İlk UEFI rootkit siber saldırısı

0
1063
views
UEFI rootkit
Söz konusu UEFI rootkit saldırısı, yüksek profilli hedeflere yönelik bu türde kaydedilen ilk saldırı olma özelliğini taşıyor.
Reklam Alanı

Söz konusu UEFI rootkit saldırısı, yüksek profilli hedeflere yönelik bu türde kaydedilen ilk saldırı olma özelliğini taşıyor.

Reklam Alanı

UEFI rootkit’leri, bilgisayar korsanlarının kutsal kasesi, uzun zamandır korkuluyordu, ama hiç kimse gerçek ortamda görmemişti. ESET, meşhur APT grubu Sednit tarafından bir kampanyada kullanıldığını tespit edene kadar. Bazı UEFI rootkitleri, güvenlik konferanslarında konsept kanıtları olarak sunulmuştu; bazılarının ise devlet kurumlarının emrinde olduğu bilinmekteydi. Fakat 2018 Ağustos’una kadar, gerçek bir siber saldırıda hiçbir UEFI rootkit tespit edilmedi. ESET araştırmacıları , bahsedilen Sednit kampanyasında kullanılan EUFI rootkitini Lojax olarak tanımladı.

Firmware, UEFI, rootkit’lerin güvenlik riskleri

Bilgisayarınız ilk açıldığında çalışan ve bilgisayarın işletim sistemi üzerinde bile etkisi olan (dolayısı ile tüm makinenin) koda firmware adı verilir. Firmware’in nasıl çalışacağına dair adımların belirlendiği standarda ise UEFI (önceki sürümleri BIOS olarak biliniyordu) denir. Firmware ve UEFI sıklıkla birlikte UEFI firmware olarak anılır.

Rootkit, diğer yazılımların ulaşamadığı bölümlere kalıcı ve yasa dışı olarak ulaşmak için tasarlanmış zararlı yazılımlara verilen addır. Rootkit tipik olarak kendi varlığını veya diğer başka zararlı yazılımları gizler.

UEFI rootkiti firmware içerisinde gizlenen bir rootkit türüdür ve bu tür tehditler iki nedenden çok tehlikelidir. İlki, UEFI rootkit’leri kalıcıdır, bilgisayar yeniden başlatıldığında gitmezler, işletim sistemini baştan kurmanız ve hatta sabit diskinizi değiştirmeniz bile çözüm olmaz. İkincisi, tespit edilmeleri oldukça güçtür çünkü firmare adı verilen bölüm için genellikle kod taraması yapılmaz.

Bilgisayarı tamamen ve kalıcı olarak ele geçirebilir

Dolaşımda görülen bu ilk UEFI rootkit, cihaz yazılımlarına (firmware) ilişkin değişikliklerin oluşturduğu riskleri görmezden gelen kullanıcılar ve işletmeler için bir uyarı niteliği taşıyor. Can Erginkurban, “Artık firmware’leri düzenli taramaların dışında bırakmanın bir mazereti olamaz. Evet, UEFI kullanılan saldırılar şimdiye kadar oldukça ender görülmekteydi; genelde hedef bilgisayara fiziksel olarak erişimi gerektiriyordu. Fakat bu tip bir saldırı başarılı olduğunda, bilgisayarın tüm kontrolünü ele geçirerek neredeyse tamamen kalıcı olabilir ve kullanıcı yıllarca farkında olmadan bu zararlı ile yaşayabilir” bilgisini paylaştı.

ESET, kullanıcılarını UEFI tarayıcısı ile koruyan tek üretici

Antivirüs yazılım kuruluşu ESET, bir bilgisayarın cihaz yazılımındaki zararlı araçları tespit edebilmek üzere tasarlanmış özel koruma katmanı olan ESET UEFI Tarayıcı’yı (ESET UEFI Scanner) uç nokta güvenlik çözümlerine ekleyen tek büyük güvenlik sağlayıcısı konumunda. ESET Türkiye Ürün ve Pazarlama Müdürü Can Erginkurban, “ESET UEFI Tarayıcı sayesinde, bireysel ve kurumsal müşterilerimiz bu tip saldırıları tespit ederek kendilerini kolayca koruyabilecek konumdalar” şeklinde konuştu.

Bulaşıcı UEFI firmware’leri IT güvenliği ile ilgili herkes için bir kâbus. Zararı çok ve tespit edilmesi oldukça güç.

Jean-Ian Boutin, ESET Kıdemli Zararlı Yazılım Araştırmacısı

Kaynak : ESET ve TECHNOPAT

Reklam Alanı

CEVAP VER

Please enter your comment!
Please enter your name here