Küresel siber güvenlik şirketi Kaspersky Lab uzmanları sadece meşru yazılımlar kullanan, bir dizi hedefli “görünmez” saldırı tespit ettiğini açıkladı. Saldırıların ise tespit edilemediğinin alçının çizilerek adli araştırmacılar için geride neredeyse hiç bir iz bırakılmadığı kaydedildi.
Saldırganlar sadece istedikleri bilgiyi elde etmelerine yetecek kadar bir süre sistemde kalıyor. Sistem yeniden başlatıldığında ise arkalarında bıraktıkları tüm izler siliniyor. Saldırılar, karışık bir yaklaşım sayesinde beyaz listeleme teknolojilerinden faydalanarak tespit edilemiyor ve adli araştırmacılar için geride neredeyse hiç bir iz veya zararlı yazılım örneği bırakmıyor.
Saldırganlar sadece istedikleri bilgiyi elde etmelerine yetecek kadar bir süre sistemde kalıyor. Sistem yeniden başlatıldığında ise arkalarında bıraktıkları tüm izler siliniyor.
Meşhur GCMAN ve Carbanak gruplarının baş şüpheliler olduğu saldırılarda öncelikli hedefler arasında ABD, Güney Amerika, Avrupa ve Afrika’daki bankalar, telekomünikasyon şirketleri ve devlet kurumları yer alıyor.
2016’nın sonunda BDT ülkelerindeki birçok banka Kaspersky Lab uzmanlarıyla irtibata geçerek, orada olmaması gerektiği bir zamanda sunucularının belleklerinde, Meterpreter adlı penetrasyon testi yazılımını bulduklarını bildirdiler.
Kaspersky Lab’ın incelemeleri sonucunda Meterpreter yazılımının, diğer bazı yardımcı uygulamalarla birleştirildiği keşfedildi. Birleştirilen bu araçların, bellekte gizlenerek sistem yöneticilerinin şifrelerini toplayan ve böylece saldırganlara kurbanlarının sistemlerini uzaktan kontrol imkanı sağlayan zararlı kodlara adapte edilmiş olduğu ve finansal işlemlere erişim sağlamayı hedeflediği ortaya çıktı.
Kaspersky Lab tarafından ortaya çıkarılan tabloya göre, çeşitli sektörlerde faaliyet gösteren 140’ın üzerinde büyük ölçekli kuruluşun ağları saldırıya uğramış ve aralarında Türkiye’den şirketlerin de bulunduğu kurbanların çoğu ABD, Fransa, Ekvador, Kenya, Birleşik Krallık ve Rusya’da bulunuyor.
Saldırganların kimliği henüz bilinmese de baş şüpheliler olarak GCMAN ve Carbanak gruplarının isimleri anılıyor. Açık kaynaklı kötü niyetli kodlar, her gün kullanılan Windows uygulamaları ve tanınmayan alan adları sebebiyle sorumluların bulunması veya yapılanlar tek bir grubun yoksa aynı araçları kullanan birden fazla grubun işi olup olmadığının anlaşılması neredeyse imkansız.
Kullanılan araçlar saldırılar hakkında detaylı bilgi edinilmesini zorlaştırıyor. Normal bir süreçte araştırmacılar bir olay sonrasında saldırganların ağda bıraktıkları izleri takip ederler, ancak bir sabit sürücüdeki veriler aylarca erişilebilir kalsa da, bellekte kalan izler bilgisayarın yeniden başlatılmasıyla birlikte silinir fakat söz konusu olayda uzmanların bu sefer zamanında yetişebilmiş olmaları yapılan saldırıların ölçeğinin anlaşılmasına yardımcı oldu.
Kaspersky Lab Baş Güvenlik Araştırmacısı Sergey Golovanov, saldırganların, faaliyetlerini saklamak ve olaylara müdahale edilmesini zorlaştırmak konusundaki kararlılığının, adli incelemeleri zorlaştıran benzeri tekniklere ve bellek odaklı zararlı yazılımlara olan eğilimi açıklar nitelikte olduklarını söyledi ve ekledi:
”Bu sebeple bellek odaklı adli bilişim, zararlı yazılımların ve işlevlerinin analizi konusunda kritik önem kazanmaktadır. Söz konusu olaylarda saldırganlar akla gelebilecek her türlü adli inceleme karşıtı tekniği kullanmışlar; zararlı yazılım kullanmadan bir ağdan başarılı bir şekilde nasıl veri sızdırılabileceğini ve meşru veya açık kaynaklı uygulamalar yardımıyla kimliklerini başarıyla saklayabildiklerini göstermişlerdir.”
İlgili operasyonun ikinci kısmı, yani saldırganların benzersiz taktiklerle ATM’lerden nasıl para çektiği hakkındaki detaylar, Sergey Golovanov ve Igor Soumenkov tarafından 2-6 Nisan 2017 tarihlerinde gerçekleştirilecek olan Güvenlik Analisti Zirvesi (Security Analyst Summit) etkinliğinde sunulacak.
