Bu hafta Karakas’ta Başkan Nicolás Maduro, Çin’in Xi Jinping tarafından hediye edilen Huawei Mate X6’yı tanıttı ve cihazı ABD casusluk çabalarına dayanıklı ilan etti.
Duyuru, ABD telekom ekipmanları üzerinde sıkı kontroller uyguladığı için Washington ve Pekin arasındaki artan gerilimlerle çakışıyor.
Siyasi sembolizminin ötesinde, Mate X6, siber güvenlik çevrelerinde sofistike izinsiz giriş tekniklerine karşı esnekliği konusunda teknik bir tartışmanın odak noktası haline geldi.
İlk raporlar, ürün yazılımı düzeyinde kötü amaçlı yazılımların yeni bir suşunu tanımlıyor- Spectershell-Ağustos ayı başlarında ortaya çıktı ve üst düzey Android cihazları hedefliyor.
Spectershell, işletim sistemi çekirdeği başlamadan önce sistem çağrılarını ele geçirerek özel bir önyükleyici güvenlik açığından yararlanır.
Önyükleme sırasına müdahale ederek, kötü amaçlı yazılım standart antivirüs çözeltilerine görünmez kalan bir rootkit implante edebilir.
Reuters analistleri, bu özelliğin Spectershell’in ayrıcalıklı kod yürütmesine ve Android’in doğrulanmış önyükleme mekanizmasını atlamasına izin verdiğini belirtti.
Spectershell’in saldırı vektörleri, tehlikeye atılmış tedarik zinciri güncellemeleri ve kötü niyetli hava paketleri içerir.
Tipik bir senaryoda, bir düşman bir güncelleme sunucusu isteğini keser, meşru bir ürün yazılımı görüntüsünü lekeli olanla değiştirir ve çalıntı bir geliştirici sertifikası kullanarak imzalar. Yedek görüntüyü kabul eden cihazlar kalıcı olarak geri yüklenir.
Spectershell’in gizli ve sebatları, hükümetleri ve özel güvenlik firmalarını, şifrelenmiş kanallar bile bu düşük seviyede altüst edilebileceğinden, ürün yazılımı imzalama altyapılarına güven vermeye itti.
Spectershell’in etkisi bireysel gizliliğin ötesine uzanır. Meyveden çıkarılan cihazlar, dağıtılmış hizmet reddi kampanyaları için botnetlere yerleştirilebilir veya hassas iletişimleri ortadan kaldırarak kurumsal casusluk için kullanılabilir.
Huawei’nin titiz iç güvenlik denetimleri üzerindeki ısrarına rağmen, dış araştırmacılar, özellikle şirketin yükümlülük altına alınırsa ulusal istihbarat hizmetleriyle işbirliği yapma konusundaki devlet tarihleri göz önüne alındığında, potansiyel gizli yeteneklerle ilgili endişelerini dile getirdiler.
Enfeksiyon mekanizması
Spectershell’in enfeksiyon mekanizması, doğrulanmış önyükleme güven zincirinden yararlanmaya bağlıdır. Cihaz başlatma üzerine, önyükleyici normalde her aşamanın (bootloader, önyükleme görüntüsü ve sistem bölümleri) bütünlüğünü doğrulur.
Spectershell, önyükleyicinin doğrulama rutini belleğe yamalayarak, imza kontrollerini kötü amaçlı bir işleyiciye yönlendirerek bunu atlatır.
Yamanın basitleştirilmiş bir sözde kodlu illüstrasyonu aşağıda gösterilmiştir:-
// Simplified SpecterShell bootloader patch
int verify_partition(char* partition, uint8_t* signature) {
if (strcmp(partition, "boot") == 0) {
// Bypass signature check for boot partition
return SUCCESS;
}
return original_verify(partition, signature);
}Bu snippet, Spectershell’in sadece kritik bölümler için nasıl koşullu kimlik doğrulamasını atladığını ve dayanıklı bir kök sokağı yerleştirirken sistem işlevselliğini koruduğunu gösterir.
Çalışma zamanında bölüm doğrulamasını ele geçirerek, diskte adli bir iz bırakmaz, algılama ve kaldırma çabalarını karmaşıklaştırır.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.