Yazılım 27 Kasım 2016, 15:13
Bir Siber Saldırı Nasıl Çözüldü

Bir Siber Saldırı Nasıl Çözüldü

130.000 dolar tutarında paranın yaklaşık olarak çalınmak üzere olduğu bir durum

Bir Rus şirketi; Kaspersky Lab’dan kurumsal hesabından 130.000 dolar tutarında paranın az daha çalınmak üzere olduğu bir olayı araştırmasını istedi. Şirketin temsilcileri bu olayın ardından bir zararlı yazılımın olduğundan belirsizlik ediyordu. Şüpheleri, araştırmanın daha ilk günlerinde doğrulandı. Bu hikaye her ne kadar Rusya’da geçiyor olsa da bu cins siber suçlar ülkeden ülkeye fazla eksik farklılık gösteriyor.

Siber suçlular, devletin aidat dairesinden gelen bir mesaj izlenimi veren zararlı bir eklenti taşıyan bir e-posta göndererek şirketin bilgisayarlarına virüs bulaştırmışlardı. Kurumsal ağ içinde muhasebe bilgisayarına erişim temin etmek için kullanıcılar, yasal bir programın değişmiş bir sürümünü kullandı. Parayı çalmak içinse zararlı yazılım programı kullanıldı. Bu yazılım, kaynak kodu halka açık olan bankacılık Trojanı Carberp öğelerini içeriyordu. Siber suçlular C&C sunucularını yapılandırırken bir hata yapmış ve Kaspersky Lab uzmanlarının virüs bulaşan öteki bilgisayarların IP adreslerini keşfetmesine ve tehditle yüz yüze olan diğer kişileri uyarmasına ihtimal tanımıştı.

Finans odaklı siber suçlular göre hedeflenen şirkete hizmet veren banka, 130.000 $ çekme denemesini engelledi. bununla beraber siber suçlular, bankada herhangi bir alarmı tetiklemeyecek değin küçük ve müşterinin muhasebesinden ek onaylama gerektirmeyen 8.000 $ tutarında bir ödemeyi başarıyla gerçekleştirdiler.

Açıklardan Faydalanma Amaçlı Kod

Kaspersky Lab’ın Global Acil Şart Yanıtlama Ekibi (GERT), saldırıya uğrayan kurumdan saldırıya uğrayan bilgisayarın sabit diskinin bir görüntüsünü elde etti. Bunun üzerinde çalıştılar ve kısa sürede devlet vergi dairesi adına gönderilen belirsiz bir e-posta mesajını tespit eder etmez kurumdan bazı belgeleri sağlamalarını istediler. Gerekli belgelerin bir listesi ekli bir Word belgesiyle gönderildi. Belgede, açıklardan kullanma amaçlı kod CVE-2012-0158 bulunuyordu; Bu kod belge açıldığında etkinleşiyor ve kurban bilgisayara başka bir zararlı yazılım programı indiriyordu.

Virüs bulaşan bilgisayarın sabit diskinde GERT uzmanları, bilgisayarlara uzakta erişmek için planlanmış yasal bir programın değiştirilmiş bir sürümünü tespit etti. Bu programlar muhasebeciler ya da sistem yöneticileri göre yaygın olarak kullanılır. Ancak programın kurban bilgisayarda tespit edilen bu sürümü, virüs bulaşmış sistemde kendi varlığını gizleyecek şekilde değiştirilmişti: Windows Ödev Çubuğunda simgesi gizli, ayarlarının depolandığı kayıt anahtarı değiştirilmiş ve GUI ekranı devre dışı bırakılmıştı. Kaspersky Lab ürünleri bu programı ‘Backdoor.Win32.RMS’ kararı ile engelledi.

Ama bu, kurban bilgisayarda saptama edilen yegane zararlı yazılım programı değildi. Sonraki incelemeler, siber suçluların kurban bilgisayara uzakta Sanal Ağ Bilgi Işlem (VNC) erişimi karşılamak için kullandıkları Backdoor.Win32.RMS arka kapı kodunun yardımıyla kurban bilgisayara bir diğer arka kapı kodunun (Backdoor.Win32.Agent) indirildiğini gösterdi. Ilginç bir biçimde Backdoor.Win32.Agent kodunun içinde bankacılık
Trojanı Carberp’in öğeleri tespit edildi. Carberp’in kaynak kodu bu sene içinde yayınlanmıştı.

Backdoor.Win32.RMS kodunun yardımıyla siber suçlular, trojan Backdoor.Win32.Agent kodunu kurban bilgisayara indirdi. Backdoor.Win32.Agent kodu ile bilgisayarın kontrolünü ele geçirebildiler.  Bu Nedenle siber suçlular, uzaktan banka sisteminde yasa dışı bir ödeme emri oluşturdu ve banka kadar tehlikesiz görünen muhasebe bilgisayarının IP
adresiyle bu emri onayladı. Oysa siber suçlular muhasebe kadar işlemi yapmak için kullanılan şifreleri ele geçirmeyi nasıl başarmıştı? Uzmanlar araştırmalarına devam etti ve bir öteki zararlı yazılım programı
saptama etti; Trojan-Spy.Win32.Delf. Bu program, klavyeden girilen verileri ele geçiren tuş kaydediciydi. Bu yolla siber suçlular, muhasebe şifresini çaldı ve yasa dışı işlemi gerçekleştirdi.

Yeni kurbanlar 

Araştırma sona ererken uzmanlar, bir diğer göz alıcı gerçeğin farkına vardı: saldırıda kullanılan bütün zararlı yazılım programları, IP adresleri benzer alt ağa ait olan C&C sunucularından yönetiliyordu. Bu alt  ağı kullanan siber suçlular, Kaspersky Lab uzmanlarının Trojan-Spy.Win32.Delf kadar etkilenen öteki bilgisayarların adreslerini bulmalarını sağlayan bir kusur yaptılar. Bu bilgisayarların başlıca minik ve orta ölçekli işletmelerin  bilgisayarı olduğu görüldü. Kaspersky Lab anında virüs bulaşan bilgisayarların sahipleriyle temasa geçti ve onları tehdit hakkında uyardı.
Kaspersky Lab Global Acil Durum Yanıtlama Ekibi’nde Zararlı Yazılım Analisti olan Mikhail Prokhorenko şunları söyledi: “Bu öykü her ne dek Rusya’da geçiyor olsa da teknik bir görüntü açısıyla ülkeye özgü olduğunu anlatmak oldukça zordur; fiilen bu tür siber suçlar ülkeden ülkeye çok eksik farklılık göstermektedir. Dünyanın her yerinden birçok şirket, yamalanmamış çelimsiz noktalar içeren Windows  ve Microsoft Office sürümleri kullanmaktadır. Keza, bambaşka ülkelerdeki bankacılık hizmetleri üzerinden şirketlerin finans departmanlarının bankalar
ile iletişim sağlama yöntemleri arasındaki farklar epeyce küçüktür. Bu durum, uzakta bankacılık sistemleri yoluyla para çalan siber suçların hayatlarını kolaylaştırmaktadır.”

Kurumsal hesaplardan paralarının çalınması riskini en üye indirmek için Kaspersky Lab  uzmanları, uzakta bankacılık sistemleri kullanan kurumlara güvenilir bir çok faktörlü kimlik denetimi oluşturmalarını (simgeler, banka tarafından sağlanan tek seferlik şifreler, vb), kurumsal bilgisayarlar da kurulu yazılımların çabuk bir şekilde güncellendiklerinden emin olmalarını (bu bilhassa finans departmanlarında kullanılan bilgisayarlar için geçerlidir), bu bilgisayarları güvenlik çözümleriyle korumalarını, personeli saldırıların işaretlerini fark  edebilmeleri ve bu olaylara süratli bir şekilde cevap verebilmeleri için eğitmelerini tavsiye ediyor.

Bu emniyet olayının Kaspersky Lab kadar nasıl araştırıldığıyla ilgili daha ayrıntılı bilgiyi Mikhail
Prokhorenko’nun Securelist.com web sitesi adresindeki makalesinde bulabilirsiniz.

Bu yazı senden önce 6 kez okundu.

Yorum Yap