Birleşik Arap Emirlikleri’nde (BAE) iş hedeflerine yönelik rootkit’ler kullanılarak yapılan saldırı girişimlerinin tespit edilmesi, 2022’nin aynı dönemine kıyasla bu yıl şimdiye kadar 2,6 kat daha fazla bu tür saldırılarla 2023’te önemli ölçüde arttı.
Buna göre Kaspersky tarafından yapılan araştırma2023’ün ilk beş ayında rootkit tespitlerinin sayısı %167 arttı. Orta Doğu bölgesinin genelinde tespitlerdeki artış %103 olarak ölçüldü.
Kaspersky Global Araştırma ve Analiz Ekibinde güvenlik araştırmacısı olan Abdessabour Arous, bazı ulus devlet gruplarının faaliyetlerinde rootkit’lerden yararlanmaya başladığını ve rootkit herhangi bir donanım veya yazılım platformuna yüklenebildiği için diğer grupların da onu takip ettiğini söyledi.
Önceki Yıllara Göre Daha Fazla Etkinlik mi?
BeyondTrust’un baş güvenlik araştırmacısı James Maude, rootkit etkinliğinin genellikle son yıllarda fidye yazılımı tehditlerinin gelgit dalgası tarafından bastırıldığını söylüyor. “Bazı örnekler görmeye devam etsek de, vahşi doğada daha az yaygın hale geldiler ve daha niş siber suç grupları veya casusluk faaliyetleri yürüten ulus devletler tarafından kullanılma eğilimindeler” diyor.
Ama aynı baskıyı almasalar bile, sessizce bir makineye girmeye alışkın oldukları için popülerliğini korudular. Trellix BAE genel müdürü Vibin Shaju, “Bir rootkit’in çok küçük bir yüke sahip bir makinede kalmanın çok güzel bir yolu olduğunu ve belki de aylarca ve aylarca bu şekilde kaldığını söyleyebilirim.”
Shaju ayrıca, bir saldırgan bir rootkit ile giriş elde ettiğinde, tüm haklara sahip olduğunu ve kalıcılığı korurken, bir fidye yazılımı saldırısı başlatmak, bir tuş vuruşu izleyicisini indirmek veya belki de sadece makinede oturup ne kadar uzun süre bilgi toplamak da dahil olmak üzere dilediklerini yapabileceklerini belirtiyor. “Yani, her şey üssü almak ve onu yerine oturtmakla ilgili ve bir rootkit saklanmak için mükemmel bir yol” diyor.
Saldırganların Araç Koleksiyonu mu?
Gibi tanımlanır sık sık görünen sanki tek bir yazılımmış gibi, rootkit’ler gerçekte bilgisayar korsanlarının hedef cihaz üzerinde yönetici seviyesinde kontrole izin veren bir araçlar koleksiyonundan oluşur. Rootkit’lerin geçmişte hedefli saldırılarda kullanıldığı biliniyordu ve eylemlerini daha iyi gizleme yetenekleri her zaman geliştirme aşamasındadır.
Maude, işletim sistemi güvenlik mimarileri hipervizör ve donanım düzeyinde izolasyon içerecek şekilde geliştikçe rootkit oluşturmanın ve kurmanın genel olarak zorlaştığını söylüyor, “saldırganların yararlanabileceği bazı boşluklar ve yaygın hatalar var: en yaygın olarak, kullanıcılara yerel yönetici ayrıcalıkları vermek ve sistemlere yama uygulamamak, bir saldırgana erişimlerini yükseltme ve rootkit’ler yükleme yolu sağlar, bu da daha sonra tam sistem uzlaşmasına neden olabilir.”
