Rusya’nın yeraltı forumlarında gezinirken, ilginç bir iletiyle karşılaştık. İnsanlar yürüttükleri yasadışı faaliyetleri bu tarz forumlarda paylaşıyor. Burada karşılaştığımız bir kişinin iletisine inanmakta zorlandık. Zira ‘sourcec0de’ takma isimli bu kullanıcı, mysql.com ve onun alt domainlerinin sunucularına girmeyi öneriyor.

Aldığımız ekran görüntüsünde de verilen teklifi inceleyebilirsiniz. Forumdaki kişi sunuculara erişim sağlamak için 3 bin dolar istediğini belirtiyor. Ayrıca bu kişi oldukça profesyonel çalışarak paranın tahsili için de üçüncü parti bir aracı kullanarak sunucuya erişim sağlanana kadar paranın güvende kalmasını sağlıyor.

Daha önce ki araştırmalarımızda da ‘sourcecode’ isimli kullanıcının çalınmış PayPal hesapları sattığını ve botnetlerin yönetimi ile kontrolü konusunda tartışmalara katıldığını görmüştük.

Konuyla ilgili MySQL.com ile görüşmelerde bulunduk. Bu bilgilendirmeyi yapmamızın altında hacker’ların sadece çalınmış veriler ya da istenmeyen mesajlara, oltalama sitelerine yerleştirilen kötücül bağlantılarla para kazanmadığını göstermek yatıyor. Hacker’lar sunuculara erişim karşılığında önemli paralar talep edebiliyor.

Sourcec0de’un ifadesi doğru ya da yanlış bilmiyoruz ancak görünen o ki siber suçlular bu şekilde de hedef aldıkları sistemlere saldırabiliyor.

Yakın zamanda Google Wallet’ın tanıtıldığını duymuşsunuzdur. Geliştirilen sistemle cep telefonlarımızın aynı zamanda birer cüzdan olarak kullanılması hedefleniyor. Kurulan anında ödeme sistemi telefonun yanındaki bir terminal ve girilecek bir şifre ile ödemelerin gerçekleştirilmesini sağlıyor. Kulağa oldukça pratik ve keyifli geliyor. Yeni teknolojilere kesinlikle açık olmalıyız ancak bu teknolojileri kullanırken dikkatli olmamız gerekiyor.

İlk olarak bir Android telefona ihtiyacınız var. Andoid güzel bir yazılım olmasının yanında dünyanın en fazla saldırıya uğrayan mobil yazılımı olduğunu da unutmamak gerekiyor. Apple’ın en büyük rakibi olan yazılım, hızla artan bir kullanım oranına sahip. Android’in çokça saldırı alması nedeniyle kötü ya da riskli bir sistem olduğunu söylemek istemiyoruz, sadece çok saldırı alındığı için dikkatli olunması gerekiyor. Şimdilik aklımızda bunun olması yeterli.

Bu sistemde RFID’ye pek de benzemeyen NFC (Yakın Alan İletişimi) kullanılıyor. Telefona yerleştirilen küçük bir yonga sizin terminal tarafından tanınmanız için kullanılıyor. Bu yonga aynı zamanda kredi kartınızın kullanılması için gereken bilgileri aktarıyor. Bu kullanışlı teknoloji saldırganlar için önemli bir tehdit haline geliyor.

Mobil platformlar işte şimdi bir hedef

Rahatlıkla söyleyebiliriz ki, paranın kolay kullanımı ve dijitalleşme varsa saldırganlar için açık hedef haline gelmişsiniz demektir. Amacımız sizleri ürkütmek değil elbette. Herhangi bir saldırı gerçekleştirildiğinde Google, gerekli çalışmaları yapıp özel bir yama yayımlıyor.

Mobil cihazlara artan saldırılardan sıkça söz ediyoruz. Hackerlar sadece eğlence için bu platformlara saldırmıyor, öncelikle para peşinde koşuyor. Şimdi cüzdanımızla akıllı telefonumuz bir araya geliyor. Bu sebeple Android cihazlarınız için mutlaka bir antivirüs programı kullanmanızı tavsiye ediyoruz. Çünkü artık cüzdanınızı da korumanız gerekiyor.

Google Wallet teknolojisi geldiğinde elbette kullanmaktan çekinmeyin. Akıllı telefonunuzda antivirüs yazılımı olsa bile paranoyak fikirler kafanızdan gitmiyorsa ön ödemeli kredi kartlarını kullanmayı deneyebilirsiniz. Böylece tüm kredi kartı hesabınızı değil, çok daha cüzi bir miktarı riske atmış olursunuz.

“Soldier” takma isimli hacker tarafından gerçekleştirilen saldırı; ABD şirketlerini kendi ağlarını tehdit ediyor. Altı ayda 3,2 milyon dolar çalan yazılım, organizasyonları ve onların müşterilerini gelecek saldırılara karşı savunmasız bırakıyor. 90’nın üzerinde ülke ise bu saldırıdan etkileniyor.

Bir süredir 20’li yaşlarında, Rusya’da yaşayan bir siber suçluyu araştırıyoruz. Araştırmalarımız sırasında bu saldırgan gencin, SpyEye/ZeuS ikilisini yaymaya yönelik blackhat SEO’yu çalıştırmak için exploit kitler kullandığı gibi SpyEye ve ZeuS dahil çeşitli suç araçlarından da faydalandığını gördük.

Suç dünyasında Soldier olarak bilinen saldırgan, SpyEye, bir aracı ve bir başka suç ortağı aracılığıyla Ocak 2011’den itibaren 6 aylık sürede 3,2 milyon doların üzerinde bir para çaldı. Bu aylık yaklaşık 533 bin dolar, günlük olarak da 17 bin dolar anlamına geliyor.

Soldier, temel olarak ABD’deki kullanıcıları hedefliyor ve sırf bu ülkedeki başarılı atakların sayısını çoğaltmak için diğer siber suçlulardan ABD trafiği satın alıyor. Ayrıca güvenilir hesaplardan para çalmak için kötücül yazılımlar aracılığıyla kullanıcıların güvenlik kimliklerini çalıyor.

Dikkat edilmesi gereken tehlike

SpyEye komut ve kontrol sunucusu tarafından kaydedilen kurbanlara ait IP adreslerini kullanarak, bu IP adresinin kayıtlı olduğu ağı tanımlayabildik. Bu çalışma sonucunda geniş çerçevede, organizasyonun ve farklı sektörlerden çok sayıda çokuluslu ABD şirketinin kurbanlar arasında olduğunu gördük.

Bu organizasyon ve şirketlerin asıl hedef olduğuna inanmıyoruz. Bunun yerine son kullanıcılara dolaylı bir saldırı olduğunu düşünüyoruz. Ele geçirilen sistem bilgileri, alışılageldiği üzere veri çalan diğer suçlulara satılıyor. Bununla birlikte daha fazla sahtekarlık ve saldırı için bu ağlar daha hassas hale getiriliyor.

Tanımlanan kurbanların IP adresleri aşağıdaki tür organizasyonlara ait:

• ABD hükümeti (yerel, federal)
• ABD ordusu
• Eğitim ve araştırma enstitüleri
• Bankalar
• Havaalanları
• Diğer şirketler (otomobil, medya, teknoloji)

Hedef ülkeler arasında Türkiye de bulunuyor

Saldırganın altyapısı, 2011’de 19 Nisan’la 29 Haziran arasında 25 bin 394 sistemi tehlikeye attı. Ve neredeyse bütün kurbanlar ABD’de bulunurken ayrıca Türkiye’nin de aralarında bulunduğu 90 ülkeden kurbanlar da söz konusuydu.

SpyEye’ın özellikle Windows sistemi ve Windows XP için üretilmiş. Bu nedenle güvenlik konusunda yapılan geliştirmelere karşın yaklaşık 4 bin 500 Windows 7 yüklü bilgisayar tehdit altında.

Çalınan veri

SpyEye bankacılık trojanı olarak bilinirken, her çeşit kimlik formunu çalma yeteneğine de sahip. İyi bilinen servisler için verileri işleme tabi tuttuk ve özellikle Facebook’tan çalınan birçok kimlik bulduk. Şu anda kurbanları bu konuda bilgilendirmek üzere çalışmalarımız sürüyor. Web itibar teknolojimizi kullanarak ilgili sitelere erişimi de engelledik.

Bu tip bilgiler bize SpyEye ile tasarlanan bir botnet’te neler olup bittiği hakkında daha net bakış açısı kazandırıyor. Umuyoruz ki siber suçluların nasıl iş yaptığı, hedefleri ve ne tür bilgi aradıklarını bulmaya yönelik çabalarımız, bu tür tehditleri yok etmemize ve onların kullanıcıların alın teriyle kazandıkları paraları çalmalarına engel olmamıza yardımcı olacak.

Bu kadar yaygın ölçekte söz konusu olan tehlike, çalınan miktara bakıldığında SpyEye gibi araçları kullanan suçlular için sıra dışı değil ve çok sayıda organizasyonun potansiyel olarak etkilenmiş olması ciddi şekilde endişelere yol açıyor.

Apple’ın güvenlik açıkları nedeniyle ürünlerindeki tarayıcılara koymak istemediği Flash oynatıcının güvenlik açıkları ortaya çıktı. Adobe bu açıklar için bir yama yayımladı.

Yamayla birlikte Flash’ın tarayıcılara getirdiği toplam 6 açığın giderildiği duyuruldu. Saldırganların bu açıkları kullanarak hedefli saldırılarda bulunduğu ve zararlı yazılım bulunan e-postaların doğrudan kullanıcılara iletilmesini sağladığı bildirildi.

Bu açıklar Google’ın konuyla ilgili biriminin çalışmaları sonucunda ortaya çıktı ve Chrome kullanıcılarının açıklardan etkilenmemesi için önlemler alındı. Bizim de kullanıcılara tavsiyemiz, mutlaka güncelleştirmeleri yapmaları yönünde.

Kullanıcılar http://get.adobe.com/tr/flashplayer/ adresinden güncelleştirmelerini gerçekleştirebilirler.