TR-14-002 (Uroburos Zararlı Yazılım Duyurusu)

Ulusal Siber Olaylara Müdahale Merkezi (USOM) olarak siber uzayımızı tehdit eden organize siber saldırıları hem kurumsal olarak takip etmekte hem de ülkemiz kamu kurumlarında aktif olarak görev yapan Kurumsal Siber Olaylara Müdahale Ekipleri (SOME) tarafından merkezimize iletilen ihbarları inceleyerek siber paydaşlarımızla paylaşmaktayız.

Bu çerçevede “Uroburos isimli zararlı yazılımın çeşitli kurumları etkilediği” ihbarı alınmıştır. Söz konusu siber saldırılara karşı kamu kurumlarının ve ülke genelindeki sistemlerin korunmasına yönelik güvenlik tedbirlerinin alınabilmesi için teyakkuzda olunması ve bununla birlikte siber saldırılara yönelik olarak elde edilen bilgilerin Ulusal Siber Olaylara Müdahale Merkezi (USOM) ile paylaşılması önem arz etmektedir. 

Uroburos Nedir?

Uroburos, Windows işletim sistemiyle çalışan bilgisayarlara saldıran son derece gelişmiş bir rootkit olup, Alman bilgisayar güvenlik firması G Data’ya göre Rus hükümetine ait siber casusluk programının bir parçasıdır.

Yapılan analizlere göre çok karmaşık ve gelişmiş bir malware olduğu tespit edilen Uroburos, gizli bilgileri çalmak için tasarlanmıştır.

Uroburos, bir sürücü (.sys dosyası) ve şifrelenmiş sanal dosya sistemi (.dat dosyası) olarak 2 dosyadan oluşan, bulaştığı makinenin kontrolünü ele geçiren, isteğe bağlı komutları çalıştırabilen ve sistem hareketlerini gizleyebilen bir rootkittir. Özellikle dosya çalma özelliği bulunan bu rootkitin ağ trafiğini de kaydetme özelliği mevcuttur. Modüler yapısı sayesinde rootkiti çok daha esnek ve tehlikeli hale getirecek yeni özellikler eklenebilmektedir.

Uroburos, iki veya daha fazla istemci arasında veri paylaşmak için kullanılan bir ağ protokolü olan peer-to-peer modda çalışmak üzere tasarlanmıştır. Bu da rootkitin bulaştığı ve birbirleriyle iletişimde olan makinelerin, yazılımı kullanan kişiler tarafından uzaktan kontrol edebileceği anlamına gelmektedir. İnternete bağlı olan bir makineye bulaştıktan sonra, ağ içerisinde internet bağlantısı olmayan diğer makinelere de bulaşabilmektedir. Bulaştığı her makine üzerinde casusluk yapabilen bu yazılım, bütün bilgileri internete bağlı olan makine üzerinden saldırı yapan kişilere iletebilmektedir.

Uroburos 32 ve 64 bit Windows işletim sistemini desteklemekte ve kodun karmaşıklığına ve gelişmişliğine bakıldığında hedeflerin hükümetler, araştırma birimleri ve büyük şirketler olduğu tahmin edilmektedir.

Kamuoyuna Saygıyla Duyurulur!...

2014-08-13