Bir Siber Saldırının Düğümü Nasıl Çözüldü

Kaspersky Lab

Bir Rus şirketi; Kaspersky Lab’dan kurumsal hesabından 130.000 dolar tutarında paranın neredeyse çalınmak üzere olduğu bir olayı araştırmasını istedi. Şirketin temsilcileri bu olayın arkasında bir zararlı yazılımın olduğundan şüphe ediyordu. Şüpheleri, araştırmanın daha ilk günlerinde doğrulandı. Bu hikaye her ne kadar Rusya’da geçiyor olsa da bu tür siber suçlar ülkeden ülkeye çok az farklılık gösteriyor.

Siber suçlular, devletin vergi dairesinden gelen bir mesaj izlenimi veren zararlı bir eklenti içeren bir e-posta göndererek şirketin bilgisayarlarına virüs bulaştırmışlardı. Kurumsal ağ içinde muhasebe bilgisayarına erişim sağlamak için kullanıcılar, yasal bir programın değiştirilmiş bir sürümünü kullandı. Parayı çalmak içinse zararlı yazılım programı kullanıldı. Bu yazılım, kaynak kodu halka açık olan bankacılık Trojanı Carberp öğelerini içeriyordu. Siber suçlular C&C sunucularını yapılandırırken bir hata yapmış ve Kaspersky Lab uzmanlarının virüs bulaşan diğer bilgisayarların IP adreslerini keşfetmesine ve tehditle yüz yüze olan diğer kişileri uyarmasına olanak tanımıştı.

Finans odaklı siber suçlular tarafından hedeflenen şirkete hizmet veren banka, 130.000 $ çekme denemesini engelledi. Bununla birlikte siber suçlular, bankada herhangi bir alarmı tetiklemeyecek kadar küçük ve müşterinin muhasebesinden ek onay gerektirmeyen 8.000 $ tutarında bir ödemeyi başarıyla gerçekleştirdiler.

Açıklardan Yararlanma Amaçlı Kod

Kaspersky Lab’ın Global Acil Durum Yanıtlama Ekibi (GERT), saldırıya uğrayan kurumdan saldırıya uğrayan bilgisayarın sabit diskinin bir görüntüsünü elde etti. Bunun üzerinde çalıştılar ve kısa sürede devlet vergi dairesi adına gönderilen şüpheli bir e-posta mesajını tespit eder etmez kurumdan bazı belgeleri sağlamalarını istediler. Gerekli belgelerin bir listesi ekli bir Word belgesiyle gönderildi. Belgede, açıklardan yararlanma amaçlı kod CVE-2012-0158 bulunuyordu; Bu kod belge açıldığında etkinleşiyor ve kurban bilgisayara başka bir zararlı yazılım programı indiriyordu.

Virüs bulaşan bilgisayarın sabit diskinde GERT uzmanları, bilgisayarlara uzaktan erişmek için tasarlanmış yasal bir programın değiştirilmiş bir sürümünü tespit etti. Bu programlar muhasebeciler veya sistem yöneticileri tarafından yaygın olarak kullanılır. Ancak programın kurban bilgisayarda tespit edilen bu sürümü, virüs bulaşmış sistemde kendi varlığını gizleyecek şekilde değiştirilmişti: Windows Görev Çubuğunda simgesi gizlenmiş, ayarlarının depolandığı kayıt anahtarı değiştirilmiş ve GUI ekranı devre dışı bırakılmıştı. Kaspersky Lab ürünleri bu programı ‘Backdoor.Win32.RMS’ kararı ile engelledi.

Ancak bu, kurban bilgisayarda tespit edilen yegane zararlı yazılım programı değildi. Sonraki araştırmalar, siber suçluların kurban bilgisayara uzaktan Sanal Ağ Bilgi İşlem (VNC) erişimi sağlamak için kullandıkları Backdoor.Win32.RMS arka kapı kodunun yardımıyla kurban bilgisayara bir diğer arka kapı kodunun (Backdoor.Win32.Agent) indirildiğini gösterdi. İlginç bir biçimde Backdoor.Win32.Agent kodunun içinde bankacılık Trojanı Carberp’in öğeleri tespit edildi. Carberp’in kaynak kodu bu yıl içinde yayınlanmıştı.

Backdoor.Win32.RMS kodunun yardımıyla siber suçlular, Trojan Backdoor.Win32.Agent kodunu kurban bilgisayara indirdi. Backdoor.Win32.Agent kodu ile bilgisayarın kontrolünü ele geçirebildiler. Böylece siber suçlular, uzak banka sisteminde yasa dışı bir ödeme emri oluşturdu ve banka tarafından güvenli görünen muhasebe bilgisayarının IP adresiyle bu emri onayladı. Ancak siber suçlular muhasebe tarafından işlemi gerçekleştirmek için kullanılan şifreleri ele geçirmeyi nasıl başarmıştı? Uzmanlar araştırmalarına devam etti ve bir diğer zararlı yazılım programı tespit etti; Trojan-Spy.Win32.Delf. Bu program, klavyeden girilen verileri ele geçiren tuş kaydediciydi. Bu yolla siber suçlular, muhasebe şifresini çaldı ve yasa dışı işlemi gerçekleştirdi.

Yeni kurbanlar

Araştırma sona ererken uzmanlar, bir diğer ilgi çekici gerçeğin farkına vardı: saldırıda kullanılan tüm zararlı yazılım programları, IP adresleri aynı alt ağa ait olan C&C sunucularından yönetiliyordu. Bu alt ağı kullanan siber suçlular, Kaspersky Lab uzmanlarının Trojan-Spy.Win32.Delf tarafından etkilenen diğer bilgisayarların adreslerini bulmalarını sağlayan bir hata yaptılar. Bu bilgisayarların çoğunlukla küçük ve orta ölçekli işletmelerin bilgisayarı olduğu görüldü. Kaspersky Lab derhal virüs bulaşan bilgisayarların sahipleriyle temasa geçti ve onları tehdit hakkında uyardı.

Kaspersky Lab Global Acil Durum Yanıtlama Ekibi’nde Zararlı Yazılım Analisti olan Mikhail Prokhorenko şunları söyledi: “Bu hikaye her ne kadar Rusya’da geçiyor olsa da teknik bir bakış açısıyla ülkeye özgü olduğunu söylemek oldukça zordur; aslında bu tür siber suçlar ülkeden ülkeye çok az farklılık göstermektedir. Dünyanın her yerinden birçok şirket, yamalanmamış zayıf noktalar içeren Windows ve Microsoft Office sürümleri kullanmaktadır. Ayrıca, farklı ülkelerdeki bankacılık hizmetleri üzerinden şirketlerin finans departmanlarının bankalar ile iletişim sağlama yöntemleri arasındaki farklar oldukça küçüktür. Bu durum, uzak bankacılık sistemleri aracılığıyla para çalan siber suçların hayatlarını kolaylaştırmaktadır.”

Kurumsal hesaplardan paralarının çalınması riskini en aza indirmek için Kaspersky Lab uzmanları, uzak bankacılık sistemleri kullanan kurumlara güvenilir bir çok faktörlü kimlik denetimi oluşturmalarını (simgeler, banka tarafından sağlanan tek seferlik şifreler, vb), kurumsal bilgisayarlar da kurulu yazılımların hızlı bir şekilde güncellendiklerinden emin olmalarını (bu özellikle finans departmanlarında kullanılan bilgisayarlar için geçerlidir), bu bilgisayarları güvenlik çözümleriyle korumalarını, personeli saldırıların işaretlerini fark edebilmeleri ve bu olaylara hızlı bir şekilde yanıt verebilmeleri için eğitmelerini tavsiye ediyor.

Bu güvenlik olayının Kaspersky Lab tarafından nasıl araştırıldığıyla ilgili daha ayrıntılı bilgiyi Mikhail Prokhorenko’nun Securelist.com adresindeki makalesinde bulabilirsiniz.

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

*