GigaWiper: Windows’u Hedef Alan Yeni Bir Arka Kapı, Diski Silme, Sahte Fidye ve Casus Yazılımı Birleştiriyor Siber Güvenlik

GigaWiper: Windows’u Hedef Alan Yeni Bir Arka Kapı, Diski Silme, Sahte Fidye ve Casus Yazılımı Birleştiriyor

Microsoft’un tespit ettiği GigaWiper, disk silme, sahte fidye yazılımı ve casusluk yeteneklerini tek bir arka kapıda birleştiriyor. İran bağlantılı bi

Microsoft, GigaWiper adını verdiği yıkıcı bir Windows arka kapısını analiz ederek gün ışığına çıkardı. Bu tehdidin en dikkat çekici yanı, tek bir araç olarak değil, üç farklı yıkıcı programın birleşiminden oluşması. Operatör, bu araçlardan dilediğini seçip kullanabiliyor. Her biri bir bilgisayarı farklı bir şekilde devre dışı bırakabiliyor: tüm diski silmek, Windows sürücüsünü üzerine yazmak veya anahtarı asla kaydedilmeyen sahte bir fidye yazılımı çalıştırmak. Bu bir güvenlik açığı değil, kötü amaçlı yazılım olduğu için yaması yok; GigaWiper, saldırganın sisteme sızdıktan sonra çalıştırdığı bir araç. Bu nedenle erken tespit ve temiz, çevrimdışı yedeklemeler gerçek savunma yöntemleri olarak öne çıkıyor.

Aynı kötü amaçlı dosyalar, geçtiğimiz ay Binary Defense tarafından BLUERABBIT adıyla raporlanan başka bir arka kapıda da tespit edildi. Microsoft, GigaWiper için dört hash değeri listelerken, Binary Defense aynı dört değeri BLUERABBIT için veriyor ve her iki komut sunucusu da eşleşiyor. Binary Defense, Google Tehdit İstihbarat Grubu’na atıfta bulunarak bu kötü amaçlı yazılımı İran bağlantılı bir gruba ve İsrail hedeflerine yönelik saldırılara bağlıyor. Microsoft ise herhangi bir ülke adı vermekten kaçınıyor.

GigaWiper, Go (Golang) dilinde yazılmış ve Windows üzerinde çalışıyor. Numaralandırılmış komutlar alıyor ve bunlardan üçü makineyi farklı şekillerde yok ediyor. İlk yöntem, fiziksel sürücünün üzerine yazarak ve bölüm tablosunu silerek diski ham bir şekilde temizliyor. İkinci yöntem, Crucio adlı eski bir koda dayanan sahte fidye yazılımı. Dosyaları şifreleyip .candy uzantısı ekliyor ve masaüstü duvar kağıdını uyarıcı bir görselle değiştiriyor. Ancak fidye notu yok ve şifreleme anahtarı kaydedilmiyor, yani ne ödeme ne de kurtarma mümkün. Bu, fidye yazılımı kılığına girmiş bir yok etme aracı. Son yöntem ise Windows sürücüsünü hedef alıyor ve farklı veri desenleriyle birkaç kez üzerine yazıyor. Microsoft, bunu FlockWiper olarak izlediği bir silici aracın Go versiyonu olarak tanımlıyor. Bu araçların hiçbiri geri dönüş bırakmıyor: şifrelenmiş dosyalar anahtar olmadığı için açılamaz, silinen diskler ancak temiz yedeklerden geri yüklenebilir. Amaç, fidye almak değil, makineyi tamamen çalışamaz hale getirmek.

Sistem Güvenliği

Ancak GigaWiper sadece yıkımla kalmıyor; aynı arka kapı, enfekte bilgisayarı sessizce izleyip kontrol edebiliyor. Tüm monitörlerin ekran görüntülerini alıyor, kullanıcı çalışırken ekranı kaydediyor ve gizli bir VNC oturumu açarak ekranı canlı yayınlayıp fare ve klavye hareketlerine izin veriyor. Ayrıca sistem bilgilerini topluyor, çalışan programları ve hizmetleri yönetiyor, kayıt defterini düzenliyor ve Windows olay günlüklerini silerek izlerini gizleyebiliyor. Microsoft, incelediği örneklerde tuş kaydedici ve ek siliciler için kullanılmayan komut kalıntıları da buldu.

GigaWiper, gizlenmek için OneDrive gibi davranıyor. Her dakika çalışan OneDrive Update adlı bir zamanlanmış görev oluşturuyor ve kendini HKCU\SOFTWARE\OneDrive\Environment altındaki bir kayıt defteri anahtarıyla takip ediyor. Uzaktan kontrol kanalını açtığında, gerçek bir Windows bileşeni olan Microsoft.Windows.CloudExperienceHost adını taşıyan bir güvenlik duvarı kuralının arkasına saklanıyor. Komut trafiği için sıradan web istekleri yerine RabbitMQ, Redis ve MinIO gibi meşru iş hizmetlerini kullanıyor. Bu hizmetler zaten ağda bulunduğu için trafik normal görünüyor.

Önemli Gelişmeler

Microsoft, GigaWiper’ın sahte fidye yazılımı kodunu Crucio’ya, çoklu geçişli siliciyi ise FlockWiper’a dayandırıyor ve aynı geliştiricinin her üçünü de yaptığını değerlendiriyor. Herhangi bir ülke adı vermese de Crucio anonim değil. Aralık 2023’te CISA’nın İran Devrim Muhafızları ile bağlantılı CyberAv3ngers grubu hakkındaki uyarısında Crucio kodu şüpheli fidye yazılımı olarak listelenmişti. Aynı grup, 2023’te ABD, İsrail, İngiltere ve İrlanda’daki su ve enerji tesislerine sızarak endüstriyel kontrolörlere erişmişti. Microsoft’un atıfta bulunduğu Crucio örneği, aynı parmak izini taşıyor. Ayrıca Microsoft, FlockWiper’ın hata ayıklama yollarında ve GigaWiper’ın işlev adlarında tekrarlanan 'GRAT' etiketini buldu. Bu, iki aracı birbirine bağlıyor ve henüz ortaya çıkmamış başka bir bileşene işaret ediyor. Zamanlama kaynağa göre farklılık gösteriyor: Microsoft yıkıcı faaliyetleri Ekim 2025’e tarihlerken, Binary Defense aynı dosyaları BLUERABBIT olarak Mart 2026’da gördü.

İran bağlantılı silici faaliyetleri 2025 ve 2026 boyunca İsrail’e karşı sürekli uyarılara yol açtı. Palo Alto Networks’ün Unit 42’si, Handala Hack adlı ayrı bir gruptan gelen paralel bir artış izledi. Mart 2026’da İsrail Ulusal Siber Müdürlüğü, İranlı silici saldırılarına karşı uyardı. GigaWiper’ın kullandığı taktik eski: 2017’deki NotPetya da fidye yazılımı kılığına girerken verileri sessizce yok etmişti. Bu kılık değiştirme, saldırgana zaman kazandırıyor: yok edilen bir makine önce kurtarılabilecek bir fidye yazılımı vakası gibi görünüyor, oysa durum tam bir kayıp. Microsoft, GigaWiper’ı operatörlerin ayrı araçları tek bir esnek platformda birleştirmesi olarak çerçeveliyor. Savunmacılar için sonuç somut: tek bir implant izleyebilir, çalabilir veya yok edebilir; araç artık amacı ele vermez. Eskiden bulduğunuz kötü amaçlı yazılımdan niyeti okurdunuz; burada operatör, içeri girdikten sonra karar veriyor. Tek platform, iki satıcı adı ve koddaki kullanılmayan komut kalıntıları, aracın hâlâ geliştirilmekte olduğunu gösteriyor.

Sonuç ve Değerlendirme

Savunmacılar için hızlı tespit birkaç spesifik sinyale dayanıyor: Her dakika tekrarlanan OneDrive Update zamanlanmış görevi, normal masaüstü bilgisayarlardan gelen RabbitMQ veya Redis trafiği, beklenmeyen MinIO dışa aktarımları ve özellikle disk silme veya şifreleme etkinliği öncesinde alışılmadık VNC oturumları. Bir sistemde bu sinyallerden biri görülürse, hemen ağdan izole etmek ve çevrimdışı yedeklerden geri yüklemek için hazırlıklı olmak gerekiyor. Çünkü GigaWiper, kritik verilerinizi yok etmeden önce tespit edilmezse, geri dönüşü olmayan bir yıkıma yol açabilir.

Kaynak: thehackernews.com

Paylaş: