GigaWiper: Windows Sistemleri Hedef Alan Çoklu Yıkım Araçlarıyla Donatılmış Yeni Nesil Backdoor Siber Güvenlik

GigaWiper: Windows Sistemleri Hedef Alan Çoklu Yıkım Araçlarıyla Donatılmış Yeni Nesil Backdoor

GigaWiper, Windows sistemleri hedef alan, diskleri silen, sahte fidye yazılımı çalıştıran ve casusluk yapan üçlü bir tehdit.

Microsoft, GigaWiper adını verdiği yıkıcı bir Windows backdoor'unu ortaya çıkardı. Bu kötü amaçlı yazılımı diğerlerinden ayıran en önemli özellik, tek bir araç olmaması; bunun yerine üç ayrı yıkıcı programın birleştirilmesiyle oluşturulmuş olması. GigaWiper, saldırgana seçenek sunan bir komut seti olarak çalışıyor ve her biri farklı bir yıkım yöntemi sunuyor: diski tamamen silmek, Windows sürücüsünü üzerine yazmak veya anahtarı asla kaydedilmeyen sahte bir fidye yazılımı çalıştırmak. Bu, bir güvenlik açığı değil, doğrudan kötü amaçlı yazılım olduğu için kapatılacak bir yama bulunmuyor. GigaWiper, saldırganın sisteme sızdıktan sonra kullandığı bir araç; bu nedenle erken tespit ve temiz, çevrimdışı yedeklemeler en etkili savunma yöntemleri.

Aynı kötü amaçlı dosyalar, Binary Defense tarafından geçen ay BLUERABBIT adıyla raporlanan başka bir backdoor ile örtüşüyor. Microsoft, GigaWiper için dört hash değeri listelerken, Binary Defense aynı dört hash'i BLUERABBIT için listeliyor ve her iki komut sunucusu da eşleşiyor. Binary Defense, Google Threat Intelligence Group'a atıfta bulunarak kötü amaçlı yazılımın İsrail kuruluşlarını hedef alan, İran bağlantılı bir gruba ait olduğunu belirtiyor. Microsoft ise herhangi bir ülke adı vermiyor.

GigaWiper, Go dilinde yazılmış ve Windows üzerinde çalışıyor. Numaralandırılmış komutlar alıyor ve bunlardan üçü makineyi yok ediyor. İlki, fiziksel sürücünün üzerine yazan ve bölüm tablosunu silen bir ham disk silici; yeniden başlatma öncesinde diskin içeriğini doğrudan yok ediyor. İkincisi, Crucio adlı eski bir koddan türetilmiş sahte fidye yazılımı. Dosyaları şifreleyip .candy uzantısı ekliyor ve masaüstü duvar kağıdını uyarıcı bir görüntüyle değiştiriyor. Fidye notu veya kaydedilmiş anahtar bulunmuyor; bu nedenle ödenecek bir şey veya çözülecek bir şifreleme yok. Bu, fidye yazılımı kılığına girmiş bir yıkım aracı. Üçüncüsü ise Windows sürücüsünü hedef alıp farklı veri desenleriyle birkaç kez üzerine yazıyor. Microsoft, bunu FlockWiper olarak izlediği bir silicinin Go dilinde yeniden yazımı olduğunu belirtiyor. Bu yöntemlerin hiçbiri geri dönüşe izin vermiyor: şifrelenmiş dosyalar anahtar olmadığı için açılamaz, silinen diskler yalnızca temiz yedeklerden geri yüklenebilir. Amaç, ödeme almak değil, makineyi kullanılamaz hale getirmek.

Gelecekte Ne Bekleniyor?

Yıkım işlevinin yanı sıra, aynı backdoor gizlice bir bilgisayarı izleyip kontrol edebiliyor. Tüm monitörlerin ekran görüntüsünü alabiliyor, kullanıcı çalışırken ekranı kaydedebiliyor ve gizli bir VNC oturumu açarak ekranı canlı yayınlayıp saldırganın fare ve klavye kullanmasına olanak tanıyor. Ayrıca sistem detaylarını topluyor, çalışan programları ve hizmetleri yönetiyor, kayıt defterini düzenliyor ve Windows olay günlüklerini silerek izlerini gizleyebiliyor. Microsoft, incelediği örneklerde tuş kaydedici ve ek siliciler için kullanılmayan komut parçaları da buldu.

GigaWiper, gizlenmek için OneDrive gibi davranıyor. Her dakika çalışan OneDrive Update adlı bir zamanlanmış görev oluşturuyor ve kendini HKCU\SOFTWARE\OneDrive\Environment altında bir kayıt defteri anahtarına kaydediyor. Uzaktan kontrol kanalını açtığında, Microsoft.Windows.CloudExperienceHost adlı gerçek bir Windows bileşeninin adını taşıyan bir güvenlik duvarı kuralı arkasına saklanıyor. Komut trafiği için normal web istekleri yerine RabbitMQ, Redis ve MinIO gibi meşru iş hizmetlerini kullanıyor. Bu araçlar kurumsal ağlarda yaygın olduğu için trafik normal görünüyor.

Nasıl Önlem Alınmalı?

Microsoft, GigaWiper'ın sahte fidye yazılımı kodunun Crucio'ya, çok geçişli silicinin ise FlockWiper'a dayandığını ve aynı geliştiricinin üçünü de yapmış olabileceğini değerlendiriyor. Herhangi bir ülke adı vermese de Crucio anonim değil. Kodları, Aralık 2023'te ABD CISA tarafından İran Devrim Muhafızları ile ilişkili CyberAv3ngers grubuna yönelik bir uyarıda şüpheli fidye yazılımı olarak listelenmişti. Aynı grup, 2023'te ABD, İsrail, İngiltere ve İrlanda'daki su ve enerji tesislerine sızarak internet üzerinden endüstriyel denetleyicilere erişmişti. Microsoft'un atıfta bulunduğu Crucio örneği, bu uyarıdaki parmak izini taşıyor. Ayrıca FlockWiper ve GigaWiper işlev adlarında ortak bir "GRAT" etiketi bulunması, iki aracı birbirine bağlıyor ve henüz ortaya çıkmamış başka bir bileşene işaret ediyor.

İran bağlantılı silici faaliyetleri, 2025 ve 2026 boyunca İsrail'e yönelik olarak tekrarlanan uyarılarla gündeme geldi. Palo Alto Networks'ün Unit 42'si, Handala Hack adlı ayrı bir gruptan gelen paralel bir artış izlerken, Mart 2026'da İsrail Ulusal Siber Müdürlüğü, yerel kuruluşlara yönelik İran silici saldırıları konusunda uyarı yayınladı. GigaWiper'ın kullandığı taktik eski: 2017'deki NotPetya da fidye yazılımı gibi görünürken sessizce verileri yok etmişti. Bu kılık değiştirme, saldırgana zaman kazandırıyor: hasarlı bir makine ilk bakışta kurtarılabilecek bir fidye yazılımı vakası gibi görünüyor, oysa tam bir kayıp söz konusu. Microsoft, GigaWiper'ı operatörlerin ayrı araçları tek bir esnek platformda birleştirmesi olarak tanımlıyor. Savunmacılar için sonuç net: tek bir implant izleyebilir, çalabilir veya yok edebilir; araç artık amacı belli etmiyor. Eskiden bulduğunuz kötü amaçlı yazılımdan niyeti okurdunuz; burada operatör, sisteme sızdıktan sonra karar veriyor.

Sonuç ve Değerlendirme

GigaWiper'ı hızlı tespit etmek için birkaç spesifik sinyale odaklanmak gerekiyor: Her dakika tekrarlayan bir OneDrive Update zamanlanmış görevi; normal masaüstü bilgisayarlardan gelen RabbitMQ veya Redis trafiği; beklenmedik MinIO bağlantıları; HKCU\SOFTWARE\OneDrive\Environment altında şüpheli kayıt defteri anahtarları; ve Microsoft.Windows.CloudExperienceHost adlı bir güvenlik duvarı kuralı. Ayrıca, sistemde Crucio veya FlockWiper ile ilişkili dosyaların varlığı da uyarıcı olabilir. En kritik savunma, düzenli olarak alınan ve çevrimdışı tutulan yedeklemelerdir. Çünkü GigaWiper, dosyaları şifrelese bile anahtarı kaydetmediği için kurtarma mümkün değildir; disk silme işlemi ise verileri tamamen yok eder. Bu nedenle, saldırı öncesinde alınmış temiz yedekler olmadan veri kurtarma şansı yoktur.

Kaynak: thehackernews.com

Paylaş: