Şirket İçinden Gelen DarkVishnya saldırıları

Normal şartlar altında bir siber olayı araştırırken öncelikle virüsün kaynağına bakarız. Kaynağı bulmak zor değildir. Kötü amaçlı bir ek veya bağlantı içeren bir e-posta ya da ele geçirilmiş bir sunucu olup olmadığını araştırırız. Genellikle güvenlik uzmanlarında bir ekipman listesi bulunur, yapmanız gereken tek şey kötü amaçlı etkinliği hangi makinenin başlattığını bulmaktır. Peki ya tüm bilgisayarlar temiz olmasına rağmen kötü amaçlı etkinlik devam ediyorsa…

Kısa bir süre önce uzmanlarımız, tam olarak böyle bir olayın araştırılmasına dahil oldu. Araştırma sonucunda, saldırganların, kendi ekipmanlarını fiziksel olarak kurumsal ağa bağladığı keşfedildi.

DarkVishnya adı verilen bu saldırı türü, suçlunun mağdurun ofisine bir cihaz getirip bunu kurumsal ağa bağlamasıyla başlıyor. Saldırganlar, bu cihaz aracılığıyla şirketin BT altyapısını keşfedebiliyor, parolaları ele geçirebiliyor, ortak klasörlerdeki bilgileri okuyabiliyor ve daha birçok şeyi yapabiliyor.

Saldırıyla ilgili teknik ayrıntılara, bu Securelist gönderisinden ulaşabilirsiniz. Araştırdığımız vakada, saldırganlar Doğu Avrupa’daki bankaları hedef alıyordu. Ancak yöntem, herhangi bir büyük şirkete karşı kullanılabilir. Şirket ne kadar büyükse saldırganların işi de o kadar kolaylaşır; kötü amaçlı bir cihazı, büyük bir ofiste saklamak daha kolaydır, özellikle şirket, dünya genelinde, tek bir ağa bağlı birden çok ofise sahipse saldırı daha da etkili olur.

Cihazlar

Bu vakayı araştıran uzmanlarımız, üç cihaz türünün kullanıldığını tespit etti. Bu cihazların tamamının tek bir grup tarafından mı yoksa birden çok aktör tarafından mı yerleştirildiğini henüz bilmiyoruz fakat tüm saldırılarda aynı ilke kullanılmış. Saldırıya dahil olan cihazları aşağıda görebilirsiniz:

• Ucuz bir dizüstü bilgisayar veya netbook. Saldırganların, üst model bir cihaza ihtiyaçları yok; ikinci el bir bilgisayar alıp 3G modem takabilir ve uzaktan kontrol programını kurabilirler. Daha sonra fark edilmesini önlemek için cihazı saklayabilir ve birisi ağa, diğeri güç kaynağına olmak üzere iki kablo bağlayabilirler.
• Raspberry Pi. USB bağlantısından güç alan bu minyatür bilgisayar, Raspberry Pi, ucuz ve dikkat çekmeyen bir cihazdır. Bu cihazın satın alınması ve ofiste saklanması, dizüstü bilgisayara göre daha kolaydır. Cihaz, kabloların arasına gizlenerek bir bilgisayara veya lobideki ya da bekleme odasındaki bir televizyonun USB girişine takılabilir.
• Bash Bunny. Sızma testlerinde araç olarak kullanılmak üzere tasarlanan Bash Bunny, rahatlıkla hacker forumlarından satın alınabilir. Bu cihaz, özel bir ağ bağlantısına ihtiyaç duymaz, herhangi bir bilgisayarın USB girişi aracılığıyla çalışır. Cihazın bu özelliği, bir yandan flash sürücü gibi görünmesini sağlayarak saklamayı kolaylaştırırken diğer yandan cihaz kontrol teknolojisinin, anında cihaza müdahale etmesine neden olur ve bu seçeneğin başarılı olma ihtimalini düşürür.

Bu cihazlar ağa nasıl bağlanır?

Güvenlik meselelerinin, ciddiye alındığı şirketlerde bile böyle bir cihazın yerleştirilmesi imkansız değildir. Kuryeler, iş arayanlar, iş ortaklarının veya müşterilerin temsilcileri, genellikle rahatça ofislere girip çıkar. Dolayısıyla saldırganlar, bunlardan birini taklit etmeye çalışabilir.

Diğer bir risk de şudur: Ethernet yuvaları; koridorlar, toplantı odaları ve salonlar dahil olmak üzere ofislerin neredeyse her yerine kurulur. Ortalama bir iş merkezinde biraz etrafa bakınırsanız, ağa ve güç kaynağına bağlı küçük bir cihazı saklayabilecek bir yer bulabilirsiniz.

Ne yapmalısınız?

Bu saldırının en az bir zayıf noktası vardır: Saldırgan, ofise gelmek ve cihazı fiziksel olarak bağlamak zorundadır. Dolayısıyla dışarıdan gelenlerin ulaşabileceği noktalardan ağ erişimini kısıtlayarak işe başlayabilirsiniz.

• Herkese açık alanlardaki kullanılmayan Ethernet çıkışlarını sökün. Bu mümkün değilse en azından bu çıkışları ayrı bir ağ segmentinde izole edin.
• Ethernet yuvalarını, güvenlik kameralarının görebileceği noktalara yerleştirin. Bu önlem, saldırganları caydırabilir veya en azından bir olayı araştırmanız gerektiğinde kullanışlı olabilir.
• Güvenli cihaz kontrol teknolojilerine sahip bir güvenlik çözümü kullanın. Örneğin Kaspersky Endpoint Security for Business çözümünü tercih edebilirsiniz.
• Ağdaki anormallikleri ve şüpheli etkinlikleri izlemek için özelleştirilmiş bir çözüm kullanmayı düşünebilirsiniz. Örneğin Kaspersky Anti Targeted Attack Platform bu iş için uygun bir çözümdür.