Giriş
Son yıllarda siber güvenlik alanında meydana gelen gelişmeler, karanlık dünyaların sırlarını açığa çıkarmaya devam ediyor. Yeni keşfedilen “fast16” malware, siber sabotajda kullanılan ilk Lua tabanlı kötü amaçlı yazılım olarak dikkat çekiyor ve bu durum, devlet destekli siber saldırıların tarihini yeniden gözden geçirdi.
Saldırı Nasıl Çalışıyor?
“Fast16”, 2005 yılında geliştirilen bir siber sabotaj çerçevesidir. Özellikle yüksek hassasiyetli hesaplama yazılımlarını hedef alarak yanlış sonuçlar üretmeyi amaçlamaktadır. Araştırmacılar Vitaly Kamluk ve Juan Andrés Guerrero-Saade, bu zararlı yazılımın kendi kendine yayılma mekanizmaları ile desteklenen bir payload kullanarak, tesis genelinde eşit derecede hatalı hesaplamalar üretmeyi amaçladığını belirtiyor.
Etkilenen Sistemler
Fast16, özellikle aşağıdaki yazılımları hedef aldığı düşünülmektedir:
- LS-DYNA 970: Çarpışma, etki ve patlama simülasyonları için kullanılan çok amaçlı bir simülasyon yazılımıdır.
- PKPM: Yapısal mühendislik ve mimarlık süreçlerinde kullanılan bir yazılım.
- MOHID: Hidrodinamik modelleme platformu.
Bu yazılımlar, fiziksel süreç simülasyonları ve mühendislik alanında sıkça kullanılmaktadır.
Keşif Süreci
SentinelOne, “svcmgmt.exe” adlı bir artefakt keşfetti. Başlangıçta basit bir hizmet sarıcı olarak görünse de, daha detaylı incelemede içinde bir Lua 5.0 sanal makinesi ve şifrelenmiş bayt kodu içeren bir konteyner tespit edildi. Bu zararlı yazılım, fast16.sys adlı bir çekirdek sürücüsünü kullanarak, diskten okunan yürütülebilir kodu değiştirme yeteneğine sahiptir.
Yayılma Mekanizması
Bu zararlı yazılım, yalnızca manuel olarak zorlanması veya sistemde belirli güvenlik ürünlerinin bulunmaması durumunda yayılma gerçekleştirir. Belirli güvenlik araçlarını kontrol ederek yayılmasını engellemektedir, örneğin:
- Agnitum
- F-Secure
- Kaspersky
- McAfee
- Microsoft
- Symantec
- Sygate Technologies
- Trend Micro
Çözüm ve Korunma
Kullanıcıların aşağıdaki adımları takip etmeleri önerilmektedir:
- Güncellemelerinizi kontrol edin ve mevcut yazılımlarınızı en son versiyonlarına güncelleyin.
- Güvenlik duvarlarınızı ve diğer güvenlik yazılımlarınızı gözden geçirin.
- Sisteminizde gereksiz hizmet ve portları kapatın.
Sonuç
Fast16, siber sabotaj tekniklerinin gelişiminin bir göstergesi olarak önem taşımaktadır. Bu tespitler, siber güvenlik ekiplerinin mevcut tehditlere karşı daha hazırlıklı olmasını sağlamakta ve yüksek hassasiyetli yazılımların korunması gerektiğini bir kez daha vurgulamaktadır. Okuyucuların, sistemlerini ve yazılımlarını sürekli güncellemeleri ve güvenlik önlemlerini artırmaları şiddetle tavsiye edilmektedir.
