Bir Siber Saldırı Nasıl Çözüldü

BU HABERİ YAYINLAYAN DİĞER HABER KAYNAKLARI
  • Google
  • Google
  • Google
  • Google
  • Google
  • Google
  • Google

Bir Siber Saldırı Nasıl Çözüldü

Bir Siber Saldırı Nasıl Çözüldü


Bir Siber Saldırı Nasıl Çözüldü

130.000 dolar tutarında paranın az daha çalınmak üzere olduğu bir olay

Bir Rus şirketi; Kaspersky Lab’dan kurumsal hesabından 130.000 dolar tutarında paranın hemen hemen çalınmak üzere olduğu bir olayı araştırmasını istedi. Şirketin temsilcileri bu olayın arkasında bir zararlı yazılımın olduğundan belirsizlik ediyordu. Şüpheleri, araştırmanın daha ilk günlerinde doğrulandı. Bu öykü her ne dek Rusya’da geçiyor olsa da bu tür siber suçlar ülkeden ülkeye çok az farklılık gösteriyor.

Siber suçlular, devletin aidat dairesinden gelen bir mesaj izlenimi veren zararlı bir eklenti içeren bir e-posta göndererek şirketin bilgisayarlarına virüs bulaştırmışlardı. Kurumsal ağ içinde muhasebe bilgisayarına erişim karşılamak için kullanıcılar, hukuki bir programın değişmiş bir sürümünü kullandı. Parayı çalmak içinse zararlı yazılım programı kullanıldı. Bu yazılım, kaynak kodu halka açık olan bankacılık Trojanı Carberp öğelerini içeriyordu. Siber suçlular C&C sunucularını yapılandırırken bir kusur yapmış ve Kaspersky Lab uzmanlarının virüs bulaşan diğer bilgisayarların IP adreslerini keşfetmesine ve tehditle yüz yüze olan öteki kişileri uyarmasına olasılık tanımıştı.

Finans odaklı siber suçlular göre hedeflenen şirkete hizmet veren banka, 130.000 $ çekme denemesini engelledi. bununla beraber siber suçlular, bankada herhangi bir alarmı tetiklemeyecek değin ufak ve müşterinin muhasebesinden ek onay gerektirmeyen 8.000 $ tutarında bir ödemeyi başarıyla gerçekleştirdiler.

Açıklardan Kullanım Amaçlı Kod

Kaspersky Lab ’ın Global Acil Koşul Yanıtlama Ekibi (GERT), saldırıya uğrayan kurumdan saldırıya uğrayan bilgisayarın sabit diskinin bir görüntüsünü elde etti. Bunun üzerinde çalıştılar ve kısa sürede devlet ücret dairesi adına gönderilen şüpheli bir e-posta mesajını saptama eder etmez kurumdan bir takım belgeleri sağlamalarını istediler. Zorunlu belgelerin bir listesi ekli bir Word belgesiyle gönderildi. Belgede, açıklardan kullanım amaçlı kod CVE-2012-0158 bulunuyordu; Bu kod belge açıldığında etkinleşiyor ve kurban bilgisayara diğer bir zararlı yazılım programı indiriyordu.

Virüs bulaşan bilgisayarın değişmez diskinde GERT uzmanları, bilgisayarlara uzak erişmek için planlanmış hukuki bir programın değiştirilmiş bir sürümünü saptama etti. Bu programlar muhasebeciler ya da sistem yöneticileri kadar yaygın olarak kullanılır. Ancak programın kurban bilgisayarda saptama edilen bu sürümü, virüs bulaşmış sistemde kendi varlığını gizleyecek şekilde değiştirilmişti: Windows Ödev Çubuğunda simgesi gizlenmiş, ayarlarının depolandığı tescil anahtarı değişmiş ve GUI ekranı devre dışı bırakılmıştı. Kaspersky Lab ürünleri bu programı ‘Backdoor.Win32.RMS ’ kararı ile engelledi.

Ancak bu, kurban bilgisayarda tespit edilen yegane zararlı yazılım programı değildi. Sonraki incelemeler, siber suçluların kurban bilgisayara uzaktan Sanal Ağ Veri Işlem (VNC) erişimi temin etmek için kullandıkları Backdoor.Win32.RMS arka kapı kodunun yardımıyla kurban bilgisayara bir diğer arka kapı kodunun (Backdoor.Win32.Agent) indirildiğini gösterdi. Garip bir biçimde Backdoor.Win32.Agent kodunun içinde bankacılık
Trojanı Carberp’in öğeleri tespit edildi. Carberp ’in kaynak kodu bu sene içinde yayınlanmıştı.

Backdoor.Win32.RMS kodunun yardımıyla siber suçlular, trojan Backdoor.Win32.Agent kodunu kurban bilgisayara indirdi. Backdoor.Win32.Agent kodu ile bilgisayarın kontrolünü ele geçirebildiler.  Böylece siber suçlular, uzaktan banka sisteminde yasa dışı bir ödeme emri oluşturdu ve banka tarafından tehlikesiz görünen muhasebe bilgisayarının IP
adresiyle bu emri onayladı. Fakat siber suçlular muhasebe kadar işlemi yerine getirmek için kullanılan şifreleri ele geçirmeyi nasıl başarmıştı? Uzmanlar araştırmalarına devam etti ve bir öteki zararlı yazılım programı
tespit etti; Trojan-Spy.Win32.Delf. Bu program, klavyeden girilen verileri ele geçiren tuş kaydediciydi. Bu yolla siber suçlular, muhasebe şifresini çaldı ve yasa dışı işlemi gerçekleştirdi.

Yeni kurbanlar 

Araştırma sona ererken uzmanlar, bir diğer cazibeli gerçeğin farkına vardı: saldırıda kullanılan bütün zararlı yazılım programları, IP adresleri aynı daha alçak ağa ait olan C&C sunucularından yönetiliyordu. Bu alt  ağı kullanan siber suçlular, Kaspersky Lab uzmanlarının Trojan-Spy.Win32.Delf göre etkilenen öteki bilgisayarların adreslerini bulmalarını karşılayan bir kusur yaptılar. Bu bilgisayarların çoğunlukla ufak ve orta ölçekli işletmelerin  bilgisayarı olduğu görüldü. Kaspersky Lab anında virüs bulaşan bilgisayarların sahipleriyle temasa geçti ve onları tehdit hakkında uyardı.
Kaspersky Lab Global Acil Durum Yanıtlama Ekibi ’nde Zararlı Yazılım Analisti olan Mikhail Prokhorenko şunları söyledi: “Bu öykü her ne kadar Rusya’da geçiyor olsa da teknik bir görünüm açısıyla ülkeye özgü olduğunu bildirmek oldukça zordur; gerçekte bu tür siber suçlar ülkeden ülkeye çok az farklılık göstermektedir. Dünyanın her yerinden birçok şirket, yamalanmamış cılız noktalar içeren Windows  ve Microsoft Office sürümleri kullanmaktadır. Hem, ayrı ülkelerdeki bankacılık hizmetleri üzerinden şirketlerin finans departmanlarının bankalar
ile iletişim sağlama yöntemleri arasındaki farklar epeyce küçüktür. Bu şart, uzaktan bankacılık sistemleri yoluyla para çalan siber suçların hayatlarını kolaylaştırmaktadır.”

Kurumsal hesaplardan paralarının çalınması riskini en üye indirmek için Kaspersky Lab  uzmanları, uzaktan bankacılık sistemleri kullanan kurumlara güvenilir bir çok faktörlü kimlik denetimi oluşturmalarını (simgeler, banka kadar sağlanan tek seferlik şifreler, vb), kurumsal bilgisayarlar da kurulu yazılımların seri bir şekilde güncellendiklerinden belli olmalarını (bu özellikle finans departmanlarında kullanılan bilgisayarlar için geçerlidir), bu bilgisayarları güvenlik çözümleriyle korumalarını, personeli saldırıların işaretlerini ayrım  edebilmeleri ve bu olaylara çabuk bir şekilde cevap verebilmeleri için eğitmelerini öğüt ediyor.

Bu güvenlik olayının Kaspersky Lab kadar nasıl araştırıldığıyla ilgili daha ayrıntılı bilgiyi Mikhail
Prokhorenko ’nun Securelist.com web sitesi adresindeki makalesinde bulabilirsiniz.

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir