Erth Baku Dönüyor

APT Grubunun Yeni Siber Casusluk Operasyonunun Ardındaki Yükseltilmiş Araç Seti Ortaya Çıkıyor.

Araştırmamız, Earth Baku’nün Hint-Pasifik bölgesindeki kuruluşlara karşı yürüttüğü siber casusluk operasyonunda kullandığı yeni araç ve tekniklerin ayrıntılı bir analizini sunuyor.

Yazarlar: Hara Hiroaki ve Ted Lee

Geçen yıl, genel olarak APT41 adıyla bilinen kötü şöhrete sahip gelişmiş sürekli tehdit (APT) grubu olan Earth Baku’nun Hint-Pasifik bölgesindeki kuruluşlara karşı yürüttüğü siber casusluk operasyonunun bir parçası olarak ortaya çıkan yeni kötü amaçlı yazılım araçlarını incelemeye başladık. Earth Baku’nun operasyonlarının ardındaki nedenleri henüz tam olarak belirlemesek de bu etkin operasyon hakkında daha fazla araştırmayı teşvik etmek amacıyla analizimizden elde ettiğimiz önemli bulguları paylaşıyoruz.

Earth Baku bu operasyonlarda hava yolu, bilgisayar donanımı, otomotiv, altyapı, yayıncılık, medya ve bilişim sektörlerindeki kuruluşları hedef aldı. Tespitlerimize göre bu kuruluşlar Hint-Pasifik bölgesinde bulunuyor. Şimdiye kadar Hindistan, Endonezya, Malezya, Filipinler, Tayvan ve Vietnam’da etkinlikler kaydettik.

Şekil 1. Earth Baku’nun operasyonlarından zarar gören ülkeler, tamamı Hint-Pasifik bölgesinde
Kaynak: Trend Micro™ Smart Protection Network™ altyapısı

Yeni araçlar

Analizimiz, Earth Baku’nun bu operasyonda daha önce tanımlanamayan kötü amaçlı yazılım parçaları kullandığını gösteriyor: StealthVector ve StealthMutant adını verdiğimiz iki kabuk kod yükleyici ve ScrambleCross adını verdiğimiz bir arka kapı.

Yükleyiciler: StealthVector ve StealthMutant

C/C++ ile yazılmış bir kabuk kodu yükleyicisi olan StealthVector, kötü niyetli aktörlerin kaynak kodunu değiştirmeden kolayca uygulayabilecekleri çeşitli yapılandırılabilir özelliklere sahiptir. Kendisini kaldıracak, yükünü belirli bir konumda çalıştıracak, Windows için Olay İzlemeyi (ETW) devre dışı bırakarak algılamayı önleyecek ve bağlam farkındalığı için kullanıcı adı denetimi gerçekleştirecek şekilde yapılandırılabilir. Yükleyici ChaCha20 yordamı ve sabit bir özel başlangıç sayacı ile şifrelendiğinden StealthVector’ın yapılandırmasının şifresini çözmek zordur.

Şekil 2. StealthVector’ın şifreli yapılandırmasının ve ChaCha20 anahtar bilgilerinin konumları

StealthVector’ın bir C# uygulaması olan StealthMutant, hem kötü niyetli aktörler hem de kırmızı takımlar tarafından yaygın olarak kullanılan bir teknik olan işlem kabartmayı gerçekleştirerek yükünü yürütür. StealthVector gibi, StealthMutant da ET’W’yi devre dışı bırakabilir ve Windows’un yerleşik günlük sistemi tarafından fark edilmeden içeri girebilir. Gözlemlediğimiz StealthMutant örneklerinin çoğu, yüklerinin şifresini çözmek için AES-256-ECB kullanıyor ancak bu yükleyicinin bunun yerine XOR kullanan eski sürümlerini de bulduk.

Şekil 3. Şifre çözmek için AES-256-ECB kullanan bir StealthMutant örneği

Şekil 4. Şifre çözmek için XOR kullanan eski bir StealthMutant sürümü örneği

Yükler: ScrambleCross ve Cobalt Strike işareti

Kabuk kodu tabanlı bir arka kapı olan ScrambleCross, StealthMutant ve StealthVector örneklerinde bulunan iki tür yükten biridir. Diğer yük ise Cobalt Strike işaretidir. ScrambleCross, komut ve denetim (CC) sunucusuna giden ve bu sunucudan gelen arka kapı komutlarını kullanarak eklentilerin alınmasını ve manipüle edilmesini sağlar. CC sunucusundan henüz bir eklenti almadığımız için ScrambleCross’un eklenti manipülasyonu özelliklerinin kapsamını tam olarak tespit edemedik.

Saldırı vektörleri

Bu operasyonlar, bir hedef sisteme girmek ve bu sistemi enfekte etmek için farklı araçlar kullanır:

Sistemin Microsoft SQL Sunucusuna bir SQL komut dosyası ekleyerek kötü amaçlı bir dosya yükleme

Kötü amaçlı bir web kabuğu yüklemek için Microsoft Exchange Server ProxyLogon CVE-2021-26855 güvenlik açığından yararlanma

Kötü amaçlı ekler içeren e-postalar yoluyla olası dağıtım

Planlı bir görevde InstallUtil.exe yükleyici uygulamasının kullanımı

İlişkilendirmelerimiz

Bu operasyonlar, Earth Baku’nun APT41 takma adıyla yürüttüğü daha önceki siber casusluk operasyonlarından birine bağlıdır. Bu eski operasyon Kasım 2018’den beri devam ediyor ve LavagokLdr adını verdiğimiz farklı bir kabuk kodu yükleyicisi kullanıyor ancak bu iki operasyon birçok yönden birbirine benziyor.

Şekil 5. Earth Baku’nun önceki operasyonu ve yeni operasyonunun zaman çizelgesi

Bu yeni operasyonu Earth Baku’ye, diğer operasyonlarla olan kod benzerliklerine dayanarak atfettik:

Her iki operasyonda da install.bat adlı yükleyici komut dosyasını kullanıyor.

Kabuk kod yükleyicileri aynı tür dinamik bağlantı kitaplığına (DLL), Storesyncsvc.dll dosyasına ve API’leri yüklemek için benzer yordamlara sahiptir.

Yükleri, imzaları kontrol etmek ve ana işlevlerini çözmek için benzer işlemleri gerçekleştirir.

Yetenekli aktörler, yükseltilmiş araçlar

StealthMutant, StealthVector ve ScrambleCross analizimiz, Earth Baku’nun son operasyonundan bu yana kötü amaçlı yazılım araçlarını geliştirdiğini gösteriyor. Bu, grubun üyelerinin düşük seviyeli programlama, yazılım geliştirme ve kırmızı ekipler tarafından kullanılan teknikler dahil olmak üzere farklı alanlarda uzmanlaştığını gösteriyor. Earth Baku’nun bu operasyonun ardındaki sebeplerini henüz tespit edememiş olsak da grup bu sofistike yeni araçları kolayca değiştirilebilecek ve hedeflenen bir ağa sızarken daha verimli bir şekilde tespit edilmekten kaçınacak şekilde tasarlamış.

“Earth Baku: Yeni Stealth Yükleyicileri ve Arka Kapılarla Hint-Pasifik Ülkelerini Hedef Alan Bir APT Grubu” adlı araştırmamız, Earth Baku’nun genel olarak operasyonlarına ve özellikle de yeni kötü amaçlı yazılım parçalarının özelliklerine daha fazla ışık tutuyor. Ayrıca kuruluşların ağlarını Earth Baku’nun gerçekleştirdiğine benzer operasyonlara karşı korumalarına yardımcı olabilecek güvenlik önerileri de sunuyor.

Earth Baku Dönüyor
APT Grubunun Yeni Siber Casusluk Operasyonunun Ardındaki Yükseltilmiş Araç Seti Ortaya Çıkıyor Araştırmamız, Earth Baku’nun Hint-Pasifik bölgesindeki kuruluşlara karşı siber casusluk operasyonlarında kullandığı yeni araçlar ve tekniklerin ayrıntılı bir analizini sunuyor.
Yazarlar: Hara Hiroaki ve Ted Lee 

Geçen yıl, genel olarak APT41 adıyla bilinen kötü şöhrete sahip gelişmiş sürekli tehdit (APT) grubu olan Earth Baku’nun Hint-Pasifik bölgesindeki kuruluşlara karşı yürüttüğü siber casusluk operasyonunun bir parçası olarak ortaya çıkan yeni kötü amaçlı yazılım araçlarını incelemeye başladık. Earth Baku’nun operasyonlarının ardındaki nedenleri henüz tam olarak belirlemesek de bu etkin operasyon hakkında daha fazla araştırmayı teşvik etmek amacıyla analizimizden elde ettiğimiz önemli bulguları paylaşıyoruz. 

Earth Baku bu operasyonlarda hava yolu, bilgisayar donanımı, otomotiv, altyapı, yayıncılık, medya ve bilişim sektörlerindeki kuruluşları hedef aldı. Tespitlerimize göre bu kuruluşlar Hint-Pasifik bölgesinde bulunuyor. Şimdiye kadar Hindistan, Endonezya, Malezya, Filipinler, Tayvan ve Vietnam’da etkinlikler kaydettik. 

Şekil 1. Earth Baku’nun operasyonlarından zarar gören ülkeler, tamamı Hint-Pasifik bölgesinde
Kaynak: Trend Micro™ Smart Protection Network™ altyapısı
Yeni araçlar
Analizimiz, Earth Baku’nun bu operasyonda daha önce tanımlanamayan kötü amaçlı yazılım parçaları kullandığını gösteriyor: StealthVector ve StealthMutant adını verdiğimiz iki kabuk kod yükleyici ve ScrambleCross adını verdiğimiz bir arka kapı. 

Yükleyiciler: StealthVector ve StealthMutant
C/C++ ile yazılmış bir kabuk kodu yükleyicisi olan StealthVector, kötü niyetli etmenlerin kaynak kodunu değiştirmeden kolayca uygulayabilecekleri çeşitli yapılandırılabilir özelliklere sahip. Kendisini kaldıracak, yükünü belirli bir konumda çalıştıracak, Windows için Olay İzlemeyi (ETW) devre dışı bırakarak algılamayı önleyecek ve bağlam farkındalığı için kullanıcı adı denetimi gerçekleştirecek şekilde yapılandırılabilir. Yükleyici ChaCha20 yordamı ve sabit bir özel başlangıç sayacı ile şifrelendiğinden StealthVector’ın yapılandırmasının şifresini çözmek zordur. 

Şekil 2. StealthVector’ın şifreli yapılandırmasının ve ChaCha20 anahtar bilgilerinin konumları
StealthVector’ın bir C# uygulaması olan StealthMutant, hem kötü niyetli aktörler hem de kırmızı takımlar tarafından yaygın olarak kullanılan bir teknik olan işlem kabartmayı gerçekleştirerek yükünü yürütür. StealthVector gibi, StealthMutant da ET’W’yi devre dışı bırakabilir ve Windows’un yerleşik günlük sistemi tarafından fark edilmeden içeri girebilir. Gözlemlediğimiz StealthMutant örneklerinin çoğu, yüklerinin şifresini çözmek için AES-256-ECB kullanıyor ancak bu yükleyicinin bunun yerine XOR kullanan eski sürümlerini de bulduk. 

Şekil 3. Şifre çözmek için AES-256-ECB kullanan bir StealthMutant örneği 

Şekil 4. Şifre çözmek için XOR kullanan eski bir StealthMutant sürümünün bir örneği
Yükler: ScrambleCross ve Cobalt Strike işareti
Kabuk kodu tabanlı bir arka kapı olan ScrambleCross, StealthMutant ve StealthVector örneklerinde bulunan iki tür yükten biridir. Diğer yük ise Cobalt Strike işaretidir. ScrambleCross, komut ve denetim (CC) sunucusuna giden ve bu sunucudan gelen arka kapı komutlarını kullanarak eklentilerin alınmasını ve manipüle edilmesini sağlar. CC sunucusundan henüz bir eklenti almadığımız için ScrambleCross’un eklenti manipülasyonu özelliklerinin kapsamını tam olarak tespit edemedik.
Saldırı vektörleri 

Bu operasyonlar, bir hedef sisteme girmek ve bu sistemi enfekte etmek için farklı araçlar kullanır:
Sistemin Microsoft SQL Sunucusuna bir SQL komut dosyası ekleyerek kötü amaçlı bir dosya yükleme Kötü amaçlı bir web kabuğu yüklemek için Microsoft Exchange Server ProxyLogon CVE-2021-26855 güvenlik açığından yararlanma
Kötü amaçlı ekler içeren e-postalar yoluyla olası dağıtım
Planlı bir görevde InstallUtil.exe yükleyici uygulamasının kullanımı
İlişkilendirmelerimiz
Bu operasyon, Earth Baku’nun APT41 takma adıyla yürüttüğü daha önceki siber casusluk operasyonlarından birine bağlı. Bu eski operasyon Kasım 2018’den beri devam ediyor ve LavagokLdr adını verdiğimiz farklı bir kabuk kodu yükleyicisi kullanıyor ancak bu iki operasyon birçok yönden birbirine benziyor. 

Şekil 5. Earth Baku’nun önceki operasyonu ve yeni operasyonunun zaman çizelgesi
Bu yeni operasyonu Earth Baku’ye, diğer operasyonlarla olan kod benzerliklerine dayanarak atfettik:
Her iki operasyonda da install.bat adlı yükleyici komut dosyasını kullanıyor.
Kabuk kod yükleyicileri aynı tür dinamik bağlantı kitaplığına (DLL), Storesyncsvc.dll dosyasına ve API’leri yüklemek için benzer yordamlara sahiptir.
Yükleri, imzaları kontrol etmek ve ana işlevlerini çözmek için benzer işlemleri gerçekleştirir.
Yetenekli aktörler, yükseltilmiş araçlar
StealthMutant, StealthVector ve ScrambleCross analizimiz, Earth Baku’nun son operasyonundan bu yana kötü amaçlı yazılım araçlarını geliştirdiğini gösteriyor. Bu, grubun üyelerinin düşük seviyeli programlama, yazılım geliştirme ve kırmızı ekipler tarafından kullanılan teknikler dahil olmak üzere farklı alanlarda uzmanlaştığını gösteriyor. Earth Baku’nun bu operasyonun ardındaki sebeplerini henüz tespit edememiş olsak da grup bu sofistike yeni araçları kolayca değiştirilebilecek ve hedeflenen bir ağa sızarken daha verimli bir şekilde tespit edilmekten kaçınacak şekilde tasarlamış.
“Earth Baku: Yeni Stealth Yükleyicileri ve Arka Kapılarla Hint-Pasifik Ülkelerini Hedef Alan Bir APT Grubu” adlı araştırmamız, Earth Baku’nun genel olarak operasyonlarına ve özellikle de yeni kötü amaçlı yazılım parçalarının özelliklerine daha fazla ışık tutuyor. Ayrıca kuruluşların ağlarını Earth Baku’nun gerçekleştirdiğine benzer operasyonlara karşı korumalarına yardımcı olabilecek güvenlik önerileri de sunuyor. 

MODERN FİDYE YAZILIMLARININ ÇİFTE ŞANTAJ TAKTİKLERİ VE ŞİRKETLERİ BUNLARDAN KORUMANIN YOLLARI

Yıllardır tehdit olmayı sürdüren fidye yazılım saldırganları, gelişerek dönüşmeye devam ediyor. Gelişmiş siber güvenlik teknolojileri ve fidye yazılımlarına yönelik iyileştirilmiş müdahale süreçleri, geleneksel fidye yazılım saldırılarının başarıya ulaşmasını bir ölçüde engelledi. Gelişmiş güvenlik önlemleri, bu siber suçluları stratejilerini geliştirmeye itti ve bugün modern fidye yazılım saldırıları dediğimiz saldırıların önü açılmış oldu.

Modern fidye yazılım saldırıları nasıl işler?

Modern fidye yazılım saldırganları değerli verileri tespit ettikten sonra hedef alır. Değerli verileri, şifreli kodlara dönüştürmek yerine çoğunlukla kurbanlarının ağ kuruluşlarından yetkisiz şekilde edinir. Bu sayede, şantaj için bir yol daha açılır. Saldırgan, fidyeyi ödememesi halinde mağduru özel verilerini ifşa etmekle tehdit edebilir. Bu durum, fikri mülkiyet verilerini, tescilli bilgileri, özel çalışan verilerini ve müşteri verilerini barındıran şirketler için ciddi bir endişe konusudur. Her veri sızıntısı; düzenleyici kuruluşların uyguladığı cezaları, davaları ve itibar kaybını da beraberinde getirir.

Modern fidye yazılımlarının bir başka önemli özelliği de saldırganların daha titiz olması ve saldırıya daha etkin katılmasıdır. İnsan denetiminde yürütülen birden çok aşamayla ağları kontrol altına alır, bağlantı tıklamalı otomatik etkinliklerden hızlıca sıyrılırlar. Ayrıca, fidye yazılımının görev yükünü yürütmeden önce mağdurun şebekesinin farklı kısımlarını ele geçirmek için önemli bir süre (haftalar veya aylar) harcarlar. Bu sayede söz konusu saldırıların geleneksel fidye yazılım vakalarından ziyade ulus devlet destekli gelişmiş sürekli tehdit (GST) saldırılarına benzemesi sağlanır.

Bu rapor, modern fidye yazılımlarıyla geleneksel saldırılar arasındaki farkları ele alacak ve yeni fidye yazılımlarının iş modelini anlamak amacıyla Nefilim fidye yazılımını örnek olay olarak inceleyecektir.

Yasa dışı iş modellerinde yaşanan değişimler

Fidye yazılımı iş modelini oluşturan araçlar, taktikler ve prosedürler (TTP’ler), saldırganların kabiliyetini artıracak yeni teknolojilerden yararlanmayı önceleyen, önemli bir değişim gösterdi.

Şekil 1. Fidye yazılımı iş modellerindeki değişiklikler ve gelir elde etme yöntemleri

Şekil 1’de farklı fidye yazılımı iş modellerindeki dönüşümler ve büyük değişimler ile bunların ilgili gelir elde etme yöntemleri gösterilmiştir. 1. Model, eski dönemdeki gelir elde etme yöntemleri hakkındadır. Bu modelde saldırganların seçenekleri bölgesel ödeme yöntemleriyle sınırlıydı. 2. ve 3. Modellere kıyasla bu model çağ dışı kalmış olup seyrek kullanılır. Yeraltı dünyasının bazı aktörleri, hala 2. Model’i tercih etmektedir. Bu model, çok sayıda kurbandan orta derecede gelir elde etmeyi sağlar. 3. Model, kurbanların varlıklarının hedefi daraltacak şekilde gelire dönüştürülmesiyle ilgili olup siber suç iş modelinde fazladan birkaç adımın uygulanmasını içerir.

Önemli değişim gördüğümüz alanlar:

Ödeme ve İş Birliği

On yıl önce fidye yazılım saldırganları özel tarifeli bir SMS numarası üzerinden fidye ödemesi talep etti. Kripto paranın ortaya çıkmasıyla birlikte 2014’te tüm ezberler bozuldu. Firmalar bitcoin’le ödeme almaya veya yapmaya başladı. Bu eğilim, günümüze kadar devam etti. Bir başka değişim de yeraltı dünyasının aktörleri arasındaki işbirliği ve iletişim yönteminde yaşandı. Aktörler; forumlar, mesajlaşma uygulamaları ve hatta sosyal medya siteleri gibi farklı platformlar kullanıyor. Bu platformların yeni güvenlik ve anonimleştirme özellikleri, saldırganların internet üzerinden gizlice işbirliği yapabilme kabiliyetini artırdı.

Saldırganların fidye yazılım saldırılarını gerçekleştirmek için kendilerine ortak bulmalarını kolaylaştıran hizmet olarak fidye yazılımı (RaaS), siber suçluların iş birliğinin örneklerinden biridir. Bu durumda, tek bir fidye yazılım grubunun tüm işi yüklenmesi yerine görevler ve kâr birkaç iş birlikçi arasında bölüşülür. Örneğin, güvenliği ihlal edilmiş varlıklara erişimi sağlamış saldırganlar (yani kurbanın ağına sızma yollarına sahip olanlar) fidye yazılımını geliştiren saldırganlarla iş birliği yapar. Ortaklaşma programlarının dönüşümüyle birlikte güvenliği ihlal edilmiş varlıkların daha etkin biçimde gelire dönüştürülmesi sağlanmış oldu ve birlikte hareket eden taraflar bundan kârlı çıktı.

Fidye Yazılımından Gelir Elde Etme

Fidye yazılım saldırganlarının otomatik araçlar kullandığı dönemde, ya sabit ya da saldırganın mağdurla yaptığı görüşmelere göre belirlediği bir fidye tutarı olurdu. Daha yeni saldırılardaysa, saldırganın kurban hakkında önemli ölçüde bilgiye sahip olması, fidye tutarlarının kurbana özel olarak belirlenebilmesine daha fazla imkân tanıyor.

Tüm saldırı zinciri, genellikle farklı saldırı stratejilerinden sorumlu iki veya daha fazla gruptan oluşur. Saldırılarda genellikle fidye yazılımının sahibi olan saldırgan ile güvenliği ihlal edilmiş altyapıyı kontrol eden ve kötü amaçlı yazılımı bir ağa dağıtan ikinci bir saldırgan yer alır.  Bu pazarda büyüklüğü yeni haneli rakamlarla ifade edilen kuruluşlardan fidye istemek normal olduğu için saldırganların sıfır gün yerel ayrıcalık yükseltme (LPE) ve uzaktan kod yürütme (RCE) açıkları gibi daha pahalı araçlardan yararlanabilmesi de mümkün oluyor.

Artık birlikte hareket eden birden fazla siber suçlu grubu bulunuyor. Bunlar, erişim bilgilerini paylaşıyorlar ve gelir elde etme döngüleri paralel seyrediyor. Birkaç farklı gruptan gelen izlerle karşı karşıya olduğunu fark edemeyebilecek savunucular için bu epeyce kafa karıştırabiliyor. İzler birçok paralel, hatta alakasız olayla bağlantılı olabiliyor. Bu sofistike fidye yazılım saldırılarının yaygınlığı, daha kısa tepki süresi ve çok daha fazla potansiyel etki anlamına geliyor. Tehdit avı, olay azaltma ve saldırılarla ilgili soruşturmalar için bir kuruluşun uç noktaları, ağ, bulut veya diğer cihazlar gibi tüm kritik bileşenler üzerinde tam ve merkezi bir görünürlük sunan XDR çözümlerine sahip olmak hayati önem taşır.

Zafiyet ve Güvenlik Açığı Pazarı

Kuruluşların gelişmiş güvenlik kabiliyetleri, saldırganların hedefli saldırılara ve APT benzeri fidye yazılımlarından gelir elde etme planlarına geçmesini gerekli kıldı. Ancak, siber suçluların cephaneliklerine katabileceği yeni teknolojiler de mevcut. Ayrıca, ağ çevresinde çok kullanılan cihaz ve platformlardaki zafiyetler, şirketler için büyük risk teşkil ediyor. Birçok tehdit unsuru, bu zayıflıkları ağa giriş noktaları olarak kullanıyor.

Suç yoluyla gelir elde etmede daha hedef odaklı bir plana geçişin ardında aşağıdakileri de içeren birkaç ana unsur yatıyor:

Kurbanın bilgilerinin otomatik olarak işlenmesi ve toplanması için artırılmış işlemsel kabiliyet

Kurbanların hatasız bir şekilde sınıflandırılmasına yardımcı olan halka açık ve gizli veri tabanlarının ve otomasyon araçlarının bulunması

Kripto para ile anonim bir şekilde ve yüksek miktarda sınır ötesi para transferleri başlatabilme kabiliyeti

Güvenli ve anonim işbirliğine olanak tanıyan iletişim platformlarının yaygın kullanımı

Bu yöndeki değişim, bir saldırı gerçekleştirilmeden önce kurbanın çok ayrıntılı bir profilinin çıkarıldığına ve bunu takiben erişim bilgilerini paylaşan ve optimize edilmiş gelir elde etme stratejilerini kullanan birden fazla grubun işbirliği yaptığına işaret ediyor.

Modern fidye yazılımına yönelik örnek olay incelemesi

Bu bölümde, modern bir fidye yazılım saldırısına örnek olarak Nefilim fidye yazılım ailesi ele alınıyor.

Nefilim saldırganları, kurbanlarının ağlarına ilk erişimi sağlamak için güvenlik açığı olan RDP (Uzak Masaüstü Protokolü) hizmetlerini ve herkesin erişebileceği güvenlik açıklarını kullanmışlardı. Citrix Uygulama Dağıtım Denetleyicisi’ndeki bir açıktan (CVE-2019-19781) ve Google Project Zero’nun ortaya çıkardığı ve daha sonra Microsoft’un Mayıs 2017’de düzelttiği bir Windows Bileşen Nesne Modeli (COM) ayrıcalık yükseltme (EoP) zafiyetinden yararlandılar.

İlk erişimi sağlayan Nefilim saldırganları, bir web tarayıcısında ek araçlar indirerek işe başlamışlardı. İndirilen önemli araçlardan birisi de çevreyle uzaktan bağlantı kurarak komutları yürütmek için kullanılan Cobalt Strike işaretçisidir. (Cobalt Strike, güvenlik testi uzmanlarının ağa saldırmasına, güvenliği ihlal edilmiş sistemi kontrol etmesine ve ilginç verileri dışarı sızdırmasına olanak tanıyan, çok yönlü bir saldırı sonrası sızma aracıdır. Maalesef, bu aracın kabiliyetleri saldırganlar tarafından suistimal edilebilir.) İndirilen diğer dosyalar, uç nokta güvenlik aracılarını durdurmak için kullanılan Process Hacker ve kimlik bilgilerini kaçırmak için kullanılan Mimikatz’tır.

Saldırganlar, ağda savunabilecekleri bir noktaya konuşlandıktan sonra yanal olarak ilerlemeye başlar, yani erişebilecekleri başka alanlar bulmak için güvenliği ihlal edilmiş sistemi kullanırlar. Saldırganlar çoğu zaman fark edilmemek için sisteme entegre veya yöneticilerin sıkça kullandığı araçları silaha çevirirler. Bu taktiğe “çevreden beslenmek” denir.

Yanal Hareket

ARAÇLAR

Saldırganlar anahtarların, biletlerin veya düz metin parolaların dökümünü almak için Mimikatz’ı da kullanabilir.

Yanal Hareket

ARAÇLAR

Saldırganlar, yanal harekete yardımcı olması için sistemlerin içindeki araçları devreye alabilir. PsExec, Bloodhound, ve AdFind gibi araçlar bu işlem için kullanılabilir.

Yanal Hareket

ARAÇLAR

Siber suçlular, Active Directory bilgilerini toplamak ve daha fazla hedef bulmak için altyapıların haritasını çıkarmak üzere AdFind gibi araçları suistimal edebilir.

Kullanıcı Yetkilerini Arttırma

ARAÇLAR

Saldırganlar, kullanıcı yetkilerini arttırmak ve yönetici işlemlerini veya geniş yetkiler gerektiren işlemleri gerçekleştirmek için de bilinen açıklardan yararlanabilir.

Nefilim’in başlangıçta kullandığı taktik ve araçlar

Ev arama ve dışarı sızma

Bir önceki bölümde bahsedildiği üzere, piyasada satılan Cobalt Strike yazılımı kurbanın sisteminde çalıştırılır. İşaretçi, saldırganların kontrolündeki bir komuta ve kontrol (C&C) sunucusuna geri bağlanır. Nefilim ile ilişkili Cobalt Strike C&C sunucularının internetteki farklı kümelerde barındırıldığını gördük. Saldırganlar, Bulgaristan, Birleşik Krallık, ABD ve Hollanda gibi birtakım ülkelerde bulunan hosting şirketlerini tercih ediyor. Nefilim ile ilişkili diğer Cobalt Strike C&C sunucuları ise çeşitli paravan şirketler tarafından oluşturulan küçük, “kurşun geçirmez” web barındırma hizmetlerinde barındırılıyor. Bazı paravan şirketlerin neredeyse sadece şu amaçlara özel olarak kurulduğu görülür: Cobalt Strike işaretçisinin C&C sunucularını barındırmak; geniş çaplı internet taraması (Citrix sunucularının taranması da dahil); ve vakalardan birinde görüldüğü üzere, Nefilim saldırganlarının kurbanlarından çaldıkları verileri yayınladıkları, Tor ağında gizli bir web sitesinin yüzeysel ağdaki arka ucu olarak.

Nefilim saldırganlarının en az üç farklı tür “kurşun geçirmez” hosting hizmetinden yararlandığını gözlemledik: çalınan bilgileri sızdırmak için kullanılan, Tor ağında gizli bir sunucu; küçük paravan şirketlere ait küçük IP aralıkları; ve “fast flux” hosting (ön ucun IP adresini düzenli olarak değiştirdiği hosting türü)

Kötü amaçlı görev yükü

Nefilim, güvenlik açığı oluşturulduktan sonra kullanılan bir fidye yazılımıdır. Yani, saldırganların veya iş birlikçilerinin kurbanın altyapısı üzerinde yeteri kadar kontrol sahibi olduklarına karar vermelerinin ardından, manuel olarak çalıştırdıkları bir yazılımdır. Çalışmaya başladıktan sonraki yürütme akışı oldukça kolaydır.

İlk önce Nefilim, aynı işlem için birden fazla iş parçacığını engellemek amacıyla karşılıklı dışlama (mutex) nesnesi oluşturur. Ardından, sabit bir RC4 anahtarını kullanarak fidye notunun şifresini çözer. Şekil 2’de fidye notunun örneğini görebilirsiniz. Bu notta, kurbanların fidye ödemesiyle ilgili Nefilim saldırganlarıyla iletişime geçmek için kullanabileceği 3 e-posta adresi yer alır.

Ardından, şifrelemek üzere sıraya aldığı her dosya için rastgele bir AES anahtarı oluşturur. Kurbanın fidye tutarını ödemesi durumda dosya şifresinin çözülebilmesi için kötü amaçlı yazılım, AES anahtarını sabit bir RSA ortak anahtarıyla şifreler ve bunu şifrelenmiş dosyaya ekler. 

Herhangi bir sorun yaşanmadan çalıştırılması halinde Nefilim yürütülebilir dosyası, şifrelemeye hazırlanır. Başlamadan önce dosya ve dizin adlarının yer aldığı bir dışlama listesini kontrol eder. Bu sayede Nefilim’in, işletim sisteminin ihtiyaç duyduğu dosyaları şifrelemesi engellenir ve tarayıcılar ile e-posta istemcileri gibi sık kullanılan uygulamaların normal işlevlerini sürdürmesi sağlanır. Ardından, dışlama listesinde olmayan dosyaları şifrelemeye başlar. Şifreleme işlevi, Nefilim kodunun en büyük işlevidir. 

Varyantlar ve dönüşüm

İlk sürümü fark edildiğinden bu yana Nefilim’in etkinliklerini ve geçirdiği dönüşümü izlemeye devam ettik. Bugüne kadar yaklaşık 65 farklı örnekte 18 farklı varyant gözlemledik.

Topladığımız bilgilere dayanarak, Nefilim örneklerinin tutarlı bir modeli takip ettiğini söyleyebiliriz. Buna göre:

Her kurbana, fidye yazılım saldırganlarının üç e-posta adresinden oluşan iletişim bilgilerini de içeren benzersiz birer örnek gönderilir.

Nefilim’i oluşturanlar, ikili dosyaları imzalamak için kullandıkları sertifikayı değiştirdiklerinde, şifrelenmiş dosyalara eklenmiş uzantıları da değiştirirler.

Aşağıdaki tabloda, gözlemlediğimiz Nefilim fidye yazılım örneklerinde kullanılan taktik ve teknikler listelenmiştir.

Kurban profili

Nefilim’in kurban profili konum ve sektör anlamında nispeten geniştir ancak genellikle 1 milyar USD’lik hasılatı olan şirketler hedeflenir. Hedeflerin çoğu Kuzey ve Güney Amerika’da yer alsa da Avrupa, Asya ve Okyanusya’nın farklı noktalarında da hedefler olduğunu gördük. 

Topladığımız verilere göre Nefilim saldırganları tarafından sızdırılan hassas bilgilerin miktarında istikrarlı ve ciddi oranda bir artış yaşandı. Nefilim, kurbanlarının verilerini içeren web sitelerinin bir yıldan uzun bir süre boyunca sorunsuz bir şekilde çalışmasını sağlayabildi. Ayrıca bu grup, ileride fidye isteyecekleri kurbanları korkutarak ödeme yapmaya teşvik etmek için sızdırdıkları hassas verileri haftalar ve hatta aylar boyunca yayınlamasıyla biliniyor.  

Şekil 3. Nefilim kurbanlarının sayı, konum ve sektöre göre dağılımı

Nefilim saldırganlarının ve farklı RaaS saldırganlarının çalıntı verileri nasıl sızdırdığının karşılaştırması

Fidye yazılım saldırganlarının hassas verileri sızdırmasının arkasındaki birincil nedenin ilerideki kurbanlarına açık bir gözdağı vermek olduğunu düşünüyoruz: Fidye tutarı ödenmediğinde, fidye yazılım saldırganları daha fazla zarar vermeye çalışacaktır. Örneğin, ünlü REvil saldırganları, mağdur ettikleri bir kuruluş fidyelerini ödemeyi reddedince gözlerini karartarak karanlık ağdaki web sitelerinde bu kuruluştan çaldıkları veriler için bir “açık artırma” başlattı.

16 fidye yazılım saldırganın RaaS sitelerini araştırarak karşılaştırdık ve bu saldırganların kurbanlarından şantaj yoluyla para alma yöntemlerinde ciddi farklılıklar olduğunu gördük. Çoğu saldırgan, çalıntı verileri birkaç ay boyunca herkese açık olarak paylaşacağını iddia eder. Nefilim ve Cl0p gibi bazı saldırganlar, terabaytlarca çalıntı veriyi bir yıldan uzun bir süre boyunca internette tutmayı başarabiliyor ve kurbanlarını zaman içinde giderek artan miktarlarda veriyi sızdırmakla tehdit edebiliyor. Yukarıda bahsettiğimiz üzere bazı web siteleri Tor ağında gizlenen sunucularda, diğerleri ise “kurşun geçirmez” hosting kullanılarak barındırılır. RaaS saldırganlarının çalıntı dosyaları piyasada satılan ve ücretsiz dosya paylaşım platformlarına yüklediğini, hatta dosyaları yüzeysel ağdaki web sitelerinde barındırdıklarını fark ettik.

İlişkilendirmelerimiz

Nefilim fidye yazılımının, Nemty adında daha eski bir aileden evrildiğini düşünüyoruz. Hem Nemty ve Nefilim arasındaki kod benzerliklerinden hem de benzer olduğunu düşündüğümüz iş modellerini kullanmalarından dolayı, Nemty Revenue 3.1. sürümünün ilk Nefilim sürümü olma ihtimali üzerinde duruyoruz.

Nefilim ve Nemty fidye yazılımlarının arkasındaki saldırganların da içinde yer aldığı kötü amaçlı fidye yazılım etkinliklerini yıllardır gözlemliyoruz. Bu fidye yazılım ailelerinin arkasındaki grubu özellikle “Water Roc” yetkisiz giriş seti altında takip etmiştik. Şu anda yeraltı dünyasının aktörleri jsworm ve Jingo’nun, Water Roc etkinliğiyle ilişkisi olduğunu düşünüyoruz. Her iki aktör de geçmişte Nemty’yi aktif olarak satmış ve desteklemiş durumda. Bu iki aktörün internetteki etkinliklerine dayanarak her ikisinin de Rusça konuştuğuna inanılıyor. Nemty’nin kodunda birkaç Rus şarkısından ve sanatçısından alıntılanan sözler de yer alıyordu. Bu iki saldırgandan herhangi birinin Nefilim’in faaliyetlerinde hala aktif rol oynayıp oynamadığını kesin olarak söyleyemesek de en azından başlarda Nefilim’in gelişimine katkı sunduklarını söyleyebiliriz.

Sonuç

Nefilim’in kullandığı araçların, taktiklerin ve süreçlerin dökümü, modern fidye yazılımının izlediği yönteme ilişkin önemli özellikleri ortaya çıkarıyor:

Modern fidye yazılımı iş birlikçilerinin ara bulucular vasıtasıyla büyük şirketlere girmenin yollarını bulabildiğini, çok miktarda değerli veriyi dışarı sızdırabildiğini ve sonrasında olabildiğince çok yönteme başvurarak kurbanlarını gasp etmeye çalıştıklarını görüyoruz. Bunun gibi faaliyetler, evrim geçirmiş ortaklaşma programlarından gücünü alır. Bu programlar, fidye yazılım saldırganlarına müthiş bir cephane sunar: Özelleştirilebilir yazılım, daha iyi kurban hedeflemeyi sağlayan yeni ve kullanıma hazır teknolojiler ve işbirliği için gelişmiş yollar.

Şirketler ve ağ koruyucular, rakiplerinden bir adım ileride olmalı ve APT düzeyi fidye yazılım saldırılarına karşılık hazırlıklı olmalılar. Bu, özellikle de birçok şirketin sistemlerinde sakladığı verilerin miktarı ve değeri düşünüldüğünde çok önemli. Güvenlik soruşturmalarını yürüten uzmanların da zor bir görevi var. Birden çok grubun (ağa ilk yetkisiz erişimi sağlayan saldırganlar ve yanal ilerlemeye ve saldırıdan gelir elde etmeye çalışan grup) eylemlerini gözlemleyerek parçaları birleştirmeleri gerekiyor. Çeşitli gruplar dahil olduğu için siber ölüm zincirinin tüm aşamaları daha karmaşık bir hal alıyor.

Kuruluşları bu tehditlere karşı korumanın zor ve karmaşık yanları olsa da son yaşanan olaylar en gelişmiş kötü amaçlı yazılım ailesinin bile alaşağı edilebileceğini gösteriyor. Üstelik siber güvenlik de sürekli evriliyor ve bu ısrarcı tehditlere karşı koymanın yeni yollarını her zaman buluyor.

Modern fidye yazılımı hakkında daha fazla bilgi edinmek için ayrıntılı raporumuzu inceleyin.

Mutasyonlu Dolandırıcılık: Salgın Kaynaklı Siber Dolandırıcılıktan Kendinizi Nasıl Korursunuz?

Dolandırıcılar, salgın döneminde çevrimiçi ticaretteki ve ödemelerdeki artıştan yararlanmaya başladı ve alışverişlerinde yeni ödeme yöntemleri kullanmaya başlayan işletmeleri ve müşterileri hedef aldı.

Yazanlar: Fernando Merces, Erin Johnson

Günümüzde kullanıcılar bir yıl önceye göre teknolojiyle daha iç içe. Cihazlar ve uygulamalar, salgının başlamasıyla birlikte eğitim, iş ve alışveriş gibi alanların yanı sıra arkadaşlar ve aileyle iletişimde de vazgeçilmez araçlar halini aldı. Aslında hayatın her farklı alanı biraz daha dijitalleşti. 

Ancak, ne yazık ki, suçlular da bu duruma uyum sağladı. Suçlular potansiyel mağdurlarıyla birlikte sokağa çıkma kısıtlamasına tabi olduğundan, gerçek dünyada dolandırıcılık yapma fırsatını yakalayamıyor. Buna karşılık, dolandırıcılar da eylemlerini dijitalleştiriyor, dolandırıcılık siber destekli hal aldı. Dolandırıcıların geçirdiği bu dönüşüm, işletmelerin 2020 yılında dijital dönüşümü hayata geçirmek zorunda kalmasına benziyor. Yakın tarihli bir Trend Micro anketine göre, işletmelerin %88’i geçen yıl buluta geçişi hızlandırdı. Salgın, dijital dönüşüm planlarının öne çekilmesine neden oldu. 

Dolandırıcılar da çevrimiçi ticaret ve ödemelerdeki artıştan yararlanıyor. Ağırlıklı olarak yeni ödeme yöntemlerine geçen işletmeler ve müşteriler hedef alınıyor. Bu raporda da açıklandığı üzere, dünyanın dört bir yanındaki mağdurlar, dijitalleştirilerek günümüze ayak uyduran dolandırıcılık yöntemleriyle milyonlarını kaybetti. 

Salgın Döneminde Siber Dolandırıcılığın Dört Hali

Bu suçların şekil değiştirmesi, sıradan suçluların sağlık krizini kuşatan koşullardan nasıl yararlandığını ve küresel çaptaki sokağa çıkma kısıtlamaları nedeniyle nasıl dijitalleşmeye zorlandıklarını ortaya koyuyor. Tespitlerimize göre bu dolandırıcılıklar, Covid-19 salgını sırasında popüler hale gelen teknolojileri ve faaliyetleri hedef alıyor. 

Söz konusu yöntemler dört sınıfa ayrılabilir: çevrimiçi alışveriş, yemek sipariş uygulamaları, mesajlaşma uygulamaları ve devlet yardım programları.

Bu dört sınıfa giren dolandırıcılık olaylarına salgın döneminde bazı ülkelerde ve kıtalarda tanık olduk. Örneklerin çeşitliliği, suçluların farklı alanlarda hayatlarını sürdüren sıradan kişileri nasıl hedef alabileceğine dair fikirler de veriyor. Bu yazıda, yeni dolandırıcılık türlerinin nasıl gerçekleştirildiğine ilişkin bilgilerin yanı sıra, kullanıcıların mağdur olmamasına yardımcı olacak öneriler de sunacağız. Ayrıca, dünya yeniden açılmaya başladıktan sonra bu yeni suç türlerinin etkisini sürdürüp sürdürmeyeceğine ilişkin tahminlerimizi de okurlarla paylaşacağız.

Çevrimiçi Alışveriş Dolandırıcılığı

Kredi kartı bilgilerinizi ve diğer kişisel bilgilerinizi çalmak için gerçek çevrimiçi satıcıları taklit eden dolandırıcıları bilirsiniz. Ancak suçlular, artık tanınmış markaları kullanarak müşterileri kandırmak yerine, dolandırıcılığı daha kolay hale getirmek için kendi çevrimiçi mağazalarını oluşturarak salgın döneminde çevrimiçi alışverişin yoğunlaşmasından yararlandı. Bu mağazaların mevcut mağazalarla hiçbir ilgisi yok. Bu tür sitelerdeki ürünler, gerçek mağazalardan daha düşük (ancak inanılmaz derecede düşük de olmayan) fiyatlarla sosyal medya reklamlarıyla tanıtılıyor ve genellikle popüler ürünlerde %10-20 oranında indirimler sunuluyor. 

Örneğin Brezilya’daki çevrimiçi bir mağaza konuyla ilgili çok iyi bir örnek. Müşteriler, mağazayla ilgili aşağıdaki hususları görünce aslında dolandırılma ihtimali olduğunu anlayabilmeli:• Brezilya’da halka açık bir şikayet portalında, mağazadan yapılmış alışverişlerde geneli teslim edilmeyen siparişlerle ilgili olmak üzere 100’den fazla kullanıcı şikayeti var. • Ürünler sitede görüntülenmiyor. Ürünlere yalnızca doğrudan bağlantı veriliyor ve bu bağlantılar sosyal medya reklamları üzerinden paylaşılıyor. • “İletişim” formunun altında gösterilen metinde temel bir dilbilgisi hatası var. Portekizce metinde “apostos” şeklinde yazılan kelime aslında “a postos” şeklinde yazılmalı. Metni Google’da arattığınızda, diğer sahte çevrimiçi mağazaların da aynı dilbilgisi hatasını içeren iletişim sayfalarına erişebiliyorsunuz. 

Şekil 1. Mağazanın “Reclame Aqui” web sitesindeki profili

Şekil 2. Mağazanın “Bize Ulaşın” sayfası

Şekil 3. Mağazanın “Bize Ulaşın” sayfasında kullanılan metne ilişkin Google arama sonuçları

Bu dolandırıcılıklara karışan çeteler aslında gayet iyi organize olmuş durumda. Mağdurların şikayetlerine genellikle “Siparişinizle ilgili süreçler devam etmekte olup paketiniz kısa süre içinde adresinize teslim edilecek” şeklinde yanıt veren “müşteri temsilcileri” bile var. Bazen, bu gruplar gerçekten de bazı siparişleri teslim ediyor. Mağaza böylelikle, düşük kaliteli hizmet sunan ancak sahte olarak sınıflandırılmamaya da gayret gösteren bir mağaza olarak değerlendiriliyor ki bu durum dolandırıcıların takibini epey zorlaştırıyor. 

Federal Ticaret Komisyonu (FTC) verilerine göre mağdurlar, ürünleri teslim etmeyen çevrimiçi mağaza satışları nedeniyle2020’de 420 milyon ABD doları zarara uğradı.

Çevrimiçi alışveriş dolandırıcılığından nasıl kaçınacağım?• Sosyal medyadaki bir reklam görüp o reklam üzerinden alışveriş yapmadan önce mağaza adını Google’dan aratın. Kullanıcı şikayetleri veya bariz dilbilgisi hataları gibi dikkat etmenizi gerektirecek hususlar olup olmadığına bakın.• Küçük bir mağaza, köklü mağazalara nazaran büyük indirimler sunabiliyorsa bu durumdan şüphelenin. Teklif kulağa gerçek olamayacak kadar iyi geliyorsa dolandırıcılık olması muhtemeldir.• Mağaza web sitesi bölümünden metnin önemli bir bölümünü seçip internette arayın. Diğer çevrimiçi mağazalarda da aynı içerik varsa, bu bir dolandırıcılık işareti olabilir.

Yemek Siparişi Alanında Yeni Dolandırıcılıklar

Salgın sırasında işinden olan yüz binlerce insan yeni iş kollarında iş bulmaya çalıştı. Her türden teslimat hizmeti son derece popüler hale geldi; insanlar mağazalara gidemezken restoranların ve işletmelerin açık kalmasına yardımcı olmak için bu yöntemler harika imkanlar sundu. Statista’ya göre, akıllı telefonla yemek sipariş uygulaması kullanıcılarının sayısı 2019’da 36,4 milyon kişi iken 2020’de 45,6 milyon kişiye yükselerek %25’in üzerinde bir artış gösterdi. Sonuçta, yepyeni bir yemek siparişi dolandırıcılığı kategorisiyle karşı karşıya olduğumuzu gözlemledik.

Pahalı Yemekler

Yemek uygulamaları için dağıtım elemanı olmak için kaydolan kişi sayısında önemli bir artış oldu; dağıtım şirketlerinin bu yeni çalışanlar için güvenlik incelemesi yapmak gibi zor bir görevi var. Salgın döneminde Brezilya başta olmak üzere Güney Amerika ülkelerinde son derece yaygın hale gelen yeni bir dolandırıcılık türü tespit ettik. 

Dolandırıcılık şöyle işliyor: Yeni kayıt yaptıran eleman ilk siparişini bekler, kabul eder ve almak için restorana gider. Eleman, daha sonra restoran çalışanı taklit ederek kullanıcıyı arar ve dağıtım uygulamasında bir sorun olduğunu, ancak restoranın bunun yerine kendi dağıtım elemanını gönderebileceğini söyler. Dolandırıcı, müşterinin para iadesi alabilmesi için müşteriden yemek dağıtım uygulamasındaki siparişini iptal etmesini ister. Kullanıcı bunu kabul ederse, eleman, aracıyla kullanıcının adresine doğru yola çıkar.

Şekil 4. Dolandırıcıların kullandığı PoS cihazı örneği

Size geldiğinde sürücünün elinde yemek siparişi ile birlikte (uygun şekilde) kırılmış ekranı olan bir Satış Noktası (PoS) cihazı vardır. Bu durum, elemanın PoS cihazına çok daha yüksek bir tutar (siparişin tutarının neredeyse yüz katı kadar) girmesine olanak tanır; mağdur bunu ekrandan okuyamaz. Eleman slip de vermez, ardında müşteri, restoran ve dağıtım uygulama şirketini açısından hiçbir iz bırakmadan en kısa sürede oradan çabucak uzaklaşır. 

Ağustos 2020’de Brezilya’daki bir şehirde bu tür dolandırıcılıklar nedeniyle kurbanların yaklaşık 100.000 ABD Doları zarara uğratıldığı kayıtlara geçti.

Yemek siparişi dolandırıcılığından nasıl kaçınacağım?• Sipariş uygulamaları üzerinden yemek siparişi verdikten sizi telefonla arayan biri olursa, dikkatli olun. Uygulamalarda genellikle hem restoranın hem de elemanın görebildiği ve tüm konuşmaların kaydedildiği bir sohbet özelliği bulunur. Bir restoran veya eleman bu imkanı kullanmak yerine neden sizi arasın ki? Tetikte olun.• Ödeme her zaman uygulama üzerinden yapılmalıdır. Bunun istisnası yoktur. Eleman veya başka biri farklı bir şekilde sizden ödeme yapmanızı isterse, siparişi iptal edip yeni bir sipariş vermek daha iyidir.• Kapıda kredi kartı ile ödeme yaparken:• Ekranda tutarı göremiyorsanız, PoS cihazına asla şifrenizi girmeyin.• Her zaman cihazdan çıkan slipi isteyin.

Yemek Sektörünü Etkileyen Diğer Dolandırıcılık Türleri 

Salgın sırasında yemek sektörünü etkileyerek öne çıkan bir başka dolandırıcılık türü ise çalınan ödeme bilgilerinin kullanılmasıdır. Dolandırıcı siparişleri (yiyecek veya mal) çevrimiçi alıp müşteriden ödemeyi kabul eder; ancak sipariş için daha önceden çaldığı hesap bilgilerini kullanır. Bu tür dolandırıcılık şöyle işler:

Şekil 5. Dolandırıcı, müşteriye teslim ettiği malların parasını ödemek için çalıntı kredi kartına ait bilgileri kullanır

Bu tür dolandırıcılığa ABD ve Kanada‘da rastlandığı haberini aldık. Bu durumda mağdur olan restoran veya müşteri değil, bizzat kredi kartının sahibidir. Sift, özellikle Telegramüzerinden bu olayla ilgili epey kapsamlı bir rapor hazırladı. 

Kredi analizi şirketi Fair Isaac Corporation’a (FICO) göre, sipariş hizmetlerindeki dolandırıcılığa söz konusu meblağ 2020 Ocak’ı ve 2020 Temmuz’u arasında %49 artış gösterdi

Mesajlaşma Uygulamalarını Hedef Alan Tehditler

Pek çok insan zaten salgından önce de sanal ortamda arkadaşları ve ailesiyle iletişim halindeydi, ancak kriz sırasında ve sonrasında çevrimiçi iletişim bir zorunluluk halini aldı. Bu bağlantı türünden yararlanan dolandırıcılık türü ortaya 2016 yılında çıkmıştı ama geçen yıl çok daha sık kullanılmaya başlandı. 

Bu tür dolandırıcılıkta ilk şart, güvenliği ihlal edilmiş bir WhatsApp hesabıdır. Suçlular, mağdurun kimliğine bürünmek için çalınan iletişim bilgilerini kullanıp telefon operatörünü mağdurun numarasını yeni bir SIM’deetkinleştirmeye ikna ederek (bazen SIM değiştirme olarak adlandırılır) bunu başarabilir. Veya bir telefon operatörü çalışanını mağdurun numarasını farklı bir telefonda etkinleştirmeye ikna edebilir.

Bu ilk adımdan sonra, suçlular yeni telefonda WhatsApp’ıetkinleştirir ve mağdurun telefonundaki kişilerden yardım istemeye başlar. Çoğunlukla gerçek olmayan bir acil durum ileri sürerler ve arkadaşınızın banka hesabına para göndermenizi isterler. Dolandırıcılık sırasında mağdurun telefonu sinyal almaz.

Şekil 6. Suçlu (beyaz) ile mağdurun arkadaşı (yeşil) arasında geçen Portekizce görüşme. Suçlu 2.500 Brezilya Reali (yaklaşık 450 ABD Doları) istiyor. Mağdurun arkadaşı da bu parayı ödüyor.

Salgın sırasında duruma uyum sağlayan suçlular, insanların mallarını satışa çıkardığı (eBay’e benzer) çevrimiçi satış sitelerindeki tekliflerin artmasından yararlanarak aşağıdaki planı uygulamaya başladı:

Şekil 7. Dolandırıcılar telefon numaraları içeren reklamlar bulur ve mağdurdan SMS ile gönderilen kodu “doğrulamasını” ister. Mağdur kodu gönderdiğinde “reklam doğrulandı” der.

SMS yoluyla gönderilen kod aslında WhatsApp arka ucundan gelmektedir; suçlular bunu, mağdurun WhatsApp hesabını farklı bir telefonda (farklı bir numaraya sahip bir SIM kart kullanarak) deneyip aktive etmek için kullanır. Kullanıcı, kodu gönderdiğinde, suçlular mağdurun WhatsApp hesabına erişip telefonunda kayıtlı kişileri dolandırmaya başlayabilir. 

Pek çok alım ve satım işlemi çevrimiçi ortamda gerçekleştirildiğinden, 2016 model dolandırıcılığın bu güncellenmiş türü, salgın koşullarına son derece uygundur. Brezilya’daki haberlere bakıldığında, 2020 yılında ülkede bu tür dolandırıcılıklar nedeniyle 5 milyonu aşkın kişi mağdur olmuştur.

Mesajlaşma uygulamalarını hedef alan dolandırıcılıklardan nasıl kaçınabilirim?• Telefon numaranızı internette herkesin görebileceği yerlerde yayınlamayın (reklamlar, sosyal profiller vb.).• Tüm mesajlaşma uygulamalarınız için iki aşamalı kimlik doğrulamayı etkinleştirin.• Sizden para isteyen bir arkadaşınız sizinle iletişim kurduğunda, yazdıklarını doğrulamak için kendisini doğrudan telefon numarasıyla (çağrı) aramayı deneyin.

Sana Para Gönderdim!

Salgın, mal alıp satan kişileri de büyük ölçüde etkiledi. Evde satacak eşyası olan kişiler, küresel çaplı sokağa çıkma kısıtlamaları ve karantinalar nedeniyle çevrimiçi kanallara yönelmek zorunda kaldı. Salgının ekonomik etkisi, harcanabilir geliri olan alıcı sayısının daha az olmasına yol açtı.  

Bu durum, 2020 Ekim’inde eşi benzeri olmayan bir özelliğe sahip Telegram botunun keşfedildiği Rusya’da suçlulara yeni bir fırsat penceresi araladı. Yasal satış bilgilerine dayanarak, Rusya’nın önde gelen bankacılık ve finansal hizmetler şirketi olan Sberbank Online’a yapılan para havalesinin ekran görüntüsü alınır. 

Şekil 8. Dolandırıcılar, malları çalmak amacıyla sahte para yatırma dekontuna ait ekran görüntüsü oluşturur

Sahte dekontta, satıcının kişisel bilgileri bulunur (normal satış öncesi yapılan görüşmeyle bu bilgiler zaten elde edilmiş olur), böylece eylem tamamen meşru görünebilir. “Alıcı” (suçlu) ödeme belgesi olarak ekran görüntüsünü paylaşır ve satılan malları sepetine ekler.

Satıcı tarafından bu işlem, ödeme yapılmadığını anlayana kadar tamamen normal görünmektedir. Bilinçli bir satıcı, ekran görüntüsünü referans alarak eksik ödeme hakkında Sberbank ile iletişime geçebilir, ancak bankada para havalesiyle ilgili hiçbir kayıt bulunmaz. O ana kadar “alıcı”, Telegram hesabını çoktan silmiş olur.

Telegram’ın kullanıldığı bu senaryoya sadece Rusya’da rastlanılmış olsa da, başka yerlerde de benzer planlar işe yarayabilir. Telegram botu kopyalanarak ya da Facebook Marketplace için aynı butonun benzeri oluşturularak hayata geçirilebilecek bu plan, dünyanın dört bir yanındaki masum insanları etkilemek için tekrarlanabilir.

Bu özel dolandırıcılık türünden korunmak için, fiziksel ödeme talep etmenizi veya mallar teslim alınmadan veya alıcıya teslim edilmeden önce ödemenin hesabınıza geçmiş olmasına dikkat etmenizi öneriyoruz.

Devlet Yardımını Hedef Alan Tehditler

Almanya’da, salgının zirve yaptığı ilk dönemde vatandaşların düşen gelirlerini kapatmaya yardımcı olmak amacıyla işletmelere sınırsız büyüklükte krediler sunuldu. Elbette bu durum, yerel dolandırıcıların ilgisini çekti; sonuçta 25.000’den fazla dolandırıcılık vakası tespit edildi. Özellikle bir adam, 3 milyon ABD Dolarını aşan dolandırıcılık iddiasıyla yargılandı. Kredi talepleri, sahte şirket bilgilerinin kullanıldığı elektronik formlar aracılığıyla yapıldı. Dolandırıcılıkların önüne geçmek için kredi taleplerinin vergi danışmanlarınca yapılması şart koşuldu. Bu sorunun bir nebze önüne geçse de bu sefer suçlular mevcut şirketler için kredi taleplerinde bulunmaya başladı.

Bu tür bir suistimalde ne yazık ki Almanya yalnız değil. 2020 yılında işsizlik yardımı dolandırıcılığı da önemli ölçüde artış gösterdi. Sahte işsizlik yardımı talebinde bulunan dolandırıcılar tarafından 36 milyar ABD dolarından fazla para çalındı. Yeni yayımlanan bir raporda, suçluların Amerikalıları taklit edip işsizlik yardımından faydalanmak için çalınan kişisel kimlik bilgilerini (PII) nasıl kullandığı açıklanıyor. Bu vakalarda, çalınan kişisel bilgiler siber suç forumlarından bulunur ve formları dijital olarak gönderirken kullanılır. Bu işlem her dolandırıcı tarafından yapılabilir; ancak bu olayda suçlular Nijerya’daydı. 

Her ne kadar devlet hibelerine yönelik dolandırıcılık yeni olmasa da, bu iki özel yöntem büyük ölçüde salgının etkisiyle ortaya çıktı. Suçlular, devletlerin sunduğu hibeleri hedefe koydukları alıcılardan çalabilmek için salgını kendi lehlerine kullandı.

Siber Dolandırıcılığın Yeni Türleri Covid-19 Sonrası Devam Eder mi?

Yukarıda özetlenen dolandırıcılıklara baktığımızda, suç örgütlerinin çalışma şekillerini çok hızlı şekilde geliştirip uyarlayabileceklerini görüyoruz. Bu bize, halkın ve işletmelerin buna benzer belirsizliklere karşı hazırlıklı olmaları ve kendilerini dijital tehditlerden korumayı öğrenmeleri gerektiğini gösteriyor. 

Suç alanındaki bu dijital dönüşüm akla bir soruyu da getiriyor: Dünya Covid-19’dan kurtulduktan sonra da suçlular bu tür dolandırıcılıklara devam edecek mi? Biz devam edeceklerini tahmin ediyoruz. Dijital dolandırıcılık yöntemleri, tıpkı birçoğumuz gibi suçluların evden çalışmasına olanak tanır. Gittikçe daha fazla kişi bu risklerin farkına varıncaya kadar bu saldırıların devam etme olasılığı yüksektir; yani, fiziksel suçlara geri dönüş daha fazla olsa bile suçluların bu yeni yöntemleri terk etmesine gerek olmadığı söylenebilir. 

Günümüz dünyasında, neredeyse tüm suç türlerinde bir siber ayak bulunabilir, bu da biz tüketicilerin tetikte olması gerektiği anlamına gelir. Koşulları göz önüne alın ve durumu iyi kavrayın. Bu mesaj yanlış olabilir mi? Bu site sahte olabilir mi? Konuştuğum kişi yalan söylüyor olabilir mi? Tüm bunları nasıl doğrulayabilirim? Bunlar, herhangi bir kişisel verinizi veya ödeme bilginizi paylaşmadan önce sorulması gereken sorulardır.

Vladimir Kropotov ve Martin Roesler’ın katkılarıyla

Etiketler

Uç noktalar

|

Siber Suçlar

|

Araştırma

|

Mobil

|

Makaleler, Haberler, Raporlar

|

Siber Tehditler

Yazarlar• Fernando Merces
Kıdemli Tehdit Araştırmacısı

Erin Johnson
Tehdit Araştırmacısı

İletişime Geçin

İlgili Makaleler• DarkSide Fidye Yazılımı ve ABD Boru Hattı Saldırısı Hakkında Bildiklerimiz• Japon Kullanıcıları Hedef Alan Dolandırıcılık ve Kimlik Avı Üzerine Trend Micro ve JC3 Çalışması• Çok Katmanlı Siber Güvenlik Tehditlerini Önleme

Arşivler

Evden Çalışırken Fidye Yazılımları Önleme

Birçok çalışan evinde üstünkörü çalışma alanları oluşturuyor. Bu tür çalışma ortamları, çalışanları güvenli olmayan alanlardaki açıklıklardan faydalanmaya çalışan fidye yazılımlara karşı daha savunmasız bırakabiliyor.

Fidye yazılımlar, ofislerin tamamını ve hatta akıllı fabrikaları durma noktasına getirebilecek gelişmiş türleriyle yıllardır kuruluşları ve çalışanları hedef alıyor. Bunlar, genellikle bilgisayarlara kötü amaçlı e-postalar ile bulaşıp önemli dosyaları şifreleyen tehlikeli ve kötü amaçlı yazılımlardır. Uzaktan çalışmanın bir standart haline geldiği günümüz ortamında ise bu tür yazılımlar son derece ciddi bir tehdittir. Çalışma düzeninde yaşanan ani değişiklik, çok sayıda çalışanın güvenli olmayan ev ağlarını ve ortak alanları kullanarak üstünkörü ofisler kurmasına neden oldu. Evden çalışanlar, birden fazla e-postayı açmak gibi gündelik işlemlerden faydalanmaya çalışan bu kurnaz saldırılara karşı çok daha savunmasız.

Bu saldırılarda kötü amaçlı yazılımlar aynı ağdaki diğer bilgisayarlara bulaşıp bir cihazdan diğerine geçerek tüm bilgisayarları kullanılamaz hale getirebiliyor. Bu da başarılı fidye yazılım saldırılarının büyük zararlara yol açabileceği anlamına geliyor. Evden çalışan tek bir kişinin bilgisayarının ele geçirilmesi, tüm kurumsal ağı etkileyen bir saldırının başlangıç noktası olarak kullanılabiliyor. Kurumsal ağın ele geçirilmesinin ardından, fidye yazılım saldırganları genellikle tüm dosyalarının şifresini çözmek ve kullanıcının ya da kuruluşun operasyonlarını normal bir şekilde devam ettirebilmesine izin vermek için yüklü miktarda ödeme talep ediyor.

Aşağıdaki makale, evden çalışan kişilere fidye yazılım saldırılarının nasıl işlediği hakkında genel bir bakış sunmakta ve evlerde oluşturulan ofis ortamlarındaki zayıf noktalara yönelik eyleme dönüştürülebilir bilgiler sağlamaktadır. Ayrıca, bu makalede, çalışanların bu tehditlere karşı nasıl birlikte korunabileceklerine ilişkin önlemlerden oluşan bir liste de sunuyoruz.

Fidye Yazılım Saldırıları Nasıl İşliyor?

Fidye yazılım saldırganları genellikle büyük hedeflerin peşindedir. VPN ağı üzerinden bağlanacağınız kurumsal ağlara veya iş ya da dosya paylaşımı amacıyla kullandığınız bulutta barındırılan ortamlara erişmek isterler. Amaçları ise kuruluşunuzun tüm ağını ele geçirerek verilerinizi önce çalmak sonrasında da şifrelemektir.

pastedGraphic.png

Şekil 1. Tipik bir fidye yazılım bulaşma zinciri örneği

Oltalama e-postaları, fidye yazılım saldırganlarının en yaygın olarak kullandığı yöntemdir. Bu kötü amaçlı aktörler, tehditle karşılaşabileceğinden şüphe duymayan kullanıcıları hedef alır ve bu kişilerin kötü amaçlı yazılımlar içeren web sitesi bağlantılarına tıklamalarını ya da fidye yazılımın bulaşma sürecini başlatan tehlikeli dosyaları indirmelerini sağlama konusunda uzmandır. Aşağıda, fidye yazılımlarının savunmasız ev kurulumlarına girmesinin yollarından bazıları verilmiştir:

  • Fidye yazılımın görev yükünün tamamını gönderebilmek için e-posta hesaplarını, uzak masaüstü araçlarını (Microsoft Remote Desktop veya RDP), bulut tabanlı depolama alanlarını/ağları ve benzer ortamları hedef almak. Saldırganlar bunu oltalama e-postaları yoluyla yapabilir veya belirli araçları tarayıp sonrasında parolayı tahmin etmeye çalışabilirler (bu yöntem kaba kuvvet olarak bilinir). EvilQuest adlı yeni bir Mac fidye yazılımı, siz yazarken parolaları yakalayarak fidye yazılım saldırganlarının verileri çalmasına ve kurumsal portalda oturum açtığınızda bunları kötü amaçlı yazılımı bulaştırmak için kullanmasına olanak tanıyan bir tuş kaydediciye sahiptir.
  • Kötü amaçlı yazılımlar için VPN ağınızı veya uzak masaüstü yazılımınızı hedeflemek. Bunu yapmanın en popüler yollarından biri de yine oltalama yöntemi. Bunun yanı sıra, saldırganlar kötü amaçlı yazılımları torrent sitelerinde veya uygulama mağazalarına yüklenen uygulamalardaki popüler yazılımlara da gizleyebiliyor.
  • Açıklıkları, varsayılan parolaları veya kolay tahmin edilebilir şifreleri kullanarak akıllı ev cihazlarını ve yönlendiricileri hedeflemek. Tehdit aktörleri bu cihazları hedefleyerek çalışanların ev ağlarını kurumsal ağlara ulaşmak için kullanmaktadır.

Fidye Yazılımlardan Nasıl Korunabilirsiniz?

Uzaktan çalışan kişiler, yeni fidye yazılımların neden olacağı peş peşe riskleri azaltmaya yardımcı olmak için nispeten basit adımlar atabilirler. 

Kişisel bilgilerinizi göndermekten kaçının

Bazı kötü amaçlı saldırganlar herkese açık bilgileri ele geçirip bunları daha hassas olan kişisel bilgilere erişmek ya da cihazınıza kötü amaçlı yazılımlar gönderip dağıtmak için kullanabilir. Bu bilgiler genellikle sosyal medya sitelerinden ve herkese açık profillerden alınır. İnternette hangi bilgileri paylaştığınız konusunda dikkatli olun. Yalnızca gerçekten gerekli durumlarda özel bilgilerinizi sağladığınızdan emin olun.

Parola hijyeninizi güçlendirin 

Evden çalışanlar, e-posta ve diğer hesaplarının parolaları için en iyi uygulamaları benimsemelidir: Parolalarınız en az sekiz karakter ve sembolden oluşmalı; tekrarlar, art arda sıralamalar veya desenler içermemeli ve birbirinden farklı olmalıdır. Bazı çevrimiçi kurumsal araçlar ve portallar saldırganların kaba kuvvet uygulayabileceği varsayılan değerlere sahip olabilir. Bu yüzden parolalarınızı düzenli olarak değiştirmek ve çok faktörlü kimlik doğrulaması kullanmak en iyisidir. Ayrıca, birden fazla parolayı ve oturum açma kimliğini tek bir güvenli konumda saklamak için parola yöneticisi kullanmak oldukça iyi bir yöntemdir.

Windows kullanıcıları Dosya Uzantılarını Göster seçeneğini etkinleştirmelidir

Dosya Uzantılarını Göster, kullanıcılara açılmakta olan dosyanın hangi türde olduğunu gösteren yerleşik bir Windows işlevidir. Bazı durumlarda kötü amaçlı saldırganlar “photo.avi.exe.” örneğindeki gibi iki adet uzantı şeklinde görünen dosya isimleri kullanır. Kullanıcılar, ne açtıklarını kontrol etmek ve şüpheli görünen dosyalardan kaçınmak için bu Windows özelliğini kullanmalıdır.

Yalnızca güvenilir e-posta eklerini açın 

Fidye yazılımlar genellikle kötü amaçlı eklentiler içeren istenmeyen e-postalar ile bulaşır ve birçok saldırgan, kullanıcıların dikkatini çekecek en etkili konu başlıkları konusunda uzmandır. Ayrıca, saldırganlar kötü amaçlı görev yüklerini çoğu zaman yaygın dosya türlerinde gönderir. Jpeg dosyaları, Word belgeleri Excel sayfaları ve ofislerin sürekli kullandığı diğer eklentilerde bu tür yazılımlar bulunabilir. Kullanıcılar başta kuruluşlarında çalışmayan kişiler olmak üzere bilinmeyen gönderenlerden gelen e-posta eklerine karşı dikkatli olmalıdır. Bazı fidye yazılım aktörleri ise gönderdikleri spam postalarda alışılmadık dosya türleri kullanır ve kullanıcıların bunlara bakmadan hemen tıklayacaklarına güvenir. Bu postalara karşı dikkatli olun ve şüpheli dosya uzantılarını (.EXE, .VBS veya .SCR gibi) açmayın. Hatta dilerseniz siz de bazı kullanıcıların yaptığı gibi web posta sunucularını bu ekleri engelleyecek şekilde yapılandırabilirsiniz. 

Bilgisayarınızda şüpheli davranışlar gerçekleşiyorsa internet bağlantısını devre dışı bırakın

Fidye yazılımların şifreleme işlemini tamamlaması için genellikle bir komuta ve kontrol (C&C) sunucusuna bağlanması gerekir. İnternet erişimi olmadığında, fidye yazılım bulaştığı cihazda kullanılamaz hale gelecektir. Kullanıcı saldırının ilk aşamalarında fidye yazılımı tespit etmeyi başarırsa internet erişimini devre dışı bırakarak olası zararları azaltabilir. 

Kullanabileceğiniz tüm araçlardan ve güvenlik özelliklerinden yararlanın

Birçok cihaz ve yazılım halihazırda entegre edilmiş olan ve sürekli güncellenen güvenlik özelliklerine sahiptir. Ev tipi yönlendiricinizin ürün yazılımını, bilgisayarlarınızın işletim sistemlerini ve yazılımını, mobil cihazlarınızı ve tarayıcıları en son sürüme güncelleyin. Buna, şirketinizdeki tüm sanal araçlar ve VPN’ler de dahildir. Ayrıca, tüm cihazların güncel ağları ve güvenilir satıcılardan alınan uç nokta güvenliği çözümlerini çalıştırması gerekir. (Bu çözümler izinsiz giriş önleme, web tehdidi koruması, istenmeyen postaları önleme, kimlik avı koruması ve tabii ki fidye yazılımı önleme özelliklerini içermelidir.) Trend Micro Maximum Security yazılımı PC’ler, mobil cihazlar ve Mac’ten oluşan uç cihazlar için kapsamlı koruma sağlar. Bu koruma sayesinde fidye yazılım gibi tehditleri önleyebilir ve kötü amaçlı oltalama e-postalarını engelleyebilirsiniz.

Fidye Yazılımların Yol Açtığı Riskler

Uzaktan çalışan ve fidye yazılımların kurbanı olan şansız kişiler, eğer yedekleri yoksa büyük ihtimalle verilerinin çoğunu kaybedecek ve kötü amaçlı yazılım şirketlerindeki BT ekibi tarafından kaldırılmadıkça bilgisayarlarını kullanamayacaklardır. Yaşanabilecek en kötü senaryo ise kötü amaçlı yazılımın bu kullanıcıların bilgisayarlarını saldırının başlangıç noktası olarak kullanıp şirket ağına sızması olacaktır. Son zamanlarda fidye yazılım saldırganları yalnızca kurbanlarının dosyalara erişimini engellemekle kalmıyor. Fidyeyi ödememeleri durumunda da kurbanlarını verileri ifşa etmekle tehdit ederek “çifte şantaj tekniğini” kullanıyorlar.

Bir fidye yazılımın başarılı olması halinde kurtarma maliyetleri oldukça yüksektir. Değerli verilerin kaybedilmesine ek olarak, makinelere erişim sağlanamadığı için durmak zorunda kalan işlemler, şirketin kar hanesini büyük ölçüde etkiler. Saldırıdan zarar görmeleri halinde cihazların yeniden yüklenmesi veya değiştirilmesi gerekebileceğinden bahsetmemize gerek bile yok. Bununla ilgili yaşanan en kötü örneklerden biri, nakliye devi Maersk’in karıştığı olaydır. Şirket, saldırı sonrasında işlerinin kesintiye uğraması ve kurtarma masrafları nedeniyle 300 milyon ABD doları ödemek zorunda kaldı.

Fidye yazılımların beraberinde getirdiği riskler hem uzaktan çalışanlar hem de kuruluşlar için oldukça ciddidir. Bununla birlikte, tehdidi yönetmenin ve azaltmanın en iyi yolu, interneti kullanırken şüpheli davranışları tespit etmek için daima tetikte olmak ve yukarıda özetlenen en iyi uygulamaları takip etmektir. Her geçen gün daha fazla kuruluşun ve çalışanın uzaktan çalışma alanlarını benimsediği günümüzde, yeni normalimiz çalışma ortamını güvenli hale getirmek olmalıdır.

Siber Suç ve Dijital Tehditler, Fidye Yazılımlar, Kurumsal yazılarında yayınlanmıştır.

Microsoft Exchange Saldırısından Etkilendim, Ne Yapmalıyım?

Kısa süre önce gerçekleşen Microsoft Exchange Server saldırısı gibi büyük boyutlu siber casusluk saldırılarına nadiren tanık oluyoruz. Microsoft’a göre saldırının arkasında, Çin’in desteklediği ve dört güvenlik açığını kötüye kullanan bir saldırgan grubu var.

Yazar: Trend Micro

8 Mart 2021

Okuma süresi: 2 dakika

Sadece ABD’de 30 bin kurumun saldırıdan etkilendiği düşünülüyor. Bilgisayar korsanlarının kurbanların sistemlerini uzaktan kontrol ettiği düşünüldüğünde ise dünya çapındaki rakamlar daha çarpıcı olabilir. Shodan platformu üzerinden gerçekleştirdiğimiz son kontrollerde, bu güvenlik açıklarını gidermeyen 63 bin civarında korunmasız sunucu olduğunu tespit ettik.

Kurumların önceliği Microsoft’un sağladığı yamaları kullanarak sunucuların açıklarını kapatmak olmalıdır. Ancak yamaların hemen uygulanamayacağı durumlarda korunmasız sunucuların İnternet bağlantısı vakit kaybedilmeden kesilmelidir. Bu sırada Exchange sunucusuyla çalışan herkesin olası güvenlik ihlallerini tespit etmek için sistemlerini kontrolden geçirmesi gerekiyor.

Hem Microsoft’un hem de diğer otoritelerin konuyla ilgili önerilerine tamamen katıldığımızı belirtelim. Ayrıca XDR müşterileri, Trend Micro Vision One’daki hazır sorgu kalıplarını kullanarak sistemlerinin güvenliğinin ihlal edilip edilmediğini kontrol edebilir. Bu sorgu kalıplarına Knowledge Base bölümünde yayınladığımız yazıdan erişebilirsiniz. Aynı yazıda müşterilerimizin tüm güvenlik çözümlerinde uygulayabileceği ek tespit sistemleri ve koruma önlemlerinden de bahsettik.

Peki ne olmuştu?

Saldırıların izi şimdilik, Microsoft Exchange Server’daki dört farklı sıfır gün güvenlik açığının kötüye kullanılmaya başladığı 6 Ocak 2021 tarihine kadar sürülebildi. Saldırıyı gerçekleştiren yeni bilgisayar korsanlarına Microsoft sonradan “Hafnium” adını verdi. Saldırganlar, gerçek adreslerini gizlemek için ABD’de bulunan sanal özel sunucuyu (VPS) kullandı. Microsoft, her zamanki rutin yama tarihlerinin dışına çıkarak bir acil durum yaması yayınladı. Yamanın açıklama bölümünde Microsoft konuyla ilgili bazı konulara değindi:

“Saldırganlar, incelediğimiz saldırılarda güvenlik açıklarından yararlanarak e-posta hesaplarına erişime izin veren kurum içi Exchange sunucularına sızdı. Güvenlik açıkları, sızılan sistemlere uzun vadeli erişimi kolaylaştıran başka kötü amaçlı yazılımların kurulmasına neden oldu.”

Bu açıkların her biri art arda kullanılsaydı saldırganlar kendilerini yetkili Exchange sunucusu gibi tanıtabilir, Sistem kimliği altında kod çalıştırabilir ve sunucudaki yollara istedikleri dosyaları yazabilirlerdi. Hafnium grubunun, dört güvenlik açığını kötüye kullandıktan sonra saldırıyı bir adım ileriye taşıyarak kurbanlarının bilgilerini çalmaya devam etmek ve başka kötü amaçlı saldırılarda bulunabilmek için sistemlere web kabukları yerleştirdiği söyleniyor. Bu saldırılar kapsamında, kurumları zarara uğratabilecek fidye yazılımlar da sistemlere yüklenebilirdi.

Hem Beyaz Saray hem de ABD Siber Güvenlik ve Altyapı Güvenliği Kurumu (CISA) saldırıların geniş kapsamlı olabilecek sonuçlarından ötürü oldukça kaygılı. CISA, devlet kurumlarındaki Exchange sunucularının vakit kaybedilmeden güncellenmesi veya İnternet bağlantılarının kesilmesine dair bir talimat yayınladı.

Saldırılar, 2021 Ocak’ında yayınladığımız Chopper ASPX web kabuğu araştırmasıyla da bağlantılı olabilir. Trend Micro Research’ün, saldırıların birbiriyle nasıl ilişkili olduklarına ve gelecekte başka saldırılar olup olmayacağına dair analizleri devam ediyor.

Saldırıdan etkilendim mi?

Microsoft’un yaptığı ilk değerlendirmede, Hafnium’un bulaşıcı hastalık araştırmaları, hukuk, yüksek öğrenim, savunma, siyasetle ilgili düşünce kuruluşları ve STK’lar gibi sektörlerdeki kuruluşları hedef aldığı iddia edildi. Ancak, geniş kapsamlı en son saldırı dalgasında başka saldırganların da furyaya katılmış olabileceğine dair görüşler öne sürülüyor. CISA’nın eski şefi Chris Krebs, kaynağı ne olursa olsun bu saldırıların, genellikle güvenliğe az kaynak ayırabilen KOBİ’leri, eğitim sektöründeki kurumları ve eyaletlerle yerel yönetimleri daha şiddetli etkilenmiş olabileceğini düşünüyor.

Kurumunuzdaki Exchange Server sistemlerinin saldırıdan etkilenip etkilenmediğini aşağıdaki talimatları takip ederek kontrol edebilirsiniz:

  • Sunuculara sızılıp sızılmadığını kontrol etmek için Microsoft detection tool yazılımı aracılığıyla Exchange Server sistemlerinin kayıt günlüklerini tarayın.
  • Bu saldırıyla ilgili sızmayı somut olarak işaret eden göstergeleri (IoC) tespit etmek için Trend Micro Vision One aracılığıyla tarama yapın.

Bu adımlardan sonra ne yapmalıyım?

Taramanız sistemin güvenliğinin ihlal edilmediğini gösterdiyse ancak yamaları henüz yüklememişseniz, Microsoft’un sitesine giderek yamaları yükleyin.

Microsoft’un aracını kullanarak yaptığınız taramada sisteminizin güvenliğinin ihlal edilmiş olabileceğine dair kanıtlara rastlanmışsa bu güvenlik ihlalini bildirmeniz gerekmektedir.

Ancak izleyeceğiniz prosedürler kurum içi kaynaklara ve içinde bulunduğunuz şartlara göre değişir. KOBİ’ler ve büyük şirketler için tavsiyelerimiz aşağıdadır:

  1. Kurum içinde bir güvenlik ekibiniz yoksa, güvenlikle ilgili destek aldığınız hizmet sağlayıcısına veya Yönetimli hizmet Sağlayıcınıza başvurun.
  2. Kurum içinde güvenlik açıklarına müdahale edebilecek bir ekibiniz varsa atmanız gereken adımlara bu ekip karar verecek.
  3. Sızmayı somut olarak işaret eden göstergelerin sisteminizde olduğundan emin olmak için kapsamlı bir tarama yapılana kadar sistemlerinizi başka cihazlara kopyalamayın.
  4. Güvenlik ihlaliyle ilgili bildirim gereklilikleriyle hakkında bilgi almak için hukuk biriminizle görüşün.

Trend Micro’nun bu saldırıya özel tespitleri ve ek güvenlik önlemleri hakkında daha fazla bilgi edinmek için Knowledge Base bölümünde yayınladığımız ve yeni bilgiler aldıkça güncellediğimiz yazıyı inceleyebilirsiniz: https://success.trendmicro.com/solution/000285882.