Etiket arşivi: kelihos

2011’e genel bir bakış: Kazanan Güvenlik!

…eğer kanıt varsa, hiç şüphe yok ki yasa uygulayıcılar devreye girecektir. Yine de ben bunun yüksek ihtimalle beklenmedik olduğunu düşünüyorum.

—Konstantin Poltev (Esthost/Rove Digital sözcüsü), 13 Ekim 2008

Geçmişte siber suçlular yakalanma olasılıklarının oldukça düşük olduğunu düşünürlerdi. Günümüzde ise kötü adamların bu konuda iki kere düşünmeleri gerekiyor. 2011’de siber suçlara karşı tarihi adımlar atıldı. Yasa uygulayıcılarla güvenlik endüstrisinin işbirliği yapması, siber suç dünyası için önemli yıkım ve tutuklamaları beraberinde getirdi. Sizin için 2011’de atılan önemli adımlardan bir derleme yaptık. İşte o adımlar:

Rustock

16 Mart 2011’de Microsoft, Rustock spam botnet’i alaşağı etti. Botnet’in komut ve kontrol (C&C) sunucularına yönelik gerçekleşen eş zamanlı yıkım harekatı, Rustock spam botnet’in sonunu getirdi. Rutstock zombileri tekrar hayata döndürülemedi. Çünkü Microsoft, Rutstock tarafından kullanılan sabit kodlu alan adlarının erişilebilir olmamasını sağladı. Botnet’in arkasındaki çete tutuklanmadı. Fakat Microsoft, Rusya’da gazetelere Rustock’un arkasındakilerin kimliklerinin tespit edilmesi, tutuklanması ve suçlu bulunması yönünde bilgi veren herkese 250 bin dolar teklif eden ilanlar verdi. Microsoft’un avukatları, Rustock’un sunucularına el koymak için hakları olduğuna dair, Seattle’daki federal mahkemeyi ikna etmek için sıra dışı argümanlar kullandılar. Bu dava, gelecek davalar için önemli bir emsal teşkil ediyor.

Kelihos

Geniş bir spam botnet’ini yok etmek, spam kapasitesinde önemli bir etki yaratır ve interneti herkes için daha güvenli bir yer haline getirir. Buna karşılık botnet’leri ortadan kaldırılsa bile bu bazı kötü çocukları suç işlemekten alı koymayacaktır. Bu güvenliği sağlamak isteyenler onların peşinde olsa bile. Waledac’tan sorumlu olan kişiler tarafından yapıldığına inanılan ve 2010’da ortadan kaldırılan Keliohos spam botnet’inş düşünelim.

Eylül 2011’de Microsoft, Kelihos’un C&C sunucularının davalıları bilgilendirmeden kullandığı IP adreslerini ve alan adlarını engelleme izni için yine bir federal jüriyi ikna etti. Çevrimdışı olan davalılardan biri  şikayette adı yer alan cz.cc alan adının sahibi idi. Cz.cc sahte (rogue) ikinci seviye alan adı (SLD) olduğu için bu atılan dikkat çekici bir adım oldu. Cz.cc’nin haklanması Kelihos’un C&C sunucuları tarafından kullanılmakta olan ya da kullanılmış yüz binlerce alt alan adının offline olmasını sağladı. Bu gelişme, diğer bütün sahte SLD’lerin suistimal olaylarında daha sorumlu hale gelmesi için önemli bir örnek teşkil ediyor.

CoreFlood

CoreFlood, veri çalan bir trojan tarafından kontrol altına alınan yüz binlerce bilgisayarın oluşturduğu bir botnet’ti. Bu kısmen tehlikeli botnet Nisan 2011’de FBI tarafından çökertildi. FBI botnet’in C&C sunucularını ele geçirdi ve bunları Haziran ayının ortasına kadar yönetti. FBI ABD’deki bot’lara kötücül yazılımın devre dışı kalması için bir dur komutu gönderdi. Bu şekilde ABD Hükümeti ilk defa bir botnet’in C&C altyapısını ele geçirdi ve bot’lara bu komut yollayarak onların bot yöneticileri tarafından erişilmesini imkansız hale getirmiş oldu.

Ghost Click

8 Kasım’da FBI, NASA ve Estonya Polisi ortak bir operasyonla Rove Digital’in DNS değiştirici altyapısını ele geçirdi. Bu Trend Micro, Internet System Consortium (ISC) ve diğer sektör iş ortaklarının işbirliğiyle gerçekleşen bir operasyondu. Estonia’da aynı zamanda altı zanlı ele geçirildi. Ele geçirilen bu isimler arasında Rove Digital’in CEO’su Vladimir Tsastsin ve onun sözcüsü Konstantin Poltev de vardı. ABD ve Esyonya’da farklı veri merkezlerinde yer alan 200’den fazla sunucuya el kondu. Milyonlarla nakit para bulunduran banka hesapları donduruldu ve diğer varlıkları da haczedildi. Bu şimdiye kadar yapılan en büyük siber suç operasyonlarından biri oldu. Bu operasyon yasa yürütücülerle güvenlik sektörünün başarılı işbirliği sonucu gerçekleşti.

Trend Micro bu operasyonda bileşenleri saptayarak ve Rove Digital’in geniş ağını görüntüleyerek önemli bir rol oynadı. ISC, kurbanları yabancı sitelere yönlendiren sahte DNS sunucularının yerini değiştirdi. Bu, DNS’i değişen milyonlarca kurbanın operasyondan sonra internet erişiminin kesilmemesi için çok önemliydi.

Avrupa’da IP adreslerini tahsis eden bölgesel IP organizasyonu Réseaux IP Européens (RIPE) de aynı zamanda Rove Digital’in Avrupa’daki IP adreslerini dondurdu. Bu sayede Rove Digital’in 8 Kasım’sda gerçekleşen operasyonda tutuklanmayan suç ortakları da sahte DNS altyapısını başka bir konuma taşıyamadılar ve operasyonlarını sürdüremediler. RIPE, IP adreslerini dondurarak tarihi ve cesur bir adım atmış oldu. Bağımsız kar amacı gütmeyen bir organizasyon olan RIPE NCC, mahkemede RIPE ile mücadele etmeye karar verdi. Aslında RIPE organizasyonunun IP alanındaki ısrarcı suistimalini zorlaştırmak anlamında yasal bir emsal olması açısından, bu kötü bir adım değil. Günümüzde siber suçlular için IP alanları sınırlı hale gelse de RIPE’tan IP adresi edinmek daha kolay görünüyor. Asya ya da ABD’de bu tip bir probleme rastlamadığımız için bunun RIPE’a özgü bir problem olduğunu söyleyebiliriz.

Chronopay

Haziran 2011’de kredi kartı takas odası Chronopay’in kurucusu ve CEO’su Pavel Vrublevsky, bir rakibe düzenlenen siber saldırıdan sorumlu tutulma iddiasıyla tutuklandı.  Chronopay’in başka bir büyük hissedarı olan Rove Digital’in CEO’su Vladimir Tsastsin de Ghost Click operasyonu nedeniyle tutuklandı. Chronopay’in sahte antivirüs (FAKEAV) satan siber suç çetelerinin tercih ettiği kredi kartı takas odası olması nedeniyle bu iki tutuklama dahte antivirüs işi açısından belirgin sonuçlar ortaya koyabilir.

2011 yasa yürütücü otoritelerle güvenlik sektörünün işbirliğinin büyük bir etki yaratabileceğini kanıtladı. Artık büyük siber suçlular için tutuklanmak an meselesi. Bu anlamda 2012’nin getireceklerini dört gözle bekliyoruz. Tek bir şeyden eminiz ki; Trend Micro siber suça karşı mücadeleyi desteklemeye devam edecek.