Donanıma gömülü UEFI yazılımı, bilgisayara yüklü işletim sistemi ve bunun üzerinde yer alan öbür tüm programlardan evvel çalışmaya başlayan bilgisayarın kıymetli bir kesimi. UEFI yazılımı bir formda makûs maksatlı kod içerecek formda değiştirilirse, bu kod işletim sisteminden evvel başlatılıyor ve bu da saldırıyı güvenlik tahlilleri açısından potansiyel olarak görünmez hale getiriyor. UEFI verisinin sabit şoförden başka olarak kendine has bir flash yongada yer alması, işletim sistemi büsbütün silinip tekrar yüklense bile tehdidin aygıtta yer almaya devam edeceği manasına geliyor.

Kaspersky araştırmacıları, MosaicRegressor olarak isimlendirilen karmaşık, çok basamaklı modüler bir kampanyada bu tıp berbat hedefli yazılımların bir örneğini buldular. Yeni keşfedilen bu kampanya, casusluk ve UEFI’ye yerleşen berbat maksatlı yazılım sayesinde bilgi toplama için kullanıldı. 

UEFI bootkit bileşenleri, yüklü olarak Hacking Team tarafından geliştirilen ve kaynak kodu 2015’te çevrimiçi olarak sızdırılan ‘Vector-EDK’ önyükleme setine dayanıyor. Sızan kod, büyük olasılıkla failler tarafından çok az bir geliştirme gayretiyle kendi yazılımlarını oluşturmak riski azaltmak için kullanıldı. 

Ataklar, 2019’un başından beri Kaspersky eserlerine dahil edilen Firmware Scanner yardımıyla tespit edildi. Bu teknoloji, UEFI bellenim imajları de dahil olmak üzere ROM BIOS’ta gizlenen tehditleri tespit etmek için özel olarak geliştirildi. 

Saldırganların özgün UEFI aygıt yazılımının üzerine yazmasına müsaade veren kesin bulaşma vektörünü tespit etmek mümkün olmasa da, Kaspersky araştırmacıları, sızdırılan Hacking Team evraklarından VectorEDK hakkında bilinenlere dayanarak bunun nasıl yapılacağına dair olasılıkları çıkardılar. Öteki seçenekleri göz gerisi etmemekle birlikte virüs muhtemelen kurbanın makinesine fizikî erişim yoluyla, bilhassa özel bir güncelleme yardımcı programı içeren önyüklenebilir bir USB bellek yardımıyla giriş yapıyor. Birinci bulaşma sonrası Truva atı indiricisi devreye girerek saldırganın gereksinimlerine uygun rastgele bir ziyanlı kodun işletim sistemi çalışır durumdayken indirilmesini sağlıyor. 

Bununla birlikte birçok durumda MosaicRegressor bileşenleri çok daha kolay yollarla, örneğin ileti eklerindeki geçersiz arşivlere gizlenmiş belgelerin seçilen maksatlara gönderilmesiyle aygıtlara sızdırıldı. Kampanyanın modüler yapısı, akınların geniş bir alana yayılarak tahlillerden gizlenmesine ve bileşenlerin sırf hedeflenen aygıtlara gönderilmesine yardımcı oldu. Virüs bulaşmış aygıta başlangıçta yüklenen makûs maksatlı yazılım, ek yük ve öbür makûs hedefli yazılımları indirebilen bir program olan Truva atı indiricisinden oluşuyor. İndirilen yüke bağlı olarak, berbat maksatlı yazılım keyfi URL’lerden rastgele evraklar indirip yükleyerek hedeflenen makineden bilgi toplayabiliyor. 

Keşfedilen kurbanların temasına dayanarak, araştırmacılar MosaicRegressor’ın Afrika, Asya ve Avrupa’dan diplomatlara ve STK üyelerine yönelik bir dizi maksatlı hücumda kullanıldığını belirledi. Atakların kimileri Rus lisanında maksatlı kimlik avı dokümanları içeriyordu. Kimileri ise Kuzey Kore ile ilgiliydi ve makûs emelli yazılımları indirmek için yem olarak kullanılıyordu.

Kampanyanın bilinen rastgele bir gelişmiş kalıcı tehdit aktörüyle ilişkisine rastlanmadı. 

Kaspersky Global Araştırma ve Tahlil Takımı (GReAT) Kıdemli Güvenlik Araştırmacısı Mark Lechtik, şunları söylüyor: “UEFI atakları tehdit aktörleri için geniş fırsatlar sunsa da, MosaicRegressor bir tehdit aktörünün yırtıcı ortamda özel yapılmış, makûs niyetli bir UEFI eser yazılımı kullandığı, kamuya açık olarak bilinen birinci olaydır. Özgür ortamda evvelce gözlemlenen misal hücumlar, yasal bir yazılımın (örneğin LoJax) basitçe yine tasarlanmasıyla gerçekleştiriliyordu. Meğer bu atak, istisnai durumlarda saldırganların kurbanın makinesinde en yüksek seviyede kalıcılığı elde etmek için büyük gayret sarf etmeye istekli olduğunu gösteriyor. Tehdit aktörleri araç setlerini çeşitlendirmeye ve yaratıcılığını kullanmaya devam ediyor.” 

Kaspersky GReAT Baş Güvenlik Araştırmacısı Igor Kuznetsov da şunları ekliyor: “Sızan üçüncü taraf kaynak kodunun kullanılması ve yeni, gelişmiş bir makûs maksatlı yazılım olarak özelleştirilmesi, bilgi güvenliğinin ehemmiyetini bizlere bir kere daha hatırlatıyor. Ziyanlı yazılım – bir önyükleme seti, berbat hedefli yazılım yahut diğer bir şey olsun – bir defa sızdırıldığında, tehdit aktörleri değerli bir avantaj elde eder. Fiyatsız olarak kullanılabilen araçlar, onlara araç setlerini daha az gayretle ve daha düşük tespit edilme talihiyle geliştirme ve özelleştirme fırsatı sunuyor.” 

Hürriyet