Kritik altyapıları hedefleyen BlackEnergy kötü amaçlı yazılımının uzun bir geçmişi vardır. 2007 yılında basit bir DDoS saldırı platformuyla yola çıkarak zaman içerisinde oldukça sofistike bir eklenti tabanlı kötü amaçlı yazılıma dönüşmüştür. Eklenti mimarisi, DDoS, spam, bilgi çalma, uzaktan erişim, önyükleme sektörü biçimlendirme vb. gibi kolayca kurulabilir saldırıya özel modüllere sahip kalıcı bir kötü amaçlı yazılım çekirdeğine sahiptir. BlackEnergy, en son Aralık 2015’deki Ukrayna elektrik şebekesi de dahil olmak üzere birçok yüksek profilli siber fiziksel saldırıda gözlemlenmiştir. Bu yazımda BlackEnergy ve siber saldırı yeteneklerinin gelişimini inceleyeceğiz ve zararlı yazılımı detaylı bir şekilde analiz edeceğiz.

BlackEnergy Tarihçesi ve Gelişimi
BlackEnergy’nin tarihi ve farklı siber saldırılarda kullanımını aşağıdaki şekilde paylaştığım gibi özetleyebiliriz.

İlk olarak Arbor Networks tarafından basit bir HTTP tabanlı botnet olarak tasarlanmıştır. Bu, BlackEnergy sürüm 1 (BE1) olarak kabul edilir ve DDoS saldırıları için özel olarak tasarlanmıştır. Saldırganın kontrol işlevleri için minimum sözdizimiyle HTTP tabanlı bir botu kontrol etmesi kolay bir yöntemdir. Arbor Networks, BE1 Komuta ve Kontrol sunucularının çoğunun Malezya ve Rusya’da bulunduğunu tespit etmiştir. BE1’i normal bir DDoS’dan ayırt edici özelliği, ana bilgisayar adı için birden fazla hedef IP adresi hedefleme kabiliyetidir. Bu hedef, DNS yük dengelemesi kullanıyor olsa bile, koordineli DDoS saldırısını çok daha etkili bir hale getiriyor. Bot ayrıca anti-virüs yazılımı tarafından tespit edilmesini önlemek için çalışma zamanında kendisini şifreleyerek çalışır. BE1’in kurbanları iki türden oluşmaktadır:
(i) Koordineli DDoS’u başlatmak için BE1 Trojanlı birkaç dağıtılmış tehlikeli sistem
(ii) DDoS saldırısı için hedeflenen son sistem
Arbor Networks, Malezya ve Rusya’da bulunan BE1 Truva atı temelli 27 aktif DDoS ağını tespit ederken, ana hedefleri de Rus IP adres alanında bulunuyordu. İstihbarat kaynaklarına göre; BE1’in 2008 yılında Gürcistan’daki Rus-Gürcü savaşı sırasında DDoS saldırısında kullanıldığı tahmin edilmektedir. Saldırı son derece başarılı bir şekilde gerçekleşmiştir ve 54 siteye erişim engellenmiştir. Saldırı, Gürcistan hükümetini, askeri, finans ve haber ajanslarını etkiledi. Keşif saldırısının, iddia edilen gerçek Rus siber DDoS saldırısı öncesinde birkaç hafta içinde gerçekleştiğine inanılıyor.
2010 yılında, BlackEnergy sürüm 2 (BE2) yeni casusluk, spam ve dolandırıcılık yetenekleri ile keşfedilmiştir. SecureWorks araştırma ekibi, BE2’nin Rus bankalarından (yerel bankaları hedefleyen Rus botnetleri) finansal ve kimlik doğrulama verilerini çalmaya yönelik olduğunu ortaya çıkardı. SecureWorks, BE2’nin tamamen yeni kodu belirli bir kötü amaçlı etkinlik yürütmek için yeniden yazmadan eklentileri kullanan modüler bir tasarıma sahip olduğunu ortaya çıkardı. Kimlik doğrulama verilerinin çalınmasından sonra BE2, aynı bankada bir DDoS eklentisi kullanarak müşteriler için kimlik doğrulama sistemini çevrimdışı hale getirdi ve sahtekarlık işlemlerini fark etmelerini önledi. Ayrıca, BE2’ye, ele geçirilen makinedeki dosya sistemini yok etmek için tasarlanmış bir eklenti daha yazıldı.
BlackEnergy ayrıca kritik altyapılar için hedef odaklı hazırlandığı için çok büyük bir tehdittir. ABD İç Güvenlik Bakanlığı, 2014 yılında nükleer santraller, elektrik şebekeleri, su filtreleme sistemleri ve petrol ve gaz boru hatları gibi birçok ulusal kritik altyapıyı kontrol eden yazılımın 2011’den bu yana BlackEnergy tarafından tehlikeye atıldığını tespit etmiştir. FSecure laboratuvarları, 2014 yılında iki BlackEnergy olayını detaylı bir şekilde araştırdı ve analiz etti. İlk olayın ana kurbanı, Ukrayna’da siyasi bir web sitesiydi ve Belçika’daki NATO karargahı, ikinci olay için ana hedefti. Aynı yıl, ESET firması tarafından ayrıca Polonya ve Ukrayna’da 100’den fazla BlackEnergy olayını araştırdı.
BlackEnergy’nin gelişim hikayesi devam ediyor ve Ukrayna’nın üç bölgesel elektrik dağıtım şirketi Aralık 2015’te koordineli siber saldırılara mahruz kaldı. Şirketin bilgisayarına ve SCADA sistemlerine yasadışı giriş için saldırganlar yeni bir kötü amaçlı yazılım olan BlackEnergy sürüm 3 (BE3) kullandı. Saldırganlar, yedi 110 kV ve 2335 kV trafolarının kesicilerini açarak, enerjinin geri verilmesi 6 saatten fazla süren 225 binden fazla müşterinin elektriksiz kalmasına sebep oldu. Saldırı izlerini kaldırılması ve enerji geri verme periyodunu uzatmak için, saldırganlar aynı zamanda çeşitli sistemlerin silinmesini (wipe) ve her üç şirkette ana önyükleme kayıtlarının bozulması için KillDisk gibi zararlı yazılımlarından yararlandı. Buna ek olarak, Ethernet dönüştürücülere seri olarak özel bir ürün yazılımı yerleştirildi ve teknisyenler konvertörleri baypas edilinceye kadar elektriğin geri verilmesi engellendi.
BlackEnergy Zararlı Yazılımı Türleri
BlackEnergy’nin hedefli saldırılar için kullanılması, Sandworm olarak bilinen Rus kökenli bir siber çetenin geliştirdiği öne sürülüyor. Şimdiye kadar bu rus çetesi NATO’yu, birçok hükümet kuruluşunu ve kritik altyapıyı hedef aldı. BlackEnergy, bir sistemdeki tüm yüklü sürücüleri numaralandırır ve devre dışı bırakılanları tanımlar. Rastgele engellenmiş bir sürücüyü seçer, kötü amaçlı olarak kendi sürücüsüyle değiştirir ve güvenliği ihlal edilen sistemde etkinleştirir. Çünkü sürücünün geçerli bir imzası olması gerekiyor. BlackEnergy, sistem önyükleme yapılandırma verilerini değiştirerek, imzaları etkinleştirebilmenizi ve user32.dll.mui dosyasını yamalarını veya UAC’ları atlatarak kendisini hedeflediği sisteme yerleştirebiliyor. BlackEnergy özelliklerinin zaman içerisinde nasıl geliştiğini anlamak için 4 bölüme ayırarak inceleyeceğiz.

1. BlackEnergy v1 :

BE1, koordineli DDoS saldırıları için kullanılan HTTP tabanlı botnet’tir. Saldırganın minimal sözdizimi ve yapısı ile kontrol etmek için kolay bir arayüz sağlamıştır. BE1 botnet konfigürasyonları MySQL veritabanında (db.sql) saklanır ve yüklenir. Geleneksel botnet’lerden farklı olarak, Internet Relay Chat (IRC) kullanarak botnet master ile iletişim kurmuyor. Ayrıca BE1, istismar işlevleri yoktur ve botu yüklemek için harici araçları kullanır. BE1 zararlısı saldırdığı komuta ve kontrol sunucuları Rusya ve Malezya’da bulunmaktadır ve Rusya’da bulunan hedeflere saldırdığını tespit edilmiştir. BE1 botneti, kontrol eden sunucuları ile iletişim kurmak için HTTP POST mesajlarını kullanır ve her mesajın içinde bot kimliğini belirtir. BE1’in temel özellikleri şunlardır:

  • ana bilgisayar adı başına birden fazla IP adresi hedefleme,
  • antivirüs yazılımı tarafından algılanmayı önlemek için gerçek zamanlı şifreleme,
  • süreçlerini bir sistem sürücüsünde (syssrv.sys) gizleyerek kendini gizler.

BE1 botunda üç farklı tipte komut bulunur:

  • DDoS saldırı komutları, örneğin, ICMP flood, TCP SYN flood, UDP flood, HTTP flood, DNS flood, vb.
  • yeni veya güncellenmiş bir sürümü almak veya başlatmak için indirme komutları sunucudan çalıştırılabilir
  • kontrol komutları, örneğin, (DDoS’yi dondurmak için) dur, bekle veya çıkar.

2. BlackEnergy v2 :

BE2, BlackEnergy’nin 2010 yılında keşfedilen daha geliştirilmiş bir versiyonudur. Kötü amaçlı yazılım tamamen yeniden yazılmıştır ve temel DDoS özel mimarisinden modüler bir çerçeveye dönüştürülmüştür. BE2, casusluk, sahtekarlık, kullanıcı kimlik bilgilerini çalma, anahtar kayıt cihazı, ağ tarama, spam gönderme ve daha fazlası için kolayca yüklenebilen saldırıya özel eklentilerle genişletilmiş işlevler sağlamıştır. BE2, BE1’in bir üst kümesidir ve orijinal DDoS saldırısı için bir eklenti paketi bulundurur. Zararlı yazılım eklentileri, şifrelenmiş bir biçimde komuta ve kontrol sunucularından şifrelenmiş bir biçimde sürücüler olarak indirilir ve güncellenir. BE2 ayrıca, kill komutuyla ele geçirilmiş bir sistemin eksiksiz dosya sistemini yok edebilecek bir Trojan eklentisi de içerir. BE2’nin yetenekleri şunları içerir:

  • yerel dosyaları yürütmek,
  • uzak dosyaları indirmek ve yürütmek,
  • kendisini ve komuta/kontrol sunucuları vasıtasıyla eklentileri güncellemek
  • sistemi öldürmek veya yok etmek.

BE2’nin eklentileri ve güncelleme özellikleri, güvenliği bozulan sistemlerde çok daha uzun içeride kalma süresi ile son derece kaçınılmaz hale getiriyor. Bot antivirüs yazılımı tarafından algılanırsa, saldırgan sadece bulunan kısmı yeniden yazarak ve güncellemeyi botlara tekrar gönderiyor. Bu sayede sistem içerisinde yaşama ömrü uzun bir şekilde yaşatılmış oluyor.

3. BlackEnergy v3 :

BE3, 2014’te keşfedilen BE2’nin oldukça basitleştirilmiş versiyonudur. BE3, BE2 ile karşılaştırıldığında, küçük değişiklikler taşır ve eklentileriyle iletişim için farklı bir protokol kullanır. Ayrıca, BE3 yükleyicisi, ana DLL bileşenini kullanmak yerine sürücü/rootkit bileşeni BE2’de olduğu gibi doğrudan kullanıcı işlemlerini (özellikle svchost.exe) kullanır. HMI, CimWebServer.exe’de (WebView bileşeni), uzak saldırganların TCP port 10212’ye hazırlanmış bir mesaj yoluyla rasgele kod yürütmesine izin veren bir dizin çaprazlama (directory traversal vulnerability) güvenlik açığı olduğu biliniyordu. BE3, ağ arayüzünü tespit ettikten sonra bu hizmeti hedef alıyor. Zafiyeti olan bir sunucu tespit edildikten sonra BlackEnergy’yi dağıtmak için kullanacağı devlist.cim veya config.bak dosyasını indirmek gibi iki seçeneği vardır. Sonrasında bir sisteme girildiğinde, BE3 yayılmak için ağı ve yerel makineleri tarar.

4. BlackEnergy Lite :

BE Lite (BE Mini olarak da bilinir) farklı yapı kimliği formatına, farklı eklenti arayüzüne ve daha hafif bir ayak izine sahiptir. BE2 ve BE3’ten farklı olarak, ana DLL’yi yüklemek için bir sürücü kullanmaz, ancak DLL’leri yüklemek için daha standart bir yol kullanır (ör.rundll32.exe). BE Lite’ın yapılandırma verileri, XML dosyalarında saklanan diğer BlackEnergy değişkenlerinden farklı olarak X.509 sertifikaları olarak saklanır.