TR | EN
Bilgi İşlem Daire Başkanlığı
  1. Sosyal Medyada Gezinirken Herşey Ne Kadar Masum Sizce
Sosyal Medyada Gezinirken Herşey Ne Kadar Masum Sizce

     Rusça konuşan bir hacking grubu, dünya çapındaki hükümetleri, yılladır yeni bir method ile
hedef aldıkları ortaya çıktı. Bu metod sosyal medya hesaplarına enfekte edilmiş bir malware ile
istihbarat toplanmasını gizlemekdir.
     Geçen Salı günü Antivirüs sağlayıcı firma Eset’ araştırmacılarının yayınladığı rapora göre, son
zamanlarda keşfedilen bir trojan, Britney Spears’ın resmi instagram hesabına yayınlanan yorumları
kullanmakta. Bunun amacı gönderilen komutlarla kontrol server’ın yerini bulmak ve enfekte olmuş
bilgisayardan çalınan veriyi boşaltmaktır.
     Turla, bu grubun en ileri ve modern casusluk aracıdır. 2014 ‘ün ortalarında Symantec
araştırmacılarının Wipbot ismini verdiği zararlı, birçok Avrupa ülkesinin ki birçoğu eski doğu bloku
olan, hükümetlerine ve elçiliklerinin Windows tabanlı sistemlerine gizlice girmişti. Birkaç ay sonra
Kaspersky Lab’daki araştırmacılar, aşırı derece gizli bir Linux backdoor’un benzer bir operasyonda
kullanıldığını keşfetti. Bu bulgu zararlının bilindiğinden daha geniş bir etki alanına sahip olduğunu
gösterdi. Turla’nın uydu tabanlı internet bağlantılarının izlerini gizlemek için kullanıldığıda biliniyor.
Martta, araştırmacılar Turla zararlısını Avrupa’nın devlet ve askeri bilgisayarlarına gizlice girmek için
windows’taki sıfırıncı gün zafiyetini kullanırken gözlemlediler.
     Salı günkü raporda, Eset’in bildirdiğine göre araştırmacalar, bir güvenlik özelliği gibi görünen
bir Firefox browser uzantısı keşfettiler. Ancak sahne arkasında bu uzantı, dış kaynaklara enfekte
olmuş bir bilgisayarın tüm kontrolünü ele geçirmesi için kapı sağlamış olmakta. Ayrıca bu uzantının
gizli kalmak için, içerisinde düzenli ifadelerin yer aldığı ve verinin kontrol serverı ile neredeki enfekte
bilgisayardan gönderildiğini bulmak için kriptografik hashlerin hesaplamasınıda içeren
programlamanın tüm inceliklerinin kullanıldığı görüldü.

     Eset araştırmacalarının bildirdiğine göre, komuta kontrol’e ulaşmak için bu Firefox uzantısı
bit.ly şeklinde bir URL adresi kullanmakta, fakat bu uzantı kodu içerisinde herhnagi bir URL yani web
adresi herhangi bir yerde bulunmamakta. Aslında, britney spears hesabı gibi bir instagram
uygulamasındaki hesapta yorumlar kısmı kullanılarak bu gözlenebilecektir.

     Yukarıda örnektede görülebileceği üzere, Britney Spears’ın resmi instagram hesabında
koyulmuş fotonun yanındaki yapılmış yorumda incelenmesi istenen örneklerden birini görebiliyoruz.
     Firefox uzantısı, browser ile gezilen her bir fotoğrafın yorum kısmına bakar ve burdaki hash
değerini hesaplar. Eğer hash değeri 183 ise o zaman yorumdaki düzenli ifadeyi çalıştıracak ve bit.ly
URL yolunu alacaktır, bu o adrese yönlendirilmesini sağlayacaktır.

(?:\\u200d(?:#|@)(\\w)

     Fotoğraftaki yorumlara baktığımızda, sadece birinin 183 hash değerini sağladığını görürüz
(işaretli olan). Bu yorum 6 Şubat’da yapılmış. Fotoğraf ise Ocak ayı başına ait. Bu komut alınıp,
işlendikten sonra uzantıya verilen bit.ly URL adresi şu olur.

http://bit.ly/2kdhuHX

     Yorumdaki düzenli ifade’ye bir parça daha yakından baktığımızda, gördüğümüz@|# yada
Unicode karakter karşılığı olarak ise \200d dir. Bu karakter aslında basılmayan karakter olarak geçer
başka bir deyişle “Zero Width Joiner” normalde emojileri ayırmak için kullanılır. Yapıştırılan yorum ya
da kaynağına baktığımızda, bu karakter herbir karakterden önce gelir ki bu da bit.ly URL: adresşnşn
yolunu verir.
     smith2155#2hot make loveid to her, uupss #Hot #X

     Bu kısa link çözümlendiğinde yönlendirdiği web sitesi ise

     static.travelclothes.org/dolR_1ert.php olarak karşımıza çıkar. Bu adres Turla zararlısını yapan
ekip tarafından kullanılan komuta kontrol adresidir.

     Bit.ly tarafından sağlanan verilerle görüldüğü üzere bu URL Şubat ayında 17 ziyaret aldı,
yorumun yayında kaldığı sürece. Eset araştırmacaları bu kadar düşük sayıdaki bağlantıyı yazılımın test

aşamasında olduğuna bağladırlar yada ikinci bir olasılık olarak yüksek öncelikli hedef odaklı bireylere

karşı yapılan operasyonlarda kullanıldığı düşünülüyor.

     Bu Firefox uzantısı İsviçre’deki isimsiz bir güvenlik şirketinin web sitesi üzerinde yayılmıştı.
     Eset araştırmacaları daha evvel Bitdefender tarafından duyurulmuş ve adı Pacifier olan zararlının
güncellenmiş hali olduğunu düşünüyor.
     En son bu uzantının aşağıdaki özelliklere sahip olduğu görüldü.
     - Çalıştırılabilir dosya yürütmesi
     - Komuta kontrol’e dosya yükleme
     - Komuta kontrol den dosya indirme
     - Dizin içeriğini okuma ve komuta kontol’e bir dosya listesi gönderme (dosya ve boyutları ile)
     Eset araştırmacaları şuna dikkat çektiler ki artık Firefox geliştiricileri Turla gibi uzantıların
çalışmasını engellemek için browser’ı yeniden inşa edecekler.

 

 

     Orijinal article link is https://arstechnica.com/information-technology/2017/06/russian-
hackers-turn-to-britney-spears-for-help-concealing-espionage-malware/


Translated by akinkarci [at] gmail.com
Eskişehir Osmangazi Üniversitesi
Ağ ve Sunucu Sistemleri SOME YETKİLİSİ

Son Güncelleme Tarihi: 23.05.2018

Siber Köşe