UEFI kısmını hedef alan bir siber saldırı keşfedildi

Yapılan öngörü ne yazık ki doğru çıktı. ESET araştırmacıları, kurbanların bilgisayarına sızmak için UEFI rootkit kullanan ilk siber saldırıyı 2018 Eylül ayı içinde keşfetti.

ESET tarafından “LoJax” olarak adlandırılan bu rootkit, elde edilen tespitlere göre kötü şöhretli Sednit grubu tarafından kullanılıyor ve Balkanlar ile Doğu Avrupa’daki yüksek profilli hedeflere yöneliyor.

UEFI ve Rootkit nedir? 

UEFI, bilgisayar düğmesine bastığınızda, işletim sistemi başlamadan hemen önce çalışıp sistemi ve çevre birimlerini çalışmaya hazır hale getiren temel yazılım bölümü olarak biliniyor. Eski cihazlarda BIOS olarak bilinen bu bölüm, genellikle sadece fiziksel erişim ile ulaşılabildiği için bugüne dek korumasız bırakılmıştı.

Reklam
Reklam

Fakat UEFI ile birlikte daha kolay bir şekilde uzaktan erişilebilir, dolayısıyla da siber suçlular açısından cazip bir saldırı hedefi haline geldi. Rootkit ise diğer yazılımların ulaşamadığı bölümlere kalıcı ve yasa dışı olarak ulaşmak için tasarlanmış zararlı yazılımlara verilen addır. Rootkit, tipik olarak kendi varlığını veya diğer başka zararlı yazılımları gizler.

UEFI rootkit nedir?

UEFI rootkitleri, siber saldırıların başlatılmasında oldukça güçlü ve tehlikeli birer araç olarak kullanılıyor. Tüm bilgisayara açılan kapının anahtarı olarak, işletim sisteminin yeniden yüklenmesi ya da sabit disk değişimi gibi güvenlik önlemlerini atlatabilmesiyle tespit edilmesi oldukça zordur.

Dahası, bir UEFI rootkit bulaşmış sistemi temizlemek, cihaz yazılımının yeniden düzenlenmesi gibi tipik bir kullanıcının sahip olmadığı üst düzeyde bilgiler gerektiriyor.

Bilgisayarı tamamen ve kalıcı olarak ele geçirebilir

Dolaşımda görülen bu ilk UEFI rootkit, cihaz yazılımlarına (firmware) ilişkin değişikliklerin oluşturduğu riskleri görmezden gelen kullanıcılar ve işletmeler için bir uyarı niteliği taşıyor. Artık firmware’leri düzenli taramaların dışında bırakmanın bir mazereti olamaz.

Reklam
Reklam

Evet, UEFI kullanılan saldırılar şimdiye kadar oldukça ender görülmekteydi; genelde hedef bilgisayara fiziksel olarak erişimi gerektiriyordu. Fakat bu tip bir saldırı başarılı olduğunda; bilgisayarın tüm kontrolünü ele geçirerek neredeyse tamamen kalıcı olabilir ve kullanıcı yıllarca farkında olmadan bu zararlı ile yaşayabilir.

Saldırının arkasında Sednit grubunun olduğu tahmin ediliyor

APT28, Strontium, Sofacy veya Fancy Bear olarak da bilinen Sednit; en azından 2004 yılından beri aktif şekilde faaliyet gösteren APT gruplarından biri. İddiaya göre 2016 ABD seçimlerini etkileyen Demokratik Ulusal Komite saldırısı; global televizyon ağı TV5 Monde saldırısı, Dünya Anti-Doping Ajansı e-posta sızıntısı ve pek çok diğer saldırının arkasında Sednit olduğuna inanılıyor.