Dikkat: Carbanak kabusu geri döndü

Dikkat: Carbanak, Carbanak 2.0 olarak geri döndü.

Dikkat: Carbanak kabusu geri döndü

Kaspersky Lab Global Araştırma ve Analiz Takımı bu önemli açıklamayı İspanya'da gerçekleşen Kaspersky Security Analyst Summit (SAS) etkinliğinde yaptı. Bu etkinlik senede 1 defa gerçekleşiyor ve etkinliğe kötü amaçlı yazılımlara karşı çözüm üreten araştırmacı ve geliştiriciler, global güvenlik birimleri, CERT'ler (Bilgisayar Güvenliği Müdahale Takımları) ve güvenlik araştırmacılar katılıyor. Siber-suç örgütü Metel'in kullandığı pek çok taktik var ve oldukça kurnaz bir yol izliyorlar. Bir bankanın içinde para transferlerine erişimi bulunan bilgisayarların (örneğin; bankanın çağrı merkezi / müşteri destek bilgisayarları) kontrolünü ele geçiren grup, ATM'den para çıkışı yapabiliyor.

ATM'lerden para çektiklerindeyse, aynı işlemi kaç defa yaparlarsa yapsınlar paravan olarak kullanılan hesabın bakiyesi eksilmiyor.  Bugüne kadar gözlemlenen benzer vakalarda, örgüt gece vakti Rusya'nın şehirlerinde dolaşarak gördükleri bütün ATM'leri sistemini sızdıkları tek bir bankanın kartını kullanarak boşaltıyorlar. Sadece bir gecede cash out yapabiliyorlar. Kaspersky Lab'da Global Araştırma ve Analiz Takımı'nda olarak görev yapan Sergey Golovanov'ın Güvenlik Araştırma Müdürü açıklaması şöyle: "Her geçen gün siber saldırıların atak kısmı kısalıyor. Saldırganlar, kendilerini geliştirdikçe belli bir operasyon üzerinde uzmanlaşıyorlar ve istedikleri şeyi birkaç gün ya da bir hafta içinde elde edip kaçıyorlar." 

Adli incelemeler sonucunda, Kaspersky Lab uzmanları Metel'in hedef odaklı kimlik avı yaparak e-mail üzerinden kullanıcının mail adresine kötü amaçlı yazılımları ek olarak yolladıklarını ve Niteris Hack Kiti üzerinden sisteme sızarak kullanıcının tarayıcısındaki zayıf noktaları buldukları tespit edildi.  Ağın içine sızdıklarında ise, siber suçlular yasal olan ve sistemdeki açıkları bulmak için kullanılan test yazılımları ile farklı katmanlar arasında ilerliyor ve yerel domain konrolcüsüne kontak yaparak banka çalışanlarının para transferleri için kullandıkları bilgisayarları tespit edip ele geçiriyorlar. Metel Grubu halen aktif olmakla beraber adli incelemeler devam etmekte. Bugüne kadar, grup Rusya dışında başka bir ülkede faaliyet göstermemiş durumda. Ancak, var olan problemin göründüğünden daha tehlikeli olduğunu düşünmek için pek çok sebep mevcut. Bu yüzden bütün bankaların sistemlerini bu salgından korumak adına kontrol ettirmeleri öneriliyor.

Bahsedilen 3 hacker grubu da özel olarak dizayn edilmiş kötü amaçlı yazılım kullanımını bırakarak sahtecilik operasyonlarında kullanımı yasal olan yazılımları istismar ederek ilerlemeyi seçtiler. Ağın alarm sistemlerini daha az uyaran bu yasal yazılımları kötüye kullanmak varken neden dikkat çeken ve çok fazla emek isteyen yazılımlarla vakit kaybetsinler ki? Sinsilik söz konusu olunca GCMAN'ın en büyük aktörlerden biri olduğunu söylemek mümkün. Bu grup, kurumların ağlarına herhangi bir kötü amaçlı yazılım kullanmadan sadece siber açık yakalama araçları ile saldırabiliyor. Kaspersky Lab uzmanlarının incelediği vakalarda GCMAN'ın Putty, VNC ve Meterpreter gibi faydalı araçları manipule ederek sistemin farklı katmanlarında serbestçe dolaştığı ve online para transferlerini bankaların dikkatini çekmeden yaptığı gözlemlenmiş.

Kaspersky Lab uzmanları tarafından incelenen vakalardan birinde, saldırganların operasyonu yapmadan önce tam 1,5 yıl boyunca sistemin içine sızıp gizlendikleri anlaşılmış. Rusya'da anonim transferler için üst limit 200 dolar olduğu için, grup parayı 200 dolarlık transferler halinde çıkartmış. CRON zamanlayıcısı dakika başı zararlı bir komut göndererek herhangi bir hesaptan çekilen parayı paravan kişinin hesabına göndermiş. Transfer komutları doğrudan bankanın transfer giriş sisteminden yapılmış ve transfer detayları diğer sistemlerde gözükmemiş. Son olarak, Carbanak 2.0 ile Carbanak geliştirilmiş dayanıklı tehdit (APT) aynı araçları ve aynı teknikleri kullanarak fakat bu sefer farklı bir grubu hedefleyerek ve para çekmek için farklı yöntemler ile yeniden ortaya çıkmış. 2015 yılında Carbanak 2.0'ın hedefi sadece bankalar değil ama aynı zamanda çeşitli kurumların bütçe ve muhasebe departmanları oldu. Kaspersky Lab tarafından gözlemlenen bir vakada ise Carbanak 2.0 üyeleri bir finans kuruluşunun sistemine erişmiş ve büyük bir şirketin mülkiyet bilgilerini değiştirmişlerdi. Yaptıkları değişiklikte, paravan görevi gören bir kişinin kimlik bilgilerini sisteme girerek, kişiyi şirketin pay sahibi olarak kaydetmişlerdi.

Sergey Golovanov şu konuda uyarıyor "Finansal kurumların 2015'te maruz kaldığı siber saldırıları incelediğimizde, siber suçluların geliştirilmiş ve dayanıklı tehdit sistemlerini (ATP) daha fazla kullanmaya başladıklarını görüyoruz. Carnabak Çetesi şu anda pek çok benzeri bulunan siber çetelerin ilk örneğiydi: Siber suçlular her geçen gün yeni teknikler öğrenerek kendilerini geliştiriyorlar ve bireysel müşteriler yerine bankalara doğrudan saldırıyorlar.Bunun sebebi ise oldukça açık: para bankada duruyor.Bizler ise, tehlike unsurlarının paranızı çalmak için sisteminize ne zaman ve nasıl saldıracağını göstermeyi hedefliyoruz. Tahmin ediyorum ki, GCMAN saldırılarını okuduktan sonra bankanızın internet bankacılığı için kullandığı sunucuların nasıl korunduğunu bilmek isteyeceksiniz. Carbanak vakasından yola çıkacak olursak, sadece bakiyelerin kaydedildiği veri tabanını değil aynı zamanda hesap sahiplerine ait kişisel bilgilerin kaydedildiği veri tabanını da korumanızı tavsiye ediyoruz."

Kaspersky Lab ürünleri, Carbanak 2.0, Metel ve GCMAN gibi gruplarca kullanılan kötü amaçlı yazılımları başarılı bir şekilde tespit eder ve etkisiz hale getirir. Aynı zamanda Sistem Açığı Belirtileri (IOC) ve diğer dataları kullanarak Kaspersky Lab, şirketlere kurumsal ağlarının saldırıya uğramış olabileceğini gösteren izleri bulmasında yardım etmektedir Bütün şirketleri, ağlarını dikkatlice taramaları ve Carbanak, Metel ve GCMAN gibi tehlike unsurlarını buldukları takdirde sistemlerini temizleyip durumu güvenlik birimlerine raporlamaları konusunda uyarıyoruz. 

BASIN BÜLTENİNDEN DERLENMİŞTİR

Okuyucu Yorumları

Toplam 6 Yorum

Tehlikeyi köpürterek abartmış tipik Kaspersky reklamı, e sonuç ne? Son cümle de baklayı ağızlarından çıkarmışlar. ''Kaspersky Lab ürünleri, Carbanak 2.0, Metel ve GCMAN gibi gruplarca kullanılan kötü amaçlı yazılımları başarılı bir şekilde tespit eder ve etkisiz hale getirir.'' Bankaların ATM'lerini boşaltıyorlarmış bu kurumsal faciayı sizin yapmadığınız ne malum, Metel'le Rusya'da gayri resmi ortak çalışmadığınız ne malum? Tehlikeyi abart herkes Kaspersky alsın bu mudur yani?!

@21 Şubat 2016 08:29 İsrailin ürettiği Stuxnet i de bunlar tespit ettiler. Sevmiyorsan sevme ama çamur da atma...

@21 Şubat 2016 22:16 Sevip sevmemekle ne alakası var zırvalamışsınız, niye çamur atayım bahsi geçen şirketin rakibi miyim? Tencere dibin kara seninki benden kara! Kaspersky'e duyduğunuz sempati şahsımı hiç ilgilendirmez. 2015 de Chip'de haberi çıktı ''Kaspersky rakiplerine sahte zararlı yolladı'' diye, hiçbir AV'e olduğundan daha fazla güvenme..Yeri geldiğinde hükümetleri talep ettiğinde herşeyi yapabilirler. Temkinli olmakta yarar var.

@21 Şubat 2016 22:16 Kaspersky kullanmak hür iradenizle sizi bağlar, sizin özgürlük alanınıza girer, istersen sevip (!) mutlu bir beraberlik sürdürebilirsin saygı duyarım ancak Kaspersky'nin reklam stratejisini itici buluyorum bunu bu platformda görüş olarak ifade etme hakkım ve özgürlüğüme saygı duymak zorundasın. Şahsı değil görüşlerini baz alın. Çamur atma ifadenizi aynen iade ederim.

türkiyede yokmuş boşverin

@21 Şubat 2016 15:05 Bende ona bakmıştım. Türkler anca para çıkışına plastik şeyden yapıştırıyorlar. Zaten hack olaylarından anlamıyorlar.Para almadan önce para çıkış yerini kontrol edin.Kapak açılmıyorsa para çekmeyin.

Sen de yorum yaz

CHIP'i Takip edin
E-Posta listemize katılın

İlginizi çekebilir