zararlı yazılımlar zararlılar tarafından kullanılan C&C (komuta kontrol) sunucuya ulaşarak diğer zararlı yazılımlar da bilgisayara kuruluyor.

Kaspersky Lab, yasal kodlarla gizlenmiş anormal kod içeriği bolluğu veya bir makinede normal işlemler ele geçiren kodları yakalayan tarama aracına, sistemlere ilişkin yeni bir tedarik zinciri algılamayı ekledikten sonra, Ocak ayında gelen saldırıyı ortaya çıkardıklarını söyledi. Şirket, önümüzdeki ay Singapur'da düzenlenecek olan Güvenlik Analistleri Zirvesi'nde ShadowHammer'ın adını vereceği ASUS saldırısı hakkında tam bir teknik makale ve sunumun yayımlanmasını planlıyor. Bu arada Kaspersky, bazı teknik ayrıntıları web sitesinde yayımladı.

Bu sorun, zararlı yazılımların/bileşenlerin üretildiklerinde veya sisteme yerleştirildiklerinde bunları  sistemlere güvenilir kanallar aracılığıyla yükleyen supply-chain saldırılarına yönelik artan tehdidi de vurgalamaktadır. Geçtiğimiz yıllarda ABD, supply-chain saldırlarının artmasının ardından sorunları incelemek için ekipler oluşturdu. Supply-chain saldırılarında en çok dikkat edilen durum, üretim sırasında, donanım veya yazılıma kötü amaçlı implantların eklenmesi olsa da, yazılım güncellemeleri, saldırganların zararlı yazılımları sisteme yüklemesi için en ideal yoldur. Çünkü kullanıcılar firma tarafından gelen güncellemelere güvenmektedir, özellikle de satıcının yasal dijitat sertifikasıyla imzalanmışsa..

Kaspersky Lab’ın Küresel Araştırma ve Analiz Ekibi’nin Asya-Pasifik bölgesi direktörü Vitaly Kamluk, “Bu saldırı, bilinen satıcı isimlerine dayanarak kullandığımız güven modelinin ve dijital imzaların doğrulanmasının ,kötü amaçlı yazılımlardan korunmamızı garanti edemediğini gösteriyor.” dedi. Kaspersky şirketinin ASUS’la Ocak ayında iletişime geçerek sunucularının tehlikede olduğunu ve zararlı yazılımların onların ağından geldiğini belirttiklerini söyledi. Kamluk, “Ancak Kaspersky’nin topladığı kötü amaçlı yazılım örneklerinin indirme yollarının tamamı doğrudan ASUS sunucularına geri dönüyordu.” dedi.

Amerika merkezli bir güvenlik firması olan Symantec de geçtiğimiz Cuma günü, Kaspersky’nin bulgularını doğruladı. Şirket hala konuyu araştırdığını belirtmekle birlikte Symantec kullanıcılarının en az 13.000 bilgisayarına ASUS’un geçen yılki yazılımından gelen kötü amaçlı yazılımın bulaşmış olduğunu söyledi.

Symantec’te Güvenlik Teknolojileri ve Müdahale grubu geliştirme direktörü olan Liam O’Murchu, “Güncellemelerin Live Update ASUS sunucusundan geldiğini gördük. Trojanlarla birleştirildiler ve zararlı yazılım içeren güncellemeri ASUS tarafından imzalayarak gönderdiler.” dedi.

Bu olay saldırganların sistemleri enfekte etmek için güvenilir yazılım güncellemelerini kullandıkları ilk olay değil. Stuxnet’in arkasındaki bazı saldırganların geliştirmiş olduğu “Flame Spy Tool”, Microsoft Windows güncelleme aracını bilgisayarları ele geçirmek için kullanan ilk saldırıydı. 2012 yılında keşfedilen Flame, saldırganların Microsoft sistemleri ele geçirmesini sağlayan yetkisiz bir Microsoft sertifikası ile imzalanıyordu. Bu durumda saldırganlar, Flame’i yaymak için Microsoft’un güncelleme sunucularına sığınıyorlardı. Bununla birlikte, yazılım güncelleme aracını kullanıcıların makinelerine yönlendirebildiler ve meşru yollardan Microsoft güncelleme sunucusu kullanılarak saldırının fark edilmesi engellendi.

2017’de keşfedilen iki farklı saldırı, güvenilir yazılım güncellemelerini de tehlikeye attı. Bunlardan biri, CCleaner olarak  bilinen bilgisayar temizleme aracına gönderilen yazılım güncelleştirmeleriyle gerçekleşti. 2 milyondan fazla kullanıcı bu saldırı keşfedilip engellenmeden önce zararlı yazılım içeren güncellemeleri aldı. Diğer olay ise Ukrayna’da başlayan notPetya saldırısı ile muhasabe yazılım paketlerinin güncellemelerine zararlı yazılım gömülmesiyle gerçekleşti.

Kaspersky’nin Global Araştırma ve Analiz Ekibi’nin genel müdürü olan Costin Raiu, ASUS saldırısının diğer saldırılardan farklı olduğunu söyledi. “Bu saldırı önceki saldırılardan farklı, karmaşıklığı ve gizliliği ile bir seviye yukarda. Hedeflerin MAC adreslerinin tespit edildikten sonra saldırının başlaması, saldırıların uzun süredir tespit edilmemesinin sebeplerinden biridir. Eğer hedef değilseniz, kötü amaçlı yazılım sessiz olarak beklemektedir.” dedi.

Ancak hedeflenmeyen sistemlerde sessiz bile dursa, zararlı yazılım hala saldırganlara ASUS sistemine bir backdoor vermekte. NSA için yıllarca defansif güvenlik açığı analizi yapan İnternet Güvenliği Merkezi (CIS) başkan yardımcısı Tony Sager, saldırganların belirli bilgisayarları hedef almak için yaptıkları seçim yönteminin çok tuhaf olduğunu söyledi.

“Supply chain saldırıları “büyük pazar” kategorisinde yer alıyor ve bu konuda dikkatli olmak gerekirse bu konu  bazı planlamalar yapan birilerine işaret ediyor. Fakat çok kısa bir süre sonra bir çekiçle vurulmuş gibi olan binlerce hedefin on tanesi dışında bir şeyleri ortaya koymaya çalışmaktadır.”

Kaspersky araştırmacıları, ilk olarak 20 Ocak’ta bir kullanıcılarının makinesinde bu zararlı yazılımı tespit ettiler. Yalnızca Kaspersky’nin belirttiğine göre 57.000’den fazla kullanıcının bilgisayarına bu yazılım bulaşmış durumda. Bu kurbanlar sadece Kaspersky müşterilerinden oluşsa da tahmin edilen değer yüz binlerin üzerinde.

Kaspersky, müşterilerine ait virüs bulaşmış makinelerin çoğunun (yaklaşık %18) Rusya’da bulunduğunu, Almanya ve Fransa’da da olmak üzere daha az sayıda bulunduklarını söyledi. Virüs bulaşan Kaspersky müşterilerinin yalnızca %5’i ABD’de bulunuyor.  Symantec’ten O’Murchu ise, şirketlerindeki virüslü müşterilere ait 13.000 makinenin yaklaşık %15’inin ABD’de olduğunu söyledi.

Kamluk, Kaspersky’nin 31 Ocak’ta durumu ASUS’a bildirdiğini ve 14 Kasım’da ASUS ile bir araya geldiklerini belirtti. Ancak şirketin o zamandan beri büyük ölçüde tepkisiz olduğunu ve ASUS müşterilerini konuyla ilgili bilgilendirmediğini söyledi.

Saldırganlar, kötü amaçlı yazılımlarını imzalamak için iki farklı ASUS dijital sertifikasını kullandılar. İlk sertifika 2018’in ortasında sona erdi, bu nedenle saldırganlar bundan sonra kötü amaçlı yazılımlarını imzalamaya devam etmek  için ikinci bir meşru ASUS sertifikasına geçtiler.

Kamluk, ASUS ‘un sertifikalardan birini hala kullanmaya devam ettiğini, Kaspersky’nin sorunu şirkete bildirmesinden sonra en az bir ay boyunca kendi dosyalarını imzalamak için kullanmaya devam ettiklerini söyledi. Ancak Kamluk, ASUS’un hala iki güvenli sertifikayı geçersiz kılmadığını, bunun da saldırganların ya da süresi dolmamış bir sertifikaya erişimi olan herhangi birinin hala kötü niyetli dosyaları imzalayabildiği ve makinelerin bu dosyaları meşru ASUS dosyaları olarak görebileceği anlamına geldiğini söyledi.

ASUS’un müşterilerinden taviz verdiği ilk olay bu değil. 2016 yılında, şirket, yönlendiricilerinde birden fazla güvenlik açığı bırakmaktan, bulut yedekleme depolama alanı ve saldırganların müşteri dosyalarına ve yönlendirici oturum açmasına erişmelerine olanak tanıyacak ürün yazılımı güncelleme aracı nedeniyle yanlış beyan ve haksız güvenlik uygulamaları ile suçlandı.

Tüm bunların yanı sıra FTC şirketi, ASUS bu güvenlik açıklarını bilmesine rağmen yaklaşık bir milyon ABD’li yönlendirici sahibini saldırı riskine soktuğunu iddia etti. ASUS 20 yıl boyunca denetim altında tutulacağı bir güvenlik programı sözleşmesiyle bu davadan kurtuldu.

“Saldırganlar çok özel hedeflere girmek istediler ve zaten çok ilginç olan ağ kartı MAC adreslerini zaten biliyorlardı.”

Müşteri makinelerine araç aracılığıyla gönderilen zararlı dosyaya setup.exe adı verildi ve güncelleme aracının bir güncellemesi olarak gösterildi. Aslında kullanılan sertifikalar 2015 yılından beri var ve saldırganlar bu sertifikalar ile zararlı yazılımlarını imzalamadan önce kodlarını enjekte ettiler. Kaspersky Lab’a göre saldırganlar Haziran-Kasım 2018 tarihlerinde güncellemeri kullanıcılara göndermeye başladılar. Saldırganlar sürekli olarak aynı 2 sertifikayı kullandığından ASUS sunucusunun tamamına erişemedikleri öne sürülüyor.

Kaspersky araştırmacıları, müşteri makinelerinden 200’den fazla zararlı yazılım içeren dosya örneği topladılar. Bu dosyalara gömülü olarak cihazların MAC adreslerinin MD5 algoritması ile hash’lenmiş verileri bulunuyordu. Saldırganlar ise saldırmak için 600 MAC adresini arıyor ve dağıldıkları her yerde bu cihazların varlığını kontrol ediyorlar.

Kaspersky araştırmacıları, MAC adreslerini belirlemek için buldukları karmaşanın çoğunu çözebildiler; bu, kurbanların makinelerine hangi ağ kartlarını taktıklarını belirlemelerine yardımcı oldu.

Zararlı yazılım makineye bir virüs bulaştırdığında, MAC adresini o makinenin ağ kartından topladı, hashledi ve karma değerini zararlı yazılımdaki kodlanmış adreslerle eşleştirdi. 600 adresten birisi ile eşleştiğinde ASUS sitesi olarak gizlenen bir site olan asushotfix.com’a, o sisteme indirdiği ikinci aşama backdoor’u almak için ulaştı. Yalnızca çok az sayıda sunucu ile iletişim kurduğundan, zararlı yazılımın koruma radarının altında kalmasına yardımcı oldu.

Kamluk, “Mümkün olduğunca çok kullanıcıyı hedef almaya çalışmıyorlardı” dedi ve ekledi “Çok özel hedeflere girmek istediler ve zaten çok ilginç olan ağ kartı MAC adreslerini zaten biliyorlardı.”

Kaspersky, Rusya’daki müşterilerinden en az birinin 29 Ekim’de komuta kontrol sunucusuyla irtibata geçtiğini ve ikinci aşama olan backdoor’dan etkilendiğini söylüyor, ancak makine sahibinin kimliği bilinemediğinden onunla temasa geçip daha fazla araştırma yapmak mümkün olmuyor.

İmzalanmış ve zararlı yazılım içeren bir ASUS güncellemesinin Haziran 2018’de, bir Reddit forumunda bir dizi makinede  aynı şekilde ortaya çıktığı ve kullanıcıların ilk belirtileri burada söylediği belirtildi. Uyarı, “ASUS bu güncellemeleri şimdiden yüklemenizi kesinlikle tavsiye ediyor” bilgisiyle ile verildi.

“ASUSFourceUpdater.exe, bazı gizemli güncellemeler yapmaya çalışıyor” başlıklı bir yazıda, GreyWolfx adlı bir kullanıcı, “daha ​​önce hiç görmediğim bir .exe’den güncelleme penceresi açtım…” yazdı. ve “Bu güncellemenin ne olacağını bilen birileri varsa merak ediyorum.” dedi.

O ve diğer kullanıcılar, güncelleme hakkında bilgi almak için ASUS güncelleme aracına tıkladıklarında, araç ASUS’tan yeni bir güncelleme yayımlamadığını gösterdi. Ancak, dosya ASUS sertifikasıyla imzalandığından ve VirusTotal sonuçları temiz çıktığından güncellemeyi meşru olarak kabul etti ve bilgisayarlarına indirdi.

Kamluk ve Raiu, ShadowHammer saldırganlarının ilk saldırılarının bunun olamayacağını söyledi. Kaspersky, ASUS saldırıları ile önce ShadowPad adlı bir grup tarafından yapılan saldırılar arasında benzerlikler gördüklerini söylediler. ShadowPad artık güneş kremini ve diğer işlevleri görüntülemek için kullanılabilir. Aynı grup CCleaner saldırısı ile bağlantılıydı. Her ne kadar evrensel cihaz Ccleaner yazılım projeleri ile zararlı yazılım geliştirmeleri ile bunların iki pencereli arka kapı kullanımı ASUS saldırıları ile benzerliklerini ortaya çıkarıyor.

Kaspersky araştırmacıları, ShadowHammer saldırganlarının ShadowPad ve CCleaner saldırılarının arkasında yer alıyor ve bu saldırının ardından ASUS sunucularına erişim sağlıyorlardı diyorlar.

Raiu, “ ASUS, CCleaner saldırısının ana hedeflerinden bildirildi. Dikkat ayrıntıları olaylarından biri, ASUS ağına esasen nasıl girdikleri ve sonra da ASUS saldırısını başlatmak için erişimden yararlanmayı nasıl başardıklarıdır… ” dedi.