Kaspersky Lab Global Araştırma ve Analiz Ekibi, OlympicDestroyer adlı zararlı yazılım hakkında yaptığı çalışmaların sonuçlarını yayınladı. Hazırlanan raporda, tehdit avcılarının saldırının gerçek kaynağını bulmasını engellemek amacıyla geliştiriciler tarafından solucanın içine bir aldatmaca yerleştirildiği teknik olarak kanıtlandı.
OlympicDestroyer adlı yazılım, Kış Olimpiyat Oyunları süresince adından söz ettirdi. Pyeongchang Olimpiyatları, resmi açılış gösterisinden hemen önce BT sistemlerini geçici olarak felç eden bir siber saldırıyla karşı karşıya kaldı. Saldırı sonucunda bazı monitörler kapandı, Wi-Fi bağlantısı kesildi ve Olimpiyatlara ait resmi sitenin çökmesiyle ziyaretçiler bilet alamaz hale geldi. Kaspersky Lab ayrıca, Güney Kore’de birçok kayak merkezinin de bu solucandan etkilendiğini belirledi. Solucan, tesislerdeki kayak geçitlerini ve telesiyejleri durdurdu. Saldırının gerçek etkisi sınırlı olsa da aslında çok daha fazla zarar verebilme potansiyeli olduğu açıktı. Neyse ki bu şekilde bir olay yaşanmadı.
Buna rağmen, siber güvenlik endüstrisinin asıl ilgilendiği konu saldırıların potansiyeli veya verdiği zarar değil zararlı yazılımın kaynağıydı. Daha önce hiçbir gelişmiş zararlı yazılımın kaynağı hakkında OlympicDestroyer’da olduğu kadar farklı hipotezler ortaya konmamış olabilir. Keşfedilmesinin ardından birkaç gün içinde, tüm dünyadan araştırmacılar bu zararlı yazılımın Rusya, Çin ve Kuzey Kore kaynaklı olduğunu iddia etti. Bu iddiaların temelinde, yazılımdaki bazı özelliklerin bu ülkelerdeki veya bu ülkelerin hükümetleri için çalışan siber istihbarat ve sabotaj ajanları tarafından kullanıldığı iddia edilen özellikler olması yatıyordu.
Kaspersky Lab araştırmacıları da bu zararlı yazılımın ardındaki grubu bulmaya çalışıyordu. Araştırmanın bir noktasında zararlı yazılımı, Kuzey Kore ile bağlantılı devlet destekli bir grup olan Lazarus’a %100 ilişkilendiren bir kanıta rastlandı.
Bu sonuca saldırganlar tarafından bırakılan benzersiz izlerle ulaşıldı. Dosyalarda saklanan belirli kod geliştirme ortamı özellikleri ‘parmak izi’ olarak değerlendirilebiliyor. Bazı durumlarda bu izler zararlı yazılımı kimlerin geliştirdiğini ve projelerini ortaya çıkarıyor. Kaspersky Lab’in incelediği örnekte bu parmak izi, Lazarus’un daha önceden bilinen zararlı bileşenleriyle %100 eşleşiyordu ve Kaspersky Lab’in bugüne kadar bildiği hiçbir dosya ile ortak yönü yoktu. Taktikler, yöntemler ve prosedürlerdeki (TTP) diğer benzerlikler de göz önüne alındığında, araştırmacılar OlympicDestroyer’ın yeni bir Lazarus operasyonu olduğu kanısına vardı. Ancak, Kaspersky Lab’in Güney Kore’de saldırıya uğrayan bir tesiste yaptığı incelemede Lazarus’un taktik, yöntem ve prosedürleriyle uyumsuzluklar fark edildi. Bunun üzerine araştırmacılar ellerindeki örneği yeniden incelemeye başladı.
Elde edilen kanıtları ve her bir özelliği dikkatlice bir daha gözden geçiren araştırmacılar, özelliklerin kodla uyumsuz olduğunu anladı. Kodların Lazarus’un parmak izine mükemmel bir şekilde uyacak şekilde düzenlendiği keşfedildi.
Sonuç olarak, araştırmacılar ‘parmak izinin’ aslında çok gelişmiş bir aldatmaca olduğunu ve tehdit avcılarını tartışmasız bir kanıt bulduklarına inandırarak kendi izlerini kaybettirmek için özellikle yerleştirildiği anlaşıldı.
“Bildiğimiz kadarıyla, bulabildiğimiz kanıtlar daha önce herhangi bir kaynağa atıf için kullanılmamış. Ancak yine de saldırganlar, birilerinin bulacağını düşünerek bunu kullanmaya karar vermiş. Sahte kanıtların ortaya çıkarılmasının çok zor olmasına güvendikleri görülüyor. Bu olay, bir suçlunun başkasının DNA’sını çalıp suç mahalline bırakmasına benziyor. Suç mahallinde bulunan DNA’nın oraya özellikle bırakıldığını keşfedip kanıtladık. Tüm bunlar saldırganların olabildiğince uzun süre gizli kalabilmek için ne kadar çok çaba sarf edebileceğinin birer göstergesi. Siber dünyada kaynak belirlemenin zor olduğunu her zaman söylüyoruz. Birçok şeyin sahtesi yapılabilir. OlympicDestroyer da bunun çok güzel bir örneği.” diyen Kaspersky Lab Asya Pasifik Bölgesi Araştırma Ekibi Lideri Vitaly Kamluk, sözlerini şöyle sürdürdü:
“Bu hikayeden çıkarılacak bir diğer ders ise saldırıların kaynağını belirleme işinin çok ciddiye alınması gerektiği. Siber dünyanın son dönemde ne kadar politik hale geldiği düşünüldüğünde, yapılacak yanlış bir atıf bile çok ciddi sonuçlara yol açabilir ve kötü niyetli kişiler jeopolitik gündemi etkilemek için güvenlik topluluğunun düşüncelerini kendi çıkarlarına göre yönlendirebilir.”
Çok gelişmiş aldatmacaların yer aldığı OlympicDestroyer’ın asıl kaynağı ise halen gizemini koruyor. Ancak, Kaspersky Lab araştırmacıları saldırganların NordVPN adlı gizlilik koruma hizmetini ve MonoVM adlı hosting sağlayıcıyı kullandığını tespit etti. Her iki hizmet de ödemelerde Bitcoin kabul ediyor. Bunların yanı sıra keşfedilen diğer bazı taktik, yöntem ve prosedürlerin daha önceden Sofacy adlı Rusça konuşan bir grup tarafından da kullanıldığı biliniyor.
Kaynak : 