CyberThink'ten FireEye Saldırı Raporu

Siber Güvenlik Düşünce kuruluşu olarak faaliyet gösteren CyberThink tarafından hazırlanan raporda FireEye Saldırısı incelendi. CyberThink tarafından hazırlanan rapor;

FireEye Hacklenmesi

Geçtiğimiz yılın sonunda FireEye tarafından bir açıklama yapıldı ve FireEye şirketi bir siber saldırıya maruz kaldığını ve bazı siber güvenlik araçlarının saldırganlar tarafından dışarıya sızdırıldığını iddia etti.

FireEye Nedir?

FireEye Inc, 2004 yılında, dünya çapındaki kurum ve kuruluşların gerçek zamanlı olarak siber güvenliklerini sağlamak için tehdit önleme imkânı sunan ve bu alanda programlar geliştiren bir siber güvenlik şirketi olarak kurulmuştur. FireEye’nin 40’tan fazla ülkede, 1100’ü aşan sayıda müşterisi bulunmakta olup, bu müşteriler arasında Fortune 500’ün içinde yer alan 100’den fazla kurum da yer almaktadır. Yıllar boyunca, siber güvenlik firması olan FireEye, dünyanın dört bir yanındaki devlet kurumları ve şirketler için en sofistike saldırganlar tarafından saldırıya uğranıldığında ya da saldırı olabileceğinden korkulduğunda ilk aranan şirket olmuştur. Bu sebeplerden ötürü göze batan bir firma olmuştur.

Supply Chain Attack

Saldırının Türü

Yapılan saldırı Türkçeye “Tedarik Zinciri Saldırısı” olarak çevirdiğimiz Supply Chain saldırısıdır. Supply Chain Attack, tedarik ağındaki daha az güvenli unsurları hedefleyerek bir kuruluşa zarar vermeye çalışan bir siber saldırı türü olarak bilinir. 2013 yılında da bugünkü SolarWinds saldırısına benzeyen bir saldırı gerçekleşmişti.

Zararlı Yazılımın Analizi

Malicious DLL Name : SolarWinds.Orion.Core.BusinessLayer.dll

Version MD5: b91ce2fa41029f6955bff20079468448

Zararlı yazılıma tersine mühendislik uygulanmış ve de4dot kullanılarak obfuscat edilmiştir.

SolarWinds.Orion.Core.BusinessLayer.dll üzerine yazılmış backdoor kodları:

Malware Analizi

Zararlı Yazılımın Çalışma Analizi

1.Adım: Zararlı yazılımın belirlenen tarihte başlatılması için yazılan kod bloğu:

2.Adım: Programın çalıştırılıp çalıştırılmama süresinin denetlendiği kod bloğu:

Zararlı Yazılımın Çalışma Analizi

2.1. Adım: İlk çalıştırmadan sonraki 12-14 günlük pasif kalma süresini içerek kod bloğu:

3.Adım: Hem senkron hem de asenkron okuma ve yazma izinlerini kullanmaya yönelik oluşturulan kanalın kod bloğu:

Malware Analizi

Zararlı Yazılımın Çalışma Analizi

4. Adım:

– Domain’i hostname ile karşılaştır.

– Domain’i daha önceden oluşturulmuş blacklistler ile karşılaştır.

– Kontrolleri gerçekleştiren createUserId fonksiyonunu çağır.

5. Adım: Süreç Kontrolü:

6. Adım: Backdoor oluşturuldu ve C&C ile iletişimi başlatıldı

1) IP_ADDRESS of api.solarwinds.com is resolved and verified against a set of hard coded P_ADDRESS/SUBNETS

2) DNS Query to avsvmcloud.com to resolve IP_ADDRESS and based on the IP_ADDRESS the trojan adapts its behavior.

if IP_ADDR == 87.238.80.X { THEN create HTTPS worker for handling responses from C&C server } …

Zararlı Yazılımın Çalışma Analizi

Backdoor’a ait imza:

Supply Chain Attack

SolarWinds Nedir?

SolarWinds Inc., işletmelerin ağlarını, sistemlerini ve bilgi teknolojisi altyapılarını yönetmelerine yardımcı olacak yazılımlar geliştiren bir Amerikan şirketidir. Merkezi Austin, Texas’ta olup, Amerika Birleşik Devletleri’nde ve diğer bazı ülkelerde çeşitli yerlerde satış ve ürün geliştirme ofisleri bulunmaktadır.

SolarWind Saldırısı Kimleri Etkiledi?

SolarWinds şirketi, bu saldırıdan 18.000 Orion müşterisinin etkilendiğini doğruladı. Reuters, saldırganların az sayıda, yüksek önem taşıyan hedeflere odaklandığını ve çoğu Orion müşterisini etkilemediğini bildirdi. ZDNet’e göre, birkaç IT yöneticisi, sistemlerinde kötü amaçlı yazılım bağlantılı Orion güncellemesinin işaretlerini bulduklarını, ancak genellikle saldırganlar tarafından diğer sistemlere ve dahili müşteri ağlarına erişimi artırmak için kullanılan ikinci aşama belirtilerini bulamadıklarını bildirdi.

Yapılan Açıklamalar

ABD CISA’nın Açıklaması

CISA(Siber Güvenlik ve Altyapı Güvenliği Ajansı) bu saldırı sonrasında Acil Durum Direktifi yayınladı ve SolarWinds sistemlerini kullanan bütün kamu kuruluşlarından, saldırı tespiti için ağ trafiklerini inceleyip analiz etmelerini ve SolarWinds Orion ürününü kaldırmalarını veya kullanıma kapatmalarını istedi.

SolarWinds’ın Açıklaması

SolarWinds Şirketi yaptığı açıklamada bir siber saldırıya maruz kaldıklarını resmi olarak duyurdu. Kullanıcılarının yazılımlarını yeni yayınlanan güncelleme ile değiştirmeleri gerektiğini söyledi. Güncelleme yapamayan kullanıcılara, SolarWinds sunucularını izole etmelerini ve sunucunun internet bağlantısının kesilmesi gerektiğini söyledi. Aynı zamanda kullanıcı adı ve şifrelerinin değişmesinin de önemli olduğunu belirtti. SolarWinds Şirketi uyarılarını yaptıktan sonra, olay tespit sürecinin devam ettiğini, tam olarak delilleri olmamakla birlikte saldırıyı Rus Devletinin İstihbarat servisinin yapmış olabileceğini söyledi.

Fireeye’nin Açıklaması

Bossert, NYT fikir yazısında, böylesi bir ustalık ve büyük ölçekte saldırıyı gerçekleştirme kabiliyetine sahip olarak Rusya’yı gösterdi. Ancak FireEye henüz Rusya’yı sorumlu olarak adlandırmadı ve bunun FBI, Microsoft ve adı verilmeyen diğer önemli ortaklarla devam eden bir soruşturma olduğunu söyledi. Başkan Trump’tan olay karşısında herhangi bir tepki gelmezken Demokrat Senatör Richard Blumenthal, Twitter hesabı üzerinden yaptığı açıklamada “Rusya’nın siber saldırısı beni derinden endişelendirdi, aslında düpedüz korkuttu.” ifadelerini kullandı.

Ardından Başkan seçilen Joe Biden yaptığı açıklamada şunları söyledi: “İyi bir savunma yeterli değildir; Düşmanlarımızı en başta önemli siber saldırılar gerçekleştirmekten alıkoymalı ve caydırmalıyız.”

Saldırı Sonrası Rusya’nın Açıklaması

Rusya Hükümeti yaptığı açıklamada, atılan iddiaların asılsız olduğunu, kendilerinin böyle bir saldırı içinde bulunmadıklarını, bunun bir karalama olduğunu söyleyerek kendini savundu.

Siber Güvenlik Düşünce kuruluşu CyberThink tarafından hazırlanan raporun tamamına ulaşmak için tıklayınız.