Microsoft, Europol ve uluslararası ortakları, siber suç hizmetleri ve fidye yazılımları çetelerini hedef alan Operation Endgame kapsamında Amadey ve StealC kötü amaçlı yazılımlarını kullanan altyapıları etkisiz hale getirdi. Bu operasyon, siber suçluların faaliyetlerini zorlaştırarak genel siber güvenliği artırmayı amaçlıyor.

Saldırı Nasıl Çalışıyor?

Amadey ve StealC, siber suçlular tarafından kullanılan kötü amaçlı yazılımlar olup, “malware-as-a-service” modelinde sunulmaktadır. Bu modelde, kullanıcılar kötü amaçlı yazılım yapıcıları, yönetim panelleri ve altyapı erişimi için ödeme yapmaktadır. Amadey, mağdurların cihazlarında ilk giriş noktası oluşturmak için kullanılırken, StealC kimlik bilgilerini, kripto para cüzdanlarını ve diğer hassas bilgileri çalmaktadır.

• Amadey: Ransomware çeteleri ve devlet destekli hacker grupları tarafından kullanılan bir botnet.
• StealC: Kimlik bilgilerini çalmak için kullanılan bir araçtır; çalınan bilgiler sou underground pazarlarında satılmaktadır.

Etkilenen Sistemler

Operation Endgame, Kanada, Danimarka, Almanya, Hollanda, Birleşik Krallık ve ABD’den gelen yasaları uygulayıcı kuruluşları bir araya getirerek gerçekleştirilmiştir. Operasyon sırasında:

• 326 sunucu ve 142 alan adı etkisiz hale getirildi.
• €41 milyon değerinde kripto para ele geçirildi.
• 385,000’den fazla sistemden çalınan yaklaşık 27 milyon kimlik bilgisi geri kazanıldı.

Çözüm ve Korunma

Bu tür kötü amaçlı yazılımlardan korunmak için aşağıdaki önlemleri almanız önemlidir:

• Yazılımlarınızı güncel tutun ve en son güvenlik yamalarını uygulayın.
• Bilgisayar sistemlerinizi düzenli olarak tarayın ve potansiyel tehditleri tespit etmek için güvenlik yazılımları kullanın.
• Şüpheli e-postalardan ve sahte güncelleme taleplerinden kaçının.
• Ağınızdaki portları gereksiz yere açık bırakmamaya özen gösterin.

Aksiyon

Okuyucuların, yazılımlarını güncellemeleri ve siber güvenlik önlemlerini artırmaları önemlidir. Ayrıca, şüpheli aktiviteleri izleyerek önleyici tedbirler almak, potansiyel saldırıları erkenden tespit etmede kritik bir rol oynamaktadır.

Google, Android işletim sistemine yönelik yeni bir özellik olan Intrusion Logging‘i tanıttı. Bu özellik, gelişmiş casus yazılım saldırılarını daha iyi analiz etmek için adli kayıtlar saklamaya olanak tanıyor ve kullanıcı güvenliğini artırmayı hedefliyor.

Saldırı Nasıl Çalışıyor?

Intrusion Logging, Advanced Protection Mode kapsamında sunulmakta ve şüpheli bir durum söz konusu olduğunda cihazların incelenmesine olanak tanıyan kalıcı ve gizliliği koruyan adli kayıt tutma işlevi sunuyor. Google, bu özelliği geliştirmek için Amnesty International ve Reporters Without Borders ile iş birliği yaptı. Aşağıda, günlük kaydına alınan etkinlik türleri listelenmiştir:

• Uygulama etkinliği (örneğin, bir uygulama sürecinin ne zaman başladığı)
• Uygulama yüklemeleri, güncellemeleri ve kaldırmaları
• Wi-Fi, Bluetooth, DNS sorguları ve IP adresleri gibi ağ bağlantıları
• USB üzerinden cihaza dosya transferleri
• Sistem sertifikalarında yapılan değişiklikler
• Cihazın kilitlendiği veya kilidin açıldığı zamanlar

Etkilenen Sistemler

Google, günlük verilerinin cihazdan uçtan uca şifrelenmiş olarak saklandığını ve yalnızca cihaz sahibi tarafından erişilebileceğini ifade etti. Bu verilerin güvenliği, Google hesabının şifresi ve ekran kilidi ile korunuyor. Bu sayede kötü amaçlı yazılımlar bile bu kayıtlara erişemiyor, silip, değiştiremiyor.

Çözüm ve Korunma

Intrusion Logging özelliği, 12 aylık bir süre boyunca saklanıyor ve bu sürenin ardından otomatik olarak siliniyor. Kullanıcılar, kayıtları indirdikten sonra kendi güvenliklerinden sorumlu hale geliyorlar. Özelliği etkinleştiren kullanıcılar için bazı önemli noktalar:

– Kayıtlar, Chrome’un gizli tarayıcı modunda bile DNS sorguları ve IP bağlantıları gibi ağ olayı verilerini kaydediyor.
– Kayıtlar indirildiğinde, kötü niyetli birinin erişebileceği bilgiler ortaya çıkıyor.

Kullanıcılar, günlük kayıtlarına Ayarlar uygulaması üzerinden ulaşabilir; Güvenlik ve gizlilik kısmına giderek Advanced Protection altındaki Intrusion Logging bölümünden erişim sağlayabilirler. Bu özellik, Android 16 Aralık güncellemesi ve sonrasında olan tüm cihazlara hizmet vermektedir.

Sonuç

Kullanıcıların, Android cihazlarında bu özelliği etkinleştirerek potansiyel casus yazılım saldırılarına karşı daha sağlam bir koruma sağlamaları önerilmektedir. Ayrıca, cihazlarını güncel tutmaları ve gereksiz bağlantıları kapatmaları önemlidir. Unutulmamalıdır ki, şifrelenmiş günlük kayıtları kullanıcılara, yüksek risk altındaki bireylerin izlenmesine ve detaylı güvenlik analizine yardımcı olma imkanı sunmaktadır.

Yazılım beyni, günümüz dünyasını şekillendiren bir düşünce tarzı. Bu konsept, dünyayı algoritmalar, veritabanları ve döngüler üzerinden yorumlayarak anlamlandırmayı amaçlıyor. 2011 yılında Marc Andreessen’in “Yazılım dünyayı yiyor” başlıklı makalesi, bu yaklaşımın tanıtıcısı oldu. Ancak, yapay zeka bu düşünce tarzını daha da güçlendirdi ve teknoloji ile genel halk arasındaki heyecan farkını ortaya çıkardı.

Bireylerin yapay zekaya yönelik tepkileri alarm verici. Anketler, birçok insanın AI’dan nefret ettiğini gösteriyor. Özellikle Z kuşağı, yapay zekayı kullanarak daha fazla olumsuz duyguya sahip. Örneğin, NBC News’un bir anketi, AI’nın ICE dahil pek çok konudan daha kötü bir popülerliğe sahip olduğunu ortaya koydu. Quinnipiac anketine göre, ABD’lilerin yarısından fazlası AI’nın daha fazla zarar vereceğini düşünüyor.

Gen Z’nin yapay zekaya olan olumsuz hislerinin yanı sıra, teknoloji yöneticileri bunun farkında. Microsoft CEO’su Satya Nadella, enerji tüketimi izni kazanmanın önemine dikkat çekiyor. Veritabanları ve AI üzerine yapılan yatırımlar toplum tarafından kabul edilmeli.

Politik ortam, AI ve veri merkezlerinin karşılaştığı zorluklarla dolu. Veri merkezi destekleyen politikacılar görevden alınıyor; şiddet olayları bile yaşanıyor. OpenAI CEO’su Sam Altman’ın evi mesesiz çarparak saldırıya uğradı. Bu, toplumsal gerilimlerin ve AI’nin getirdiği kaygıların bir yansıması.

Yazılımın Sınırları

Yazılım beyni, sadece veriye dayalı bir dünya görüşüne sahip olmayı gerektiriyorken, gerçek dünya insanların ve onların karmaşık yaşamlarıyla doludur. Elon Musk ve DOGE örneği, veritabanlarına dayanarak gerçekliği kontrol etmenin zorluklarını gözler önüne seriyor. Veritabanları gerçekliği her zaman yansıtmaz; bu durumda veritabanlarını değiştirmek gerekebiliyor.

AI endüstrisi büyümeye devam ederken, hukuk sisteminin yerine yazılım beyni yaklaşımını getirmeye çalışmak, birçok sorunu beraberinde getiriyor. Hukuk, her zaman belirli bir belirsizlik barındırır ve bu belirsizlik, avukatları önemli kılar. Sistemin yargı mekanizmasının belirli bir öngörülebilirliği olduğu izlenimi yanıltıcıdır.

Sonuçta Ne Olacak?

Yapay zeka, hukukun yapılma biçimini değiştirme potansiyeline sahipken, insanların hayatlarını daha karmaşık hale getiriliyor. Bu süreçte, teknoloji şirketleri AI’yi benimsemeye teşvik ediyor fakat halkın katılımı sağlanmadan bu geçiş zor. Regular insanların hayatları ise sürekli izlenim altında kalma korkusu ile dolu.

Teknoloji bilişim sektöründe ilerleme, öngörülenin tam tersine, insanları daha az insani bir hale getirebilir. Sizce AI, hayatlarımızdaki bu dengeyi nasıl etkileyebilir?

Dijital olarak imzalanmış bir adware aracı, sistem ayrıcalıklarıyla çalışan payload’lar dağıtarak, eğitim, kamu, sağlık ve enerji sektörlerindeki binlerce uç noktada antivirüs korumalarını devre dışı bıraktı. Araştırmacılar, tek bir günde, 124 ülkede 23,500’den fazla enfekte olmuş sistemin saldırganın altyapısına bağlanmaya çalıştığını gözlemledi.

Yalnızca Adware Değil

Yönetilen güvenlik firması Huntress, 22 Mart’ta, potansiyel olarak istenmeyen programlar (PUP) olarak görülen imzalı yürütülebilir dosyaların, birden fazla yönetilen ortamda uyarı tetiklediğini keşfetti. PUP’lar, geliştiriciye reklamlara olan yönlendirmelerle gelir sağlamak için tasarlanmış araçlardır.

Huntress araştırmacıları, yazılımın “arama gelir modeli” faaliyetleriyle uğraşan Dragon Boss Solutions LLC adlı bir şirket tarafından imzalandığını bildirdi. Bu şirket, bir dizi tarayıcı olarak etiketlenen ancak birden fazla güvenlik çözümü tarafından PUP olarak tespit edilen araçlar tanıtmaktadır (örn. Chromstera Browser, Chromnius, WorldWideWeb, Web Genius, Artificius Browser).

Huntress araştırmacıları, Dragon Boss Solutions’un tarayıcılarının kullanıcıları sadece reklamlar ve yönlendirmelerle rahatsız etmekle kalmayıp, aynı zamanda antivirüs öldürücü bir işlevselliğe sahip gelişmiş bir güncelleme mekanizmasına sahip olduğunu belirtti.

Güvenliği Devre Dışı Bırakma

Huntress araştırmacıları, bu saldırının, ticari Advanced Installer yayınlama aracından güncellemeler aracılığıyla MSI ve PowerShell payload’ları dağıtarak gerçekleştirildiğini keşfetti. Güncelleme sürecinin yapılandırma dosyasını analiz etmek, işlemin tamamen sessiz olmasını sağlayan ve kullanıcı etkileşimini engelleyen bazı bayraklar keşfetti.

Güncelleme süreci, şu anda VirusTotal’da beş güvenlik satıcısı tarafından kötü amaçlı olarak işaretlenen Setup.msi adıyla maskelenmiş bir MSI yüklemesi alır. Bu MSI yüklemesi, PowerShell betikleri çalıştırmak veya belirli yazılımları aramak gibi belirli görevler için Advanced Installer tarafından kullanılan çeşitli meşru DLL’leri içerir.

Huntress, ana yükleme yüklemesini dağıtmadan önce MSI yükleyicisinin, yönetici durumunu kontrol ettiğini, sanal makineleri tespit ettiğini, internet bağlantısını doğruladığını ve kayıt defterini Malwarebytes, Kaspersky, McAfee ve ESET gibi antivirüs (AV) ürünlerinin kurulu olup olmadığını sorguladığını belirtti.

Güvenlik ürünleri, ClockRemoval.ps1 adlı PowerShell betiği aracılığıyla devre dışı bırakılır. Bu betik iki konuma yerleştirilir ve sistem açıldığında, oturum açıldığında ve her 30 dakikada bir güvenlik ürünlerinin sistemden kaldırılmasını sağlamak için bir rutin yürütür. Bu süreç, servisleri durdurmak, işlemleri sonlandırmak, kurulum dizinlerini silmek, iyice çalışmayan yükleyicileri sessiz bir şekilde çalıştırmak ve dosyaları zorla silmek de dahil olmak üzere çeşitli adımları içerir.

Bu süreç, güvenlik ürünlerinin yeniden yüklenmesini veya güncellenmesini engellemek amacıyla, satıcıların alanlarını engelleyerek hosts dosyasını değiştirir. Analiz sırasında, Huntress, operatörün ana güncelleme alanını (chromsterabrowser[.]com) veya kampanyada kullanılan yedek alanı (worldwidewebframework3[.]com) kaydetmediğini belirtti ve bu durum hastalıklı sistemlerden gelen tüm bağlantıları çökertebilmek için bir fırsat sundu.

Bu nedenle, ana güncelleme alanını kaydettikleri sırada “on binlerce ele geçirilen uç noktanın” talimatlar aramak üzere ilişki kurduğunu gözlemlediler. Araştırmacılar, yüksek değerli ağlarda enfekte olmuş 324 sistemi tespit etti:

• 221 akademik kurum, Kuzey Amerika, Avrupa ve Asya’da
• 41 Operasyonel Teknoloji ağı, enerji ve ulaşım sektörlerinde, kritik altyapı sağlayıcılarında
• 35 belediyeler, eyalet ajansları ve kamu hizmetleri
• 24 ilkokul ve ortaokul
• 3 sağlık kuruluşu (hastane sistemleri ve sağlık hizmeti sağlayıcıları)
• Birçok Fortune 500 şirketinin ağları

Huntress, kötü amaçlı aracın şu anda bir AV öldürücü kullandığını, ancak enfekte sistemlere çok daha tehlikeli yüklerin sokulabilmesi mekanizmasının mevcut olduğunu ve bu durumun saldırıları artırmak için herhangi bir zamanda kullanılabileceğini belirtiyor. Ayrıca, ana güncelleme alanı kaydedilmediğinden, herhangi bir kişi bunu talep edebilir ve daha önce enfekte olmuş cihazlara rastgele yükler gönderebilir.

Huntress, sistem yöneticilerinin “MbRemoval” veya “MbSetup” içeren WMI olay aboneliklerini, “WMILoad” veya “ClockRemoval” ile referans alan planlanan görevleri, ve Dragon Boss Solutions LLC tarafından imzalanan süreçleri aramaları gerektiğini öneriyor. Ayrıca, hosts dosyasını AV satıcı alanlarını engelleyen girişler için gözden geçirin ve Microsoft Defender hariçleri için “DGoogle,” “EMicrosoft,” veya “DDapps” gibi şüpheli yolları kontrol edin.