Birleşik Arap Emirlikleri’nde (BAE) iş hedeflerine yönelik rootkit’ler kullanılarak yapılan saldırı girişimlerinin tespit edilmesi, 2022’nin aynı dönemine kıyasla bu yıl şimdiye kadar 2,6 kat daha fazla bu tür saldırılarla 2023’te önemli ölçüde arttı.
Kaspersky’nin araştırmasına göre, 2023’ün ilk beş ayında rootkit tespit sayısı %167 arttı. Genel olarak Orta Doğu bölgesinde tespitlerdeki artış %103 olarak ölçüldü.
Kaspersky Global Araştırma ve Analiz Ekibinde güvenlik araştırmacısı olan Abdessabour Arous, bazı ulus devlet gruplarının faaliyetlerinde rootkit’lerden yararlanmaya başladığını ve rootkit herhangi bir donanım veya yazılım platformuna yüklenebildiği için diğer grupların da onu takip ettiğini söyledi.
Önceki Yıllara Göre Daha Fazla Etkinlik mi?
BeyondTrust’un baş güvenlik araştırmacısı James Maude, rootkit etkinliğinin genellikle son yıllarda fidye yazılımı tehditlerinin gelgit dalgası tarafından bastırıldığını söylüyor. “Bazı örnekler görmeye devam etsek de, vahşi doğada daha az yaygın hale geldiler ve daha niş siber suç grupları veya casusluk faaliyetleri yürüten ulus devletler tarafından kullanılma eğilimindeler” diyor.
Ama aynı baskıyı almasalar bile, sessizce bir makineye girmeye alışkın oldukları için popülerliğini korudular. Trellix BAE genel müdürü Vibin Shaju, “Bir rootkit’in çok küçük bir yüke sahip bir makinede kalmanın çok güzel bir yolu olduğunu ve belki de aylarca ve aylarca bu şekilde kaldığını söyleyebilirim.”
Shaju ayrıca, bir saldırgan bir rootkit ile giriş elde ettiğinde, tüm haklara sahip olduğunu ve kalıcılığı korurken, bir fidye yazılımı saldırısı başlatmak, bir tuş vuruşu izleyicisini indirmek veya belki de sadece makinede oturup ne kadar uzun süre bilgi toplamak da dahil olmak üzere dilediklerini yapabileceklerini belirtiyor. “Yani, her şey üssü almak ve onu yerine oturtmakla ilgili ve bir rootkit saklanmak için mükemmel bir yol” diyor.
Saldırganların Araç Koleksiyonu mu?
Genellikle tek bir yazılım parçasıymış gibi görünen rootkit’ler, gerçekte bilgisayar korsanlarının hedef cihaz üzerinde yönetici düzeyinde kontrol sahibi olmasına olanak tanıyan bir dizi araçtan oluşur. Rootkit’lerin geçmişte hedefli saldırılarda kullanıldığı biliniyordu ve eylemlerini daha iyi gizleme yetenekleri her zaman geliştirme aşamasındadır.
Maude, işletim sistemi güvenlik mimarileri hipervizör ve donanım düzeyinde izolasyon içerecek şekilde geliştikçe rootkit oluşturmanın ve kurmanın genel olarak zorlaştığını söylüyor, “saldırganların yararlanabileceği bazı boşluklar ve yaygın hatalar var: en yaygın olarak, kullanıcılara yerel yönetici ayrıcalıkları vermek ve sistemlere yama uygulamamak, bir saldırgana erişimlerini yükseltme ve rootkit’ler yükleme yolu sağlar, bu da daha sonra tam sistem uzlaşmasına neden olabilir.”