Her şey Çin Halk Cumhuriyeti’nde iş yapan Avustralya menşeli bir IT firmasının bir vergi yazılımını kullanmak zorunda bırakılmasıyla başlıyor. Çin’de çalışılan banka, yerel vergilerin ödenmesi için Golden Tax Department of Aisino Credit Information Co. isimli şirket tarafından yazılan “Intelligent Tax” isimli programın, şirket tarafından kurulması gerektiğini belirtiyor.(Yerel vergilerin ödenmesi için kullanılması zorunlu) Programı kuran şirket belli bir süre sonunda programla ilgili bazı tuhaflıklar olduğunu görünce, durumu danışmanlık aldığı siber güvenlik firmasına bildiriyor. Siber güvenlik firması gerçekleştirdiği araştırmada yüklenen programın svm.exe ve svmm.exe adında iki küçük programı daha arka planda indirdiğini ve çalıştırdığını tespit ediyor.
Profesyonel olarak yazılan tüm zararlı yazılımlarda olduğu gibi aslında kademeli bir yükleme süreci var. Ana yazılımın zararlı bir yazılım olduğunu söylemek mümkün değil ve vergiyle ilgili işlemlerde mükelleflere yardımcı oluyor. Ana yazılım yüklenirken beraberinde plugin.exe isimli bir dosyası getiriyor. Plugin.exe iki saat beklemenin ardından internetten svminstall.exe isimli başka bir programcığı indiriyor. Bu programda belli bir aradan sonra yine internetten svm.exe ve svmm.exe dosyalarını çekiyor. Söz konusu yükleme sürecini kurgulayan kişilerin yakalanmamak için çaba sarf ettiğini görüyoruz.
Svm.exe ve svmm.exe auto start servis olarak çalıştığından kullanıcı tarafından kapatıldığında kendilerini yeniden aktif hale getirebiliyorlar. Bunlardan herhangi biri silindiğinde, internetten yeniden indirilmelerini sağlayan bir koruma modülü mevcut. Intelligent Tax isimli ana program kullanıcı tarafından sistemden kaldırılsa dahi kaldırma süreci svm.exe ve svmm.exe dosyalarını kapsamıyor.
Bu programcıkların indirildiği adresin(www.ningzhidata[.]com) ana programın indirildiği adresle (i-xinnuo[.]com) bağlantısı bulunmuyor. Svm.exe topladığı sistem bilgisini işte bu alakasız adrese gönderiyor. Bilgi göndermek için gerçekleştirdiği bir iki denemenin ardından bilgi gönderme zamanlarını rastgele hale getirerek ağ güvenliğine yakalanmamaya çalışıyor.
Svm.exe ayrıca sistem yetkilerine sahip. Bu onu daha da tehlikeli kılıyor. Güncelleme mekanizması sayesinde (www.ningzhidata[.]com) adresinden dosya indirme ve çalıştırma kabiliyeti de var. Tüm bu özellikleri bir arada değerlendirdiğimizde svm.exe ve svmm.exe sayesinde kullanıcının sistemine bir arka kapı(backdoor) açıldığını anlıyoruz. Siber güvenlik firması halihazırda bu uygulamayı GoldenSpy olarak adlandırılmış durumda.
Ana programa bu zararlı yazılımın; devlet, programı yazan firma ya da art niyetli bir yazılımcı tarafından mı eklendiğine ilişkin net bir bilgi yok. Tek bildiğimiz Çin Halk Cumhuriyeti’nde iş yapan firmalarımızın bu yazılımı kaldırması gerektiği. Endüstriyel casusluğun tavan yaptığı günümüzde, yurtdışında iş yapan firmalarımız için konuya ilişkin birkaç tavsiyemiz bulunuyor:
Yurtdışında faaliyet gösteren firmalarımız kaynağı ne olursa olsun zorunlu olarak sistemlerine kurdukları yazılımlar konusunda dikkatli olmak zorunda. Çok değerli mali ve ticari sırlarınız ilgili devletlerin, istihbarat örgütlerinin, ilgili ülkelerdeki mali kuruluşların veya rakiplerinizin eline geçebilir. Yerel firmalarımızın da genel olarak yukardaki tavsiyelere kulak kabartması faydalarına. Verinizi çaldırmasanız bile fidye yazılımlar nedeniyle kaybedebilir, zararlı bir yazılımı kendi sistemleriniz üzerinden başka bir sisteme bulaştırıyor veya zararlı yazılım nedeniyle kontrolü başkalarının eline geçen sistemleriniz üzerinden(botnet) farkında olmadan başka bir sisteme saldırı düzenliyor dahi olabilirsiniz.
Son cümlelerimizi kamu bilişimine ayırarak bu yazımızı da sona erdirebiliriz. Kamu tarafından kullanıcıların sistemine yüklenerek kullanılma zorunluluğu getirilen yazılımların mutlak surette, kullanıcının ihtiyarına bırakılan programların ise ileride yanlış bir ithamla karşılaşmamak üzere uygun düştüğü ölçüde açık kaynak olması gerekiyor. Açık kaynak, IT ekiplerinin programın yapısını anlamasını kolaylaştırırken devlet kurumlarına olan güvenin artırılmasını sağlayan bir mekanizma barındırıyor. Ayrıca açık kaynak programların geliştirilmesine devlet tarafındaki yazılımcılar dışındaki yazılımcılar da katkı sağlayabiliyor. Elbette bazı programların açık kaynak olmaması, örneğin GİB E-fatura görüntüleyici de olduğu gibi WebStart üzerinden cache’e indirilen bir programın DJ gibi bir programla geriye derlenerek, kodlarının okunmasına engel değil. Ancak bir kamu bilişim politikası olarak açık kaynağı yine de tavsiye etmekte fayda görüyoruz.
12.08.2020
Kaynak: www.MuhasebeTR.com
(Bu makale kaynak göstermeden yayınlanamaz. Kaynak gösterilse dahi, makale aktif link verilerek yayınlanabilir. Kaynak göstermeden ve aktif link vermeden yayınlayanlar hakkında yasal işlem yapılacaktır.)
>> YIL SONU KAMPANYASI: Muhasebecilere Özel Web Sitesi 1.249 TL yerine 999 TL + KDV
Ayrıntılar için tıklayın.
>> Duyurulardan haberdar olmak için E-Posta Listemize kayıt olun.
>> SGK Teşvikleri (150 Sayfa) Ücretsiz E-Kitap: hemen indir.
>> MuhasebeTR mobil uygulamasını Apple Store 'dan hemen indir.
>> MuhasebeTR mobil uygulamasını Google Play 'den hemen indir.