Etiket arşivi: ghost click

2011 veri ihlalleri yılı oldu

2011 yılı sadece Trend Micro için değil, bütün güvenlik endüstrisi ve siber suçla savaşan yasa yürütücüler için mücadele ve kazançla dolu bir yıl oldu. Gerçekleşen öngörülerimizden birinde belirttiğimiz gibi 2011, “Veri İhlalleri Yılı” unvanını kazandı. Bu paralelde, dünya çapında pek çok organizasyonun gerçekleşen ihlal saldırıları karşısında çaresiz kaldığına ve kaybettiğine şahit olduk. Bu durum bize yeni dijital paranın veri olduğunu gösterdi.

Tabii ki yeni yılda gelişebilecek tehditlere karşı hazırlıklarımız sürüyor. Bununla birlikte isterseniz şimdi gerçekleşen 2011 yılı öngörülerimize ve Trend Micro olarak güvenlik endüstrisinin siber suçlarla bitmeyen savaşında kazandığı zaferlere nasıl katkıda bulunduğumuza bir bakalım.

Öngördüğümüz

Gerçekleşen

Daha fazla hedefe odaklı ve siber casusluğa dayalı saldırılar göreceğiz.

Öngördüğümüz gibi dünya çapında çok sayıda organizasyon saldırıların hedefi oldu ve bu saldırılar onlara pahalıya patladı. RSA ve Sony PlayStation (2011’deki en büyük iki hedef) milyonlarca müşterinin verisini kaybetti ve bu durumdan doğan zararı gidermek adına çok büyük paralar harcamak zorunda kaldı.

Mobil cihazları hedefleyen daha fazla saldırı göreceğiz.

Android bazlı zararlı yazılım hacmindeki hızlı büyüme, mobil tehdit alanının olgunlaşmasını sağladı. RuFraud ve DroidDreamLight sürümleri sayesinde, trojanlar ve diğer zararlı Android uygulamaları sadece üçüncü parti uygulama mağazalarına girmekle kalmadı, Android Market platformuna da girdi.

Daha akıllı hale gelen zararlı yazılım kampanyaları göreceğiz.

Siber suçlular, sosyal mühendislik hilelerini ve inovatif yöntemleri kullanarak ilginin her geçen gün daha da arttığı sosyal ağlarda daha fazla spam ve sahtekarlık uygulamasına imza attı. Binlerce sosyal medya kullanıcısı, gizliliklerine ve bazı zamanlar da kimliklerine mal olan çeşitli sahtekarlık yöntemlerinin ağına düştü.

Açıkların daha fazla kullanıldığını ve suiistimallerin evrildiğini göreceğiz.

Açıklardan yararlanılarak yapılan atakların sayısındaki düşüşe karşın, siber suçlular 2011’de de bu yöntemi kullanarak saldırı gerçekleştirmeyi sürdürdüler. Bu saldırıların ilk üç sıralamasında yer alan ataklar CVE-2011-3402, CVE-2011-3544 ve CVE-2011-3414) şaşılmayacak şekilde en iyi 5 üretici sırlamasında ilk üçü oluşturan Microsoft, Oracle ve Apple ürünlerini hedeflediler.

Eski zararlı yazılımların yeniden etkin olduğunu ve siber suç dünyasında birleştiğini göreceğiz.

Tehdit alanında yeni yöntemler bulunmasa da geleneksel tehditler de kullanıcıların canını yakmayı sürdürdü. Bu tekniklerin bir sona geldiği düşünüldüğü anda, geleneksel tehditler yeni ve daha iyi araçlarla donanmış şekilde durumdan habersiz kullanıcıların sistemlerini ve diğer cihazlarını enfekte etmek üzere geri geldiler.

2011’de haktivizmin bu kadar öne çıkacağını öngörmememize rağmen, AntiSec ve LulzSec’in çeşitli kurumlara karşı tehdit yaratan saldırılar gerçekleştirdiğine şahit olduk. Haktivist gruplar, politik konular ve benzeri başlıklar nedeniyle kullanıcılara karşı ataklarına devam ettiler.

Tabii 2011 tümüyle kötü geçen bir yıl değildi. Geçtiğimiz yıl siber suça karşı bitmeyen savaşımızda çok sayıda zafere de imza attık. Trend Micro olarak, sektörel iş ortaklarımızla ve yasa uygulayıcı otoritelerle “En büyük siber suç halkasının ele geçirilmesi” olarak kabul edilen Ghost Click operasyonunda ön plandaydık. Bireyler ve organizasyonlar bulut mimari yolculuğunda ilerledikçe, Trend Micro olarak yasa uygulayıcı siber suç savaşçıları ve güvenlik endüstrisinin işbirliğiyle, müşterilerimize bu konuda da çözümler sunmaya devam edeceğiz.

2011’e genel bir bakış: Kazanan Güvenlik!

…eğer kanıt varsa, hiç şüphe yok ki yasa uygulayıcılar devreye girecektir. Yine de ben bunun yüksek ihtimalle beklenmedik olduğunu düşünüyorum.

—Konstantin Poltev (Esthost/Rove Digital sözcüsü), 13 Ekim 2008

Geçmişte siber suçlular yakalanma olasılıklarının oldukça düşük olduğunu düşünürlerdi. Günümüzde ise kötü adamların bu konuda iki kere düşünmeleri gerekiyor. 2011’de siber suçlara karşı tarihi adımlar atıldı. Yasa uygulayıcılarla güvenlik endüstrisinin işbirliği yapması, siber suç dünyası için önemli yıkım ve tutuklamaları beraberinde getirdi. Sizin için 2011’de atılan önemli adımlardan bir derleme yaptık. İşte o adımlar:

Rustock

16 Mart 2011’de Microsoft, Rustock spam botnet’i alaşağı etti. Botnet’in komut ve kontrol (C&C) sunucularına yönelik gerçekleşen eş zamanlı yıkım harekatı, Rustock spam botnet’in sonunu getirdi. Rutstock zombileri tekrar hayata döndürülemedi. Çünkü Microsoft, Rutstock tarafından kullanılan sabit kodlu alan adlarının erişilebilir olmamasını sağladı. Botnet’in arkasındaki çete tutuklanmadı. Fakat Microsoft, Rusya’da gazetelere Rustock’un arkasındakilerin kimliklerinin tespit edilmesi, tutuklanması ve suçlu bulunması yönünde bilgi veren herkese 250 bin dolar teklif eden ilanlar verdi. Microsoft’un avukatları, Rustock’un sunucularına el koymak için hakları olduğuna dair, Seattle’daki federal mahkemeyi ikna etmek için sıra dışı argümanlar kullandılar. Bu dava, gelecek davalar için önemli bir emsal teşkil ediyor.

Kelihos

Geniş bir spam botnet’ini yok etmek, spam kapasitesinde önemli bir etki yaratır ve interneti herkes için daha güvenli bir yer haline getirir. Buna karşılık botnet’leri ortadan kaldırılsa bile bu bazı kötü çocukları suç işlemekten alı koymayacaktır. Bu güvenliği sağlamak isteyenler onların peşinde olsa bile. Waledac’tan sorumlu olan kişiler tarafından yapıldığına inanılan ve 2010’da ortadan kaldırılan Keliohos spam botnet’inş düşünelim.

Eylül 2011’de Microsoft, Kelihos’un C&C sunucularının davalıları bilgilendirmeden kullandığı IP adreslerini ve alan adlarını engelleme izni için yine bir federal jüriyi ikna etti. Çevrimdışı olan davalılardan biri  şikayette adı yer alan cz.cc alan adının sahibi idi. Cz.cc sahte (rogue) ikinci seviye alan adı (SLD) olduğu için bu atılan dikkat çekici bir adım oldu. Cz.cc’nin haklanması Kelihos’un C&C sunucuları tarafından kullanılmakta olan ya da kullanılmış yüz binlerce alt alan adının offline olmasını sağladı. Bu gelişme, diğer bütün sahte SLD’lerin suistimal olaylarında daha sorumlu hale gelmesi için önemli bir örnek teşkil ediyor.

CoreFlood

CoreFlood, veri çalan bir trojan tarafından kontrol altına alınan yüz binlerce bilgisayarın oluşturduğu bir botnet’ti. Bu kısmen tehlikeli botnet Nisan 2011’de FBI tarafından çökertildi. FBI botnet’in C&C sunucularını ele geçirdi ve bunları Haziran ayının ortasına kadar yönetti. FBI ABD’deki bot’lara kötücül yazılımın devre dışı kalması için bir dur komutu gönderdi. Bu şekilde ABD Hükümeti ilk defa bir botnet’in C&C altyapısını ele geçirdi ve bot’lara bu komut yollayarak onların bot yöneticileri tarafından erişilmesini imkansız hale getirmiş oldu.

Ghost Click

8 Kasım’da FBI, NASA ve Estonya Polisi ortak bir operasyonla Rove Digital’in DNS değiştirici altyapısını ele geçirdi. Bu Trend Micro, Internet System Consortium (ISC) ve diğer sektör iş ortaklarının işbirliğiyle gerçekleşen bir operasyondu. Estonia’da aynı zamanda altı zanlı ele geçirildi. Ele geçirilen bu isimler arasında Rove Digital’in CEO’su Vladimir Tsastsin ve onun sözcüsü Konstantin Poltev de vardı. ABD ve Esyonya’da farklı veri merkezlerinde yer alan 200’den fazla sunucuya el kondu. Milyonlarla nakit para bulunduran banka hesapları donduruldu ve diğer varlıkları da haczedildi. Bu şimdiye kadar yapılan en büyük siber suç operasyonlarından biri oldu. Bu operasyon yasa yürütücülerle güvenlik sektörünün başarılı işbirliği sonucu gerçekleşti.

Trend Micro bu operasyonda bileşenleri saptayarak ve Rove Digital’in geniş ağını görüntüleyerek önemli bir rol oynadı. ISC, kurbanları yabancı sitelere yönlendiren sahte DNS sunucularının yerini değiştirdi. Bu, DNS’i değişen milyonlarca kurbanın operasyondan sonra internet erişiminin kesilmemesi için çok önemliydi.

Avrupa’da IP adreslerini tahsis eden bölgesel IP organizasyonu Réseaux IP Européens (RIPE) de aynı zamanda Rove Digital’in Avrupa’daki IP adreslerini dondurdu. Bu sayede Rove Digital’in 8 Kasım’sda gerçekleşen operasyonda tutuklanmayan suç ortakları da sahte DNS altyapısını başka bir konuma taşıyamadılar ve operasyonlarını sürdüremediler. RIPE, IP adreslerini dondurarak tarihi ve cesur bir adım atmış oldu. Bağımsız kar amacı gütmeyen bir organizasyon olan RIPE NCC, mahkemede RIPE ile mücadele etmeye karar verdi. Aslında RIPE organizasyonunun IP alanındaki ısrarcı suistimalini zorlaştırmak anlamında yasal bir emsal olması açısından, bu kötü bir adım değil. Günümüzde siber suçlular için IP alanları sınırlı hale gelse de RIPE’tan IP adresi edinmek daha kolay görünüyor. Asya ya da ABD’de bu tip bir probleme rastlamadığımız için bunun RIPE’a özgü bir problem olduğunu söyleyebiliriz.

Chronopay

Haziran 2011’de kredi kartı takas odası Chronopay’in kurucusu ve CEO’su Pavel Vrublevsky, bir rakibe düzenlenen siber saldırıdan sorumlu tutulma iddiasıyla tutuklandı.  Chronopay’in başka bir büyük hissedarı olan Rove Digital’in CEO’su Vladimir Tsastsin de Ghost Click operasyonu nedeniyle tutuklandı. Chronopay’in sahte antivirüs (FAKEAV) satan siber suç çetelerinin tercih ettiği kredi kartı takas odası olması nedeniyle bu iki tutuklama dahte antivirüs işi açısından belirgin sonuçlar ortaya koyabilir.

2011 yasa yürütücü otoritelerle güvenlik sektörünün işbirliğinin büyük bir etki yaratabileceğini kanıtladı. Artık büyük siber suçlular için tutuklanmak an meselesi. Bu anlamda 2012’nin getireceklerini dört gözle bekliyoruz. Tek bir şeyden eminiz ki; Trend Micro siber suça karşı mücadeleyi desteklemeye devam edecek.