Siber güvenlik dünyasında her zaman bir gerilim yaşanır: Kötü niyetli aktörlerin eline geçmemesi gereken bir aracın, er ya da geç tam da onların eline geçmesi. Son örnek ise Shellter adlı, aslında siber güvenlik uzmanlarının savunma sistemlerini test etmek için kullandığı meşru bir araçla ilgili. Edinilen bilgilere göre, bu aracın sızdırılmış bir sürümü, siber suçlular tarafından zararlı yazılımlar dağıtmak için kullanılıyor.
Shellter yazılımının geliştiricileri, kendi yazılımlarını "şimdiye kadar oluşturulmuş en gelişmiş yükleyici" olarak tanımlıyor ve "kurum içi Ar-Ge çabalarımızdan geliştirilen benzersiz statik ve çalışma zamanı kaçırma özellikleri" sunduğunu belirtiyor. Yazılım aynı zamanda, popüler tüm komuta ve kontrol (C2) çerçevelerinden üretilen konumdan bağımsız kodlarla kullanılabiliyor.
Özetle, Shellter, savunmaları aşmak ve komuta-kontrol altyapısına bağlantı kurmak için tasarlanmış bir araç. Shellter'ın asıl amacı – siber güvenlik profesyonellerinin bir kuruluşun savunma yeteneklerini değerlendirmelerine olanak sağlamak – ile siber suçluların faaliyeti arasındaki tek fark, profesyonellerin önce izin almak zorunda olmasıdır.
İyi haber şu ki, Shellter yazılımının geliştiricileri, kullanıcı adaylarının yazılımlarını kullanmadan önce bir doğrulama sürecinden geçmelerini şart koşuyor. Kötü haber ise, önde gelen güvenlik araştırma firmalarından birinin geçtiğimiz aylarda yaptığı bir açıklamaya göre, "birden fazla finansal güdümlü bilgi hırsızlığı kampanyası... geçtiğimiz Nisan ayının sonlarından itibaren zararlı yazılımları paketlemek için SHELLTER'ı kullanıyor."
Güvenlik firmasının raporunda, Shellter'ın nasıl çalıştığı ve hangi tür zararlı yazılımları (ArechClient2 / Sectop RAT ve Rhadamanthys gibi) dağıtmak için kullanıldığına dair detaylar yer alıyor.
Shellter yazılımının geliştiricileri bu duruma sert tepki gösterdi. Yaptıkları açıklamada, güvenlik firmasının "hem sorumsuz hem de profesyonellikten uzak bir tavır sergilediğini" ve "tehdidi azaltmak için işbirliği yapmak yerine, halk güvenliğinden çok tanıtımı ön planda tutarak bilgiyi gizlemeyi tercih ettiğini" ifade ettiler.
Siber güvenlikte saldırı ve savunma arasındaki bu çekişme uzun zamandır devam ediyor. En dikkat çekici örneklerden biri, 2017 Mayıs'ında "şimdiye kadar yaşanan en hızlı yayılan siber suç saldırısı" ve "dünyanın gördüğü en büyük siber güvenlik olayı" olarak tanımlanan WannaCry fidye yazılımı saldırısıydı.
WannaCry, Microsoft SMBv1'deki çok sayıda güvenlik açığını kullanan EternalBlue adlı bir istismardan faydalandığı için bu kadar hızlı yayıldı. Ancak EternalBlue, WannaCry'ın yaratıcıları tarafından geliştirilmemişti; aslında bir ulusal güvenlik ajansı tarafından geliştirilmişti.
Peki, söz konusu ajans, bu güvenlik açıklarını EternalBlue aracılığıyla istismar etmek yerine Microsoft'a bildirmeli miydi? Güvenlik araştırmacıları, Shellter yazılımının siber suçlular tarafından zararlı yazılım dağıtmak için kullanıldığını Shellter geliştiricilerine söylemeli miydi? Ya da daha da önemlisi, Shellter'ın kullandığı teknikler en başta savunmacılara ifşa edilmeli miydi?
Bu soruların hiçbirine yakın zamanda fikir birliğiyle bir cevap bulunması pek olası görünmüyor. Ulusal güvenlik ajansları ve Shellter gibi oluşumlar, antivirüs yazılımlarını, uç nokta tespit ve müdahale sistemlerini vb. aşmanın yollarını bulmaya devam edecekler. Bu onların işi. Ve güvenlik firmaları da bu tür bypass yöntemlerini kamuoyuna duyurmaya devam edecekler.
Belki de önce cevaplanması gereken daha büyük bir soru var: Bu durum kimlere yardımcı oluyor? (Ve tabii ki, yardımcı olmayı düşündüğümüz kişiler bunlar mıydı?)
