KasperskyLab araştırmacıları, DarkNet pazarında kendisine rahatlıkla alıcı bulan veATM’leri hedef alan bir zararlı yazılım keşfetti. Üç bileşenden oluşan CutletMaker yazılımı, saldırganın fiziksel olarak makineye erişim sağlamasıylabirlikte ATM’deki paranın çalınmasını sağlıyor. Oldukça detaylı bir kullanımkılavuzuna ve saldırganlara milyonlarca dolar kazandırma potansiyeline sahipolan yazılım, 5000 dolar kadar nispeten düşük bir fiyata alıcı buluyor.
ATM’ler,maksimum kazanç elde etmek için farklı yöntemler deneyen dolandırıcılar içinönemli bir gelir kaynağı olmaya devam ediyor. Dolandırıcıların bir kısmı, metalkesici alet kullanmaya dayalı fiziksel yöntemleri tercih ederken, bir diğergrup ise zararlı yazılımların yardımıyla bankamatikleri içeriden manipüleetmeyi tercih ediyor. ATM korsanlığına yönelik zararlı yazılımların uzunyıllardır bilinmesine karşın, yapılan bu son keşifle, ürünlerini bilgisayarteknolojisinden çok fazla anlamayan suçlulara ulaştırmak isteyen kötü amaçlıyazılım yaratıcılarının bu işe her geçen gün daha çok kaynak harcadığıanlaşılıyor.
Buyılın başlarında Kaspersky Lab’ın iş ortaklarından biri, şirketinaraştırmacılarına daha önce bilinmeyen ve ATM’lerin içerisindeki PC’leri hedefalan kötü amaçlı bir yazılım örneği paylaştı. Araştırmacılar, bu yazılımın veyaonunla ilgili herhangi bir şeyin, yeraltı forum sayfalarında satılıpsatılmadığını merak ettiler ve bunu takiben yaptıkları arama başarılı oldu:Popüler bir DarkNet sitesi olan Alphabay’de yayınlanan ve ATM’leri hedefleyenkötü amaçlı yazılım türünü tanımlayan bir reklam teklifi, yapılan aramasorgusuyla eşleşti. Bununla birlikte, araştırmacıların eline ilk adımda geçenyazılımın ATM hacklemek için geliştirilen ticari kötü amaçlı bir yazılım kitineait olduğu da ortaya çıkmış oldu. Yazılımın satıcısı tarafından herkese açıkbir şekilde yapılan bir paylaşımda, zararlı yazılımın tanıtımının ve nasıl eldeedilebileceğine dair bilgilerin yanı sıra, saldırılarda nasılkullanılabileceğine dair adım adım bir kullanma kılavuzu ve de öğreticivideolar bulunuyordu.
Araştırmayagöre, zararlı yazılım kiti üç bileşenden oluşuyor:
· ATM'nindağıtıcısıyla iletişim kurmak için ana modül olarak görev yapan CutletMaker yazılımı,
· CutletMaker uygulamasını çalıştırmak ve izinsiz kullanımdan korumak için bir parolaoluşturmak üzere tasarlanan c0decalc adlı program.
· ATMnakit kasetlerinin mevcut durumunu belirleyerek, suçlular için zamankazandıran Stimulator uygulaması (Bir saldırgan, bu uygulamayıyükleyerek her kasetteki para birimi, değer ve banknot sayısı hakkında kesinbilgi alır; bu nedenle birer birer para çekme yerine, en büyük miktarı içerenihedef olarak seçebilir).
Saldırıyabaşlarken suçluların ilk olarak zararlı yazılımı yüklemek üzere kullanılan USByuvasına ulaşmak için ATM’nin içerisine doğrudan erişim sağlamaları gerekiyor.Başarabilirlerse, zararlı yazılımı barındıran USB yardımıyla ATM’yeulaşıyorlar. Bundan sonraki ilk adım olarak suçlular Cutlet Maker'ıyüklüyorlar. Şifre korumalı olduğundan, dizüstü veya tablet gibi başka bircihaza kurulan c0decalc programını kullanıyorlar. Bu yöntemde, Cutlet Maker’ıyazanlar tarafından geliştirilen, diğer suçluların zararlı yazılımdan ücretsizolarak yararlanmasının önüne geçen bir tür “telif hakkı” koruması olarak dikkatçekiyor. Son olarak kodun oluşturulmasıyla beraber suçlular, Cutlet Makerarayüzüne girerek para aktarım işlemine başlıyorlar.
CutletMaker, 27 Mart 2017 tarihinden beri satışta olmasına rağmen ilk olarak Haziran2016 tarihinde araştırmacıların radarına girdi. O dönemde Ukrayna’dan kamuyaaçık bir çoklu tarayıcı servisine gönderildi fakat daha sonra farklı ülkelerdende gönderimler yapıldı. Her ne kadar zararlı yazılımların gerçektensaldırılarda kullanılıp kullanılmadığı açık olmasa da, zararlı yazılım ileberaber gelen el kitabı, yazılımın geliştiricileri tarafından sunulan vezararlı yazılımın verimliliğini ortaya koyan videolar içeriyor.
Zararlıyazılımın arkasında kimin olduğu bilinmiyor fakat dil, gramer ve üsluphataları, potansiyel suçluların ana dili İngilizce olmayan kişilerolabileceğine işaret ediyor.
KasperskyLab Güvenlik Araştırmacısı Konstantin Zykov, konuyla ilgilişunları söylüyor: “Cutlet Maker neredeyse hiçbir gelişmiş yeteneğe veyaprofesyonel bilgisayar kullanma becerisine ihtiyaç duymuyor. Cebinde birkaç bindoları olan herhangi bir suçlu, oldukça sofistike bir saldırı operasyonu gibigörünen ATM hackleme işini rahatlıkla yapabiliyor. Bu durum, finansalkuruluşlar için potansiyel bir tehdit haline geliyor. Ancak daha da önemlisi,Cutlet Maker çalıştığı esnada ATM'lerin yazılım ve donanımlarıyla etkileşimegiriyor ve neredeyse hiçbir güvenlik engeliyle karşılaşmıyor. Bu durumundeğişmesi ve ATM makinelerinin daha güvenli hale getirilmesi gerekiyor.”
CutletMaker gibi kötü niyetli araçlara karşı ATM'leri korumanın ve fiziksel olarakgüçlendirmenin yanı sıra, Kaspersky Lab uzmanları finansal organizasyonlaraşunları yapmalarını öneriyor:
· Yetkisizyazılımların ATM'de çalışmasını engelleyen “baştan yasaklı” politikaları sıkıuygulayın.
· Yetkisizcihazların ATM'ye bağlanmasını kısıtlamak için cihaz kontrol mekanizmalarınıetkinleştirin.
· ATM'leriniziCutlet Maker gibi kötü amaçlı yazılımlardan gelen saldırılardan korumak içinözel bir güvenlik çözümü kullanın.