“Asker”in SpyEye oyunu

“Soldier” takma isimli hacker tarafından gerçekleştirilen saldırı; ABD şirketlerini kendi ağlarını tehdit ediyor. Altı ayda 3,2 milyon dolar çalan yazılım, organizasyonları ve onların müşterilerini gelecek saldırılara karşı savunmasız bırakıyor. 90’nın üzerinde ülke ise bu saldırıdan etkileniyor.

Bir süredir 20’li yaşlarında, Rusya’da yaşayan bir siber suçluyu araştırıyoruz. Araştırmalarımız sırasında bu saldırgan gencin, SpyEye/ZeuS ikilisini yaymaya yönelik blackhat SEO’yu çalıştırmak için exploit kitler kullandığı gibi SpyEye ve ZeuS dahil çeşitli suç araçlarından da faydalandığını gördük.

Suç dünyasında Soldier olarak bilinen saldırgan, SpyEye, bir aracı ve bir başka suç ortağı aracılığıyla Ocak 2011’den itibaren 6 aylık sürede 3,2 milyon doların üzerinde bir para çaldı. Bu aylık yaklaşık 533 bin dolar, günlük olarak da 17 bin dolar anlamına geliyor.

Soldier, temel olarak ABD’deki kullanıcıları hedefliyor ve sırf bu ülkedeki başarılı atakların sayısını çoğaltmak için diğer siber suçlulardan ABD trafiği satın alıyor. Ayrıca güvenilir hesaplardan para çalmak için kötücül yazılımlar aracılığıyla kullanıcıların güvenlik kimliklerini çalıyor.

 

Dikkat edilmesi gereken tehlike

SpyEye komut ve kontrol sunucusu tarafından kaydedilen kurbanlara ait IP adreslerini kullanarak, bu IP adresinin kayıtlı olduğu ağı tanımlayabildik. Bu çalışma sonucunda geniş çerçevede, organizasyonun ve farklı sektörlerden çok sayıda çokuluslu ABD şirketinin kurbanlar arasında olduğunu gördük.

 

Bu organizasyon ve şirketlerin asıl hedef olduğuna inanmıyoruz. Bunun yerine son kullanıcılara dolaylı bir saldırı olduğunu düşünüyoruz. Ele geçirilen sistem bilgileri, alışılageldiği üzere veri çalan diğer suçlulara satılıyor. Bununla birlikte daha fazla sahtekarlık ve saldırı için bu ağlar daha hassas hale getiriliyor.

Tanımlanan kurbanların IP adresleri aşağıdaki tür organizasyonlara ait:

  • ABD hükümeti (yerel, federal)
  • ABD ordusu
  • Eğitim ve araştırma enstitüleri
  • Bankalar
  • Havaalanları
  • Diğer şirketler (otomobil, medya, teknoloji)

Hedef ülkeler arasında Türkiye de bulunuyor

Saldırganın altyapısı, 2011’de 19 Nisan’la 29 Haziran arasında 25 bin 394 sistemi tehlikeye attı. Ve neredeyse bütün kurbanlar ABD’de bulunurken ayrıca Türkiye’nin de aralarında bulunduğu 90 ülkeden kurbanlar da söz konusuydu.

SpyEye’ın özellikle Windows sistemi ve Windows XP için üretilmiş. Bu nedenle güvenlik konusunda yapılan geliştirmelere karşın yaklaşık 4 bin 500 Windows 7 yüklü bilgisayar tehdit altında.

 

Çalınan veri

SpyEye bankacılık trojanı olarak bilinirken, her çeşit kimlik formunu çalma yeteneğine de sahip. İyi bilinen servisler için verileri işleme tabi tuttuk ve özellikle Facebook’tan çalınan birçok kimlik bulduk. Şu anda kurbanları bu konuda bilgilendirmek üzere çalışmalarımız sürüyor. Web itibar teknolojimizi kullanarak ilgili sitelere erişimi de engelledik.

 

Bu tip bilgiler bize SpyEye ile tasarlanan bir botnet’te neler olup bittiği hakkında daha net bakış açısı kazandırıyor. Umuyoruz ki siber suçluların nasıl iş yaptığı, hedefleri ve ne tür bilgi aradıklarını bulmaya yönelik çabalarımız, bu tür tehditleri yok etmemize ve onların kullanıcıların alın teriyle kazandıkları paraları çalmalarına engel olmamıza yardımcı olacak.

Bu kadar yaygın ölçekte söz konusu olan tehlike, çalınan miktara bakıldığında SpyEye gibi araçları kullanan suçlular için sıra dışı değil ve çok sayıda organizasyonun potansiyel olarak etkilenmiş olması ciddi şekilde endişelere yol açıyor.

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir