SAS
Kaspersky’nin düzenlediği son Security Analyst Summit‘te uzmanlarımız, FinSpy (diğer adıyla FinFisher) casus yazılımları ve önceden bilinmeyenler de dahil olmak üzere dağıtım yöntemleri hakkında ayrıntılı bir rapor sundular. Elde ettikleri bulgular hakkında daha fazla bilgiye Securelist gönderisinden ulaşabilirsiniz. Biz de bu bu yazımızda, FinSpy’ın ne tür bir kötü amaçlı yazılım olduğunu ve kendinizi bundan nasıl koruyabileceğinizi inceliyoruz.
FinSpy (FinFisher) nedir?
Dünya çapında kolluk kuvvetleri ve devlet kurumları tarafından kullanılan ticari bir casus yazılım olan FinSpy, araştırmacıların radarına ilk kez 2011 yılında WikiLeaks’te yazılımla ilgili belgelerin ortaya çıkmasıyla girdi. Kaynak kodu 2014’te internette yayınlandı ancak FinSpy’ın hikayesi burada bitmedi: Kötü amaçlı yazılım, yeniden geliştirmenin ardından bugün de hala dünya çapındaki bir çok cihaza bulaşmaya devam ediyor.
FinSpy, Windows, macOS ve Linux bilgisayarların yanı sıra Android ve iOS yüklü mobil cihaz sürümlerine de sahip olması sayesinde çok yönlü bir casus yazılım. Yetenekleri platforma bağlı olarak değişiklik gösterse de tüm sürümlerde kötü amaçlı yazılım, kendileriyle ilgili veri paketlerini gizlice kullanıcılarına iletmek için çeşitli araçlar kullanıyor.
FinSpy nasıl yayılıyor?
Casus yazılım, birkaç farklı yolla Windows makinelerine sızıyor.
Örneğin, TeamViewer, VLC Media Player, WinRAR ve diğer programların yükleyicileri de dahil olmak üzere virüslü dağıtım paketlerinde gizlenebiliyor. Değiştirilmiş uygulama setlerinin indirilmesi ve çalıştırılması, çok adımlı bir bulaşma zincirini harekete geçiriyor.
Bunun yanı sıra araştırmacılarımız, işletim sisteminden önce yüklenen bileşenlerde de — UEFI (Birleşik Genişletilebilir Ürün Yazılımı Arabirimi, işletim sisteminin donanımla iletişim kurduğu arabirim) ve MBR (Windows’u başlatmak için gereken Ana Önyükleme Kaydı) — kötü amaçlı yazılımın yükleyicisi ile karşılaştı. Her iki durumda da, bilgisayarı başlatmak FinSpy’ı yüklenmesini sağlıyor.
Yazılım bir akıllı telefon veya tablete ise kısa mesajdaki bir bağlantı aracılığıyla bulaşabiliyor. Bazı durumlarda (örneğin, kurbanın iPhone’u jailbreak yapılmamışsa), saldırganın cihaza fiziksel erişim sağlaması gerekebilir ki bu da yükleme işini biraz zorlaştırıyor. Ayrıca kesin olarak öyle olduğunu söyleyemesek de saldırganların casus yazılımı Linux makinelere bulaştırması için de fiziksel erişim sağlamaları gerekiyor gibi görünüyor.
FinSpy hangi verileri çalıyor?
FinSpy, oldukça geniş çaplı kullanıcı gözetleme yeteneklerine sahip bir casus yazılım. Örneğin kötü amaçlı yazılım PC sürümlerinde:
- Mikrofonu açabiliyor ve duyulan her şeyi kaydedebiliyor veya gönderebiliyor,
- Gerçek zamanlı olarak kullanıcının klavyede yazdığı her şeyi kaydedebiliyor veya gönderebiliyor,
- Kamerayı açabiliyor ve kamera üzerinden görüntü kaydedebiliyor veya gönderebiliyor,
- Kullanıcının etkileşimde bulunduğu — eriştiği, değiştirdiği, yazdırdığı, aldığı, sildiği vb. — dosyaları çalabiliyor,
- Ekran görüntüsü veya ekranda kullanıcının tıkladığı bir bölümün görüntüsünü alabiliyor,
- Thunderbird, Outlook, Apple Mail ve Icedove istemcilerindeki e-postaları çalabiliyor,
- Skype’ta rehberleri, sohbetleri, aramaları ve dosyaları ele geçirebiliyor.
Ek olarak, FinSpy’ın Windows sürümü VoIP aramalarını dinleyebiliyor, belirli protokoller için sertifikaları ve şifreleme anahtarlarını ele geçirebiliyor ve adli veri toplama araçlarını indirip çalıştırabiliyor. Hepsinden öte, FinSpy’ın Windows sürümü BlackBerry akıllı telefonlara da bulaşabiliyor, ki bu sayede artık çok kullanılmayan bu platform bile göz ardı edilmemiş oluyor.
FinSpy’ın mobil sürümleri ise, aramaları (sesli veya VoIP) dinleyebiliyor ve kaydedebiliyor, kısa mesajları okuyabiliyor ve WhatsApp, WeChat, Viber, Skype, Line, Telegram, Signal ve Threema gibi anlık mesajlaşma uygulamalarındaki kullanıcı etkinliğini izleyebiliyor. Mobil casus yazılım ayrıca kullanıcılarına, kurbanın rehberini, arama kayıtlarını, takvim etkinlikleri, coğrafi konum verilerini ve çok daha fazlasını gönderiyor.
FinSpy’dan nasıl kaçınılır?
Ne yazık ki kendinizi devletlerin kullandığı seviyedeki casus yazılımlardan tam anlamıyla korumak o kadar kolay değil. Ancak FinSpy ve diğer gözetleme uygulamalarına karşı aşağıda yer verilen bazı önlemleri alabilirsiniz:
- İster mobil, ister masaüstü veya dizüstü bilgisayar programları olsun, uygulamaları yalnızca güvenilir kaynaklardan indirin. Ayrıca Android kullanıcıları, yazılımın bulaşma şansını azaltmak için bilinmeyen kaynaklardan uygulama yüklenmesini yasaklamalıdır,
- E-postalardaki ve yabancılardan gelen mesajlardaki bağlantılara tıklamadan önce durun ve düşünün. Tıklamanız gerekiyorsa, önce bağlantının nereye gittiğini dikkatlice kontrol edin,
- Akıllı telefonunuza veya tabletinize jailbreak yapmayın; Android’de rooting, iOS’ta ise jailbreak yapılması, izinsiz girişleri çok daha kolay hale getirir,
- Yabancıların erişebildiği yerlerde cihazlarınızı gözetimsiz bırakmayın,
- Tüm cihazlarınıza güvenilir bir koruma yükleyin.
İpuçları