Windows işletim sisteminin bir çok versiyonları hedefte
NSA’nın seçkin hack ekibine ait yeni gizli gözetleme ve saldırı araçlarından oluşan hazine, Shadow Brokers isimli hack grubu tarafından yayınlandı.
Grup Cuma günü Windows PC’leri ve sunucuları hedef almak üzere tasarlanan araçları yayımladı. Araçlarla birlikte NSA’nın gizli gözetleme yapmak için kullandığı metodları detaylandıran açıklamalar ve gösterimler de yer alıyor.
Birkaç belgeye göre NSA SWIFT bankacılık sistemi de dahil olmak üzere bazı bankaları hedef alan Windows hack araçları kullanmış.
Yayımlanan Windows saldırı araçları hack grubunun konu ile ilgili olarak geçen yıl yapmış olduğu çıkıştan bu yana bekleniyordu. Bu araçlar tartışmalı biçimde bir çok kişi ve kurumu etkileyebilecek özellikte olmakla birlikte, istihbarat birimine karşı en büyük zararı ve hoşnutsuzluğu da verebilecek mahiyette.
Konu hakkında bilgi sahibi olmayanlar için kısaca bir açıklama yapmak gerekirse; NSA’nın ‘Equation Group’ olarak adlandırılan ekibine ait olduğu teyid edilmiş olan hackleme araçları geçen yıl, Edward Snowden’ın yapmış olduğu ifşaatlardan sonraki en büyük saldırıda çalınmışlardı. Bu araçlar NSA analistlerinin bir dizi sisteme, ağ ekipmanına ve firewall’lara girişini mümkün kılıyor. Ve aynı zamanda Linux işletim sistemini hedef alan en yeni araçlar da bu saldırıda ele geçirilenler arasında. Bunların bir çoğu eski ve kullanımda olmayan araçlardı. Hacker grubu ilk aşamada bu dosyaları satmaya çalıştı fakat başarılı olamayınca çaldıkları dosyaları aşamalı olarak parçalar halinde yayımlamaya başladı.
Araştırmacılar şimdi dosyalar üzerinde dikkatli çalışmalar yapıyorlar.
Gördüğümüz dosyalardan bazıları ‘Top Secret’ olarak sınıflandırılmış. Bunlardan biri minimum dokuz uluslararası bankanın sunucularından veri toplayan ‘Jeepflea Programı’.
Aşağıdaki belge, sistemin gerisindeki alt yapıyı gösteriyor. Aynı zamanda NSA’in bazı ağlara VPN ve firewall sistemlerini delerek derin erişim sağladığını gösteren başka bir belge de var.
Her ne kadar yayınlanan araçların geneli eski Windows versiyonlarını hedef alıyor olsa da (Windows XP ve Windows Server 2003’e kadar geriye giden araçlar) Windows 7 ve Windows 8 gibi hala desteklenen bir çok versiyon da listede yer alıyor.
Araçlar arasında ilgi çekenlerden biri ‘ExplodingCan’ olarak adlandırılan, eski Windows web server Internet Information Services versiyonlarını hedef alan uzaktan kumanda edilebilen bir ‘backdoor’. Güvenlik araştırmacısı Kevin Beaumont bir tweet mesajında bu aracın çok iyi yapıldığını yazmış.
‘EmeraldThread’ isimli diğer bir exploit, Windows XP ve 2003 için hazırlanmış olan uzaktan kumanda edilebilir Windows SMB isimli bir zararlı yazılım.
‘OddJob implant’ olarak bilinen araç hakkında ise pek bir bilgi olmamakla birlikte, göründüğü kadarıyla Windows 2000 ve sonrasındaki tüm Windows versiyonlarına yönelik exploitler içeriyor.
Yayımlanan dosyaları analiz eden Hacker Fantastic isimli güvenlik araştırmacısına göre diğer araçlar, Windows’un tüm versiyonlarında çalışan uzaktan kumanda edilebilir exploitler.
Araştırmacı atmış olduğu bir tweet mesajında yayımlanan araçlar arasında bulunan bir çok zararlı yazılımı çalıştırmayı başardığını belirtiyor.
Bir Microsoft yetkilisi yayımlanan raporu incelemekte olduklarını ve eğer gerekirse müşterilerini korumak için gerekli adımları atacaklarını belirtirken NSA’dan konuyla ilgili herhangi bir açıklama yapılmadı.