İranlı bir siber güvenlik firması, ABD’li Hewlet Packard (HP) firmasına ilişkin yerleşik sunucularda (iLO) saklanan ve İranlı kuruluşların sunucularını silmek için siber akında kullanılan, çeşidinin birinci örneği bir “rootkit” keşfettiğini söylemiş oldu.
“Rootkit” olarak tanımlanan yazılımların hedefi, öteki siber ataklarda olanın bilakis yayılmak yerine, bulunduğu sistemde varlığını gizlemek ve bilgileri silip/takip etmek olarak tanımlanıyor.
“iLOBleed” ismi verilen bu yazılımlar, Tahran merkezli güvenlik firması Amnpardaz tarafınca keşfedildi ve Salı günü yayınlanan bir raporda detaylı olarak belirtildi.
Şirkete nazaran iLOBleed, sunuculara yahut iş istasyonlarına eklenti kartı olarak eklenebilen bir donanım aygıtı olan HP iLO’yu (Integrated Lights-Out) hedefliyor.
iLO aygıtları kendi işlemci ünitesi, depolama alanı, RAM ve ağ kartı ile birlikte gelir ve rastgele bir işletim sisteminden farklı olarak çalışır.
Bu kartlar, sistem yöneticilerinin, bu sistemler kapalıyken bile uzak sistemlere bağlanması ve eser yazılımı güncelleme, güvenlik güncellemeleri yükleme yahut yanılgılı sistemleri bir daha yükleme üzere bakım süreçlerini gerçekleştirmesi için bir imkan sağlar. Haliyle tüm güvenlik duvarlarını ve güvenlik açıklarının sızdırılmasına yol açar.
Son senelerda iLO kartları, uzak bilgisayar filolarının idaresi ve dağıtımın otomatikleştirilmesi için kullanılan en başarılı kurumsal eserlerden biri haline geldi.
Ancak İran için bu kartlar, içine yerleştirilen “Rootkit” yazılımları niçiniyle bir tehlike haline geldi. Rootkitler üzerinden birinci hücumun da 2020’de gerçekleştirildiği aktarıldı.
Araştırmacılar, bulunmamak için saldırganın, ziyanlı yazılımı, iLO yazılımına bir modül olarak gizlediğini ayrıyeten iLO üretici yazılımını güncellemeye çalıştıklarında sistem yöneticilerine göstermek için düzmece bir güncelleme kullanıcı arayüzü oluşturduğunu söylemiş oldu.
Yani kelam konusu hücum yazılımı, kendini sakladığı üzere bir de düzmece arayüz oluşturarak fark edilmesini engellemeye çalıştı.
Berbat niyetli yazılımlar da HP firmasının iLO sistemi arayüzünü değiştirmesi kararında fark edildi. Arayüzü değişen sistemde rootkitler eski arayüzleri sununca bir farklılık olduğu anlaşıldı.
“BULUNACAĞINI HİÇ DÜŞÜNMEDİLER”
TheRecord’dan Catalin Cimpanu’nun haberine göre Amnpardaz takımı, “Güvenlik tahlil grubumuz berbat maksatlı yazılımı keşfettiğinde, saldırganlar sunucunun disklerini silmeye ve izlerini büsbütün gizlemeye karar vermişti” dedi.
Açıklamanın devamında ise şunlar aktarıldı:
“İlginç bir biçimde, saldırganlar tek seferlik imhadan mutlu değildi ve makûs hedefli yazılımı, bilgi imhasını aralıklarla tekrar yine yapacak biçimde ayarladılar. Tahminen de bu türlü sistem yöneticisi işletim sistemini bir daha kurarsa bir süre daha sonra tüm sabit diskin tekrar bozulacağını düşündüler. Açıkçası, makûs gayeli yazılımlarının bulunacağını düşünmediler.”
Hücumların kimin tarafınca yapıldığı belirlenemedi. Hem Amnpardaz tıpkı vakitte siber güvenlik topluluğu üyeleri, iLO Rootkit’ini son teknoloji ve muhtemelen epey gelişmiş bir tehdit aktörünün işi olarak tanımladı.
Ama Amnpardaz’ın raporu bu makûs gayeli yazılımın varlığını ortaya çıkarsa da, başlangıçta nasıl bilgisayarlara sokulduğuna dair sorular hala devam ediyor. Mevcut geçerli teoriler, siber saldırganın bir kurbanın ağına öbür kanallar aracılığıyla girdiği ve akabinde iLOBleed’i bir art kapı olarak kullandığı tarafında.
Buna karşılık Amnpardaz’ın raporlarında, iLOBleed’in keşfinin bir atılım ve bir muvaffakiyet olduğu aktarıldı. Zira iLO kartlarına sızmış seviyede berbat gayeli yazılım aktifliğini tespit edebilen epey az güvenlik aracı ve eser olduğu açıklandı.
“Rootkit” olarak tanımlanan yazılımların hedefi, öteki siber ataklarda olanın bilakis yayılmak yerine, bulunduğu sistemde varlığını gizlemek ve bilgileri silip/takip etmek olarak tanımlanıyor.
“iLOBleed” ismi verilen bu yazılımlar, Tahran merkezli güvenlik firması Amnpardaz tarafınca keşfedildi ve Salı günü yayınlanan bir raporda detaylı olarak belirtildi.
Şirkete nazaran iLOBleed, sunuculara yahut iş istasyonlarına eklenti kartı olarak eklenebilen bir donanım aygıtı olan HP iLO’yu (Integrated Lights-Out) hedefliyor.
iLO aygıtları kendi işlemci ünitesi, depolama alanı, RAM ve ağ kartı ile birlikte gelir ve rastgele bir işletim sisteminden farklı olarak çalışır.
Bu kartlar, sistem yöneticilerinin, bu sistemler kapalıyken bile uzak sistemlere bağlanması ve eser yazılımı güncelleme, güvenlik güncellemeleri yükleme yahut yanılgılı sistemleri bir daha yükleme üzere bakım süreçlerini gerçekleştirmesi için bir imkan sağlar. Haliyle tüm güvenlik duvarlarını ve güvenlik açıklarının sızdırılmasına yol açar.
Son senelerda iLO kartları, uzak bilgisayar filolarının idaresi ve dağıtımın otomatikleştirilmesi için kullanılan en başarılı kurumsal eserlerden biri haline geldi.
Ancak İran için bu kartlar, içine yerleştirilen “Rootkit” yazılımları niçiniyle bir tehlike haline geldi. Rootkitler üzerinden birinci hücumun da 2020’de gerçekleştirildiği aktarıldı.
Araştırmacılar, bulunmamak için saldırganın, ziyanlı yazılımı, iLO yazılımına bir modül olarak gizlediğini ayrıyeten iLO üretici yazılımını güncellemeye çalıştıklarında sistem yöneticilerine göstermek için düzmece bir güncelleme kullanıcı arayüzü oluşturduğunu söylemiş oldu.
Yani kelam konusu hücum yazılımı, kendini sakladığı üzere bir de düzmece arayüz oluşturarak fark edilmesini engellemeye çalıştı.
Berbat niyetli yazılımlar da HP firmasının iLO sistemi arayüzünü değiştirmesi kararında fark edildi. Arayüzü değişen sistemde rootkitler eski arayüzleri sununca bir farklılık olduğu anlaşıldı.
“BULUNACAĞINI HİÇ DÜŞÜNMEDİLER”
TheRecord’dan Catalin Cimpanu’nun haberine göre Amnpardaz takımı, “Güvenlik tahlil grubumuz berbat maksatlı yazılımı keşfettiğinde, saldırganlar sunucunun disklerini silmeye ve izlerini büsbütün gizlemeye karar vermişti” dedi.
Açıklamanın devamında ise şunlar aktarıldı:
“İlginç bir biçimde, saldırganlar tek seferlik imhadan mutlu değildi ve makûs hedefli yazılımı, bilgi imhasını aralıklarla tekrar yine yapacak biçimde ayarladılar. Tahminen de bu türlü sistem yöneticisi işletim sistemini bir daha kurarsa bir süre daha sonra tüm sabit diskin tekrar bozulacağını düşündüler. Açıkçası, makûs gayeli yazılımlarının bulunacağını düşünmediler.”
Hücumların kimin tarafınca yapıldığı belirlenemedi. Hem Amnpardaz tıpkı vakitte siber güvenlik topluluğu üyeleri, iLO Rootkit’ini son teknoloji ve muhtemelen epey gelişmiş bir tehdit aktörünün işi olarak tanımladı.
Ama Amnpardaz’ın raporu bu makûs gayeli yazılımın varlığını ortaya çıkarsa da, başlangıçta nasıl bilgisayarlara sokulduğuna dair sorular hala devam ediyor. Mevcut geçerli teoriler, siber saldırganın bir kurbanın ağına öbür kanallar aracılığıyla girdiği ve akabinde iLOBleed’i bir art kapı olarak kullandığı tarafında.
Buna karşılık Amnpardaz’ın raporlarında, iLOBleed’in keşfinin bir atılım ve bir muvaffakiyet olduğu aktarıldı. Zira iLO kartlarına sızmış seviyede berbat gayeli yazılım aktifliğini tespit edebilen epey az güvenlik aracı ve eser olduğu açıklandı.