Siber güvenlik dünyasında korku filmlerini aratmayacak bir gelişme yaşandı! Rapid7 adlı siber güvenlik şirketinden bir uzman, doğrudan işlemcinizi (CPU) hedef alabilen ve mevcut tüm geleneksel güvenlik önlemlerini “hiçe sayabilen” bir fidye yazılımı için kavram kanıtı (PoC) kodu geliştirdi. Bu, fidye yazılımlarının bildiğimiz tüm kurallarını değiştirebilecek ve cihazlarımızı kaçınılmaz bir tehditle karşı karşıya bırakabilecek bir dönemin habercisi olabilir. Eğer bu tür bir saldırı yaygınlaşırsa, “diskinizi fidye ödenene kadar kilitleyen” kabus senaryolarıyla daha sık karşılaşabiliriz.
Kabus Senaryosu Gerçek Mi Oluyor? Karşınızda CPU Seviyesinde Fidye Yazılımı!
Rapid7’nin tehdit analitiği kıdemli direktörü Chrstiaan Beek, işlemcinize saldırabilen bir fidye yazılımı için bir kavram kanıtı (PoC) kodu yazdığını ve gelecekte fidye ödenene kadar sürücünüzü kilitleyebilecek tehditler konusunda uyardığını açıkladı. En korkutucu olan ise, bu tür bir saldırının geleneksel fidye yazılımı tespit yöntemlerinin çoğunu atlatabilecek olması. Yani, antivirüs yazılımlarınız veya diğer güvenlik kalkanlarınız bu yeni tehdit karşısında çaresiz kalabilir.
AMD Zen Çiplerindeki Açık İlham Verdi: “Donanım Seviyesinde Kâbus”
Peki bu fikir nereden çıktı? The Register ile yaptığı bir röportajda Beek, AMD Zen çiplerindeki bir hatanın kendisine bu ilhamı verdiğini açıkladı. Google’ın Güvenlik Ekibi daha önce AMD’nin Zen 1’den Zen 4’e (ve daha sonra Zen 5’in de etkilendiği ortaya çıktı) kadar olan işlemcilerinde, kullanıcıların imzalanmamış mikrokod yamalarını yüklemesine olanak tanıyan bir güvenlik açığı tespit etmişti. Beek, teorik olarak çok yetenekli bir saldırganın “bu davetsiz misafirlerin işlemcilere onaylanmamış mikrokod yüklemesine, donanım seviyesinde şifrelemeyi kırmasına ve CPU davranışını istedikleri gibi değiştirmesine” olanak tanıyabileceğini fark etti.
Daha önceki Raptor Lake kararsızlığı gibi bu sorunun da yeni mikrokod ile düzeltilebileceği belirtilse de, Beek bu fırsatı görmüştü. “Firmware güvenliği geçmişimden geldiğim için, ‘Vay be, sanırım bir CPU fidye yazılımı yazabilirim’ dedim,” diyor ve tam da bunu yapmış.
Rapid7 Uzmanı Uyardı: “Mevcut Tüm Geleneksel Teknolojileri Aşabilir!”
Rapora göre Beek, gerçekten de bir CPU içinde saklanabilen bir fidye yazılımı için kavram kanıtı kodu yazmış durumda. İç rahatlatıcı bir şekilde, bu kodu yayınlamayacaklarını vaat ediyor. Ancak Beek’e göre bu tür bir istismar, en kötü senaryoya yol açabilir: “CPU seviyesinde fidye yazılımı, mikrokod değişikliği… Eğer CPU’nun veya firmware’in içindeyse, piyasadaki her bir geleneksel teknolojiyi atlarsınız.” Bu, siber güvenlik duvarlarının en temelden sarsılması anlamına gelebilir.
Conti Çetesinin Sızan Yazışmaları ve UEFI Tehdidi: Tehlike Yeni Değil
Beek ayrıca, 2022’de ortaya çıkan ve kötü şöhretli Conti fidye yazılımı çetesine ait sızdırılmış yorumlara da atıfta bulundu. RSAC’de yaptığı bir sunumda, grubun sohbet günlüklerini vurguladı. Bir mesajda, “Fidye yazılımının kendini UEFI içine yüklediği bir PoC üzerinde çalışıyorum, böylece Windows yeniden yüklendikten sonra bile şifreleme kalıyor” ifadeleri yer alıyordu. Bir diğeri ise değiştirilmiş UEFI firmware ile “işletim sistemi daha yüklenmeden şifrelemeyi tetikleyebiliriz. Hiçbir antivirüs bunu tespit edemez” diyordu.
Bir bilgisayar korsanının hipotezi ise durumu daha da netleştiriyor: “BIOS’u kontrol ettiğimizi ve fidye ödenene kadar sürücüyü kilitleyen kendi önyükleyicimizi yüklediğimizi hayal edin.” Bu tür donanım ve firmware seviyesindeki saldırılar, siber suçluların uzun zamandır hayalini kurduğu bir şey olabilir.
Peki Şimdi Ne Olacak? “Bu Tür Şeyler Üretmeye Başlayacaklar”
Beek, eğer kötü niyetli aktörler bu tür istismarlar üzerinde birkaç yıl önce çalışıyor idiyseler, “emin olabilirsiniz ki bazıları bir noktada yeterince akıllanacak ve bu tür şeyler üretmeye başlayacaklardır” diye uyarıyor. Kendi PoC’si ile bunun mümkün olduğunu zaten kanıtlamış durumda.
Temel Güvenlik Zafiyetleri ve “2025’te Hala Fidye Yazılımı Konuşmamalıydık” İsyanı
Röportajını sonlandırırken Beek, “2025 yılında hala fidye yazılımlarını konuşuyor olmamalıydık” diyerek hayal kırıklığını dile getirdi ve ilgili herkesin donanım güvenliğinin temellerini düzeltmek için bir araya gelmesi gerektiğini belirtti. Ayrıca, birçok fidye yazılımı ihlalinin hala yüksek riskli güvenlik açıkları, zayıf şifreler, kimlik doğrulama eksikliği ve daha fazlası gibi temel zafiyetlerden kaynaklandığını da üzülerek ifade etti.
Bu yeni tehdit olasılığı, siber güvenlik endüstrisinin sadece yazılım katmanına değil, donanım ve firmware katmanlarına da çok daha fazla odaklanması gerektiğini acı bir şekilde hatırlatıyor. Temel güvenlik hijyeninin önemi bir kez daha anlaşılırken, kullanıcıların ve üreticilerin bu tür yeni nesil tehditlere karşı çok daha bilinçli ve hazırlıklı olması gerekiyor.
