Shadowpad bugune kadar bilinen en buyuk tedarik zinciri saldırılarından biri olarak karşımıza cıkıyor. Eğer bu kadar hızlı bir şekilde fark edilip gerekli yama yapılmasaydı, potansiyel olarak dunya capında yuzlerce kuruluşu hedef alabilirdi.

Her şey Kaspersky Lab’ın Kuresel Araştırma ve Analiz Ekibi’nin (GReAT) 2017 Temmuz ayında iş ortaklarından biri olan bir finans kuruluşundan bir haber almasıyla başladı. Kuruluşun guvenlik uzmanları, finansal işlemlerin işlenmesinde kullanılan bir sunucudan gelen bazı şupheli DNS (alan adı sunucusu) talepleri konusunda endişeleniyordu. Yapılan incelemeler sonucunda, soz konusu taleplerin kaynağının guvenilir bir şirket tarafından uretilmiş olan ve finansal hizmetler, eğitim, telekomunikasyon, uretim, enerji ve taşımacılık gibi sektorlerde faaliyet gosteren yuzlerce şirket tarafından kullanılan bir sunucu yonetimi yazılımı olduğu anlaşıldı. En endişe verici olan bulgu ise, yazılımın sağlayıcısı olan şirketin, yazılımı bu tur talepler gondermek uzere tasarlamamış olmasıydı.

Kaspersky Lab’ın yaptığı incelemelerin devamında, şupheli taleplerin aslında soz konusu yazılımın guncel bir surumunun icerisine gizlenmiş olan zararlı bir modulun faaliyetlerinden kaynaklandığı anlaşıldı. Zararlı modul, enfekte olmuş bir yazılım guncellemesinin yuklenmesini takiben, belirli bir takım alan adlarına (kendi komuta ve kontrol sunucusuna) sekiz saatte bir DNS talepleri gondermeye başlıyordu. Talepler, kurbanın sistemi hakkında temel bilgiler iceriyordu. Saldırganların soz konusu sistemi kayda değer bulması durumunda, komuta sunucusu yanıt verip, saldırılan bilgisayara kendisini sessizce konuşlandıran tam teşekkullu bir arka kapı platformunu faaliyete geciriyordu. Ardından, saldırganların talebi uzerine, arka kapı daha fazla zararlı kodu sisteme indirip yurutmeye hazır oluyordu.


Yapılan keşfin ardından Kaspersky Lab araştırmacıları NetSarang’ı uyararak, yazılım icin hızlı bir şekilde bir guncelleme yayınlamasını sağladı.

Zararlı modulun şimdiye kadar bazı Hong Kong’da faaliyete gectiği goruldu, fakat Kaspersky Lab araştırmacılarına gore dunya capında bircok sistemde, ozellikle de en son guncellemenin yuklenmemiş olduğu durumlarda pasif bir şekilde bekliyor olabilir.

Saldırganlar tarafından kullanılan aracları, teknikleri ve prosedurleri inceleyen Kaspersky Lab uzmanları, Winnti APT adlı Cince konuşan siber casusluk grubunun kullandığı PlugX zararlı yazılımının varyantlarına işaret eden bazı benzerlikler ortaya cıkardı. Bu bilgi, her şeye rağmen, olanları bu grup ile ilişkilendirmek icin yeterli gorulmuyor.

Tum Kaspersky Lab urunleri ShadowPad’i “Backdoor.Win32.ShadowPad.a” adıyla tespit ediyor ve koruma sağlıyor.

Kaspersky Lab, kullanıcılarına bir an once NetSarang yazılımının zararlı modulu icermeyen en guncel surumunu kullanmalarını ve sistemlerinde sıradışı alan adlarına gonderilen DNS talepleri olup olmadığına bakmalarını oneriyor.

http://www.teknolojioku.com/haber/sa...edi-42550.html
__________________