Eylül 2017’de Rusya, Ermenistan ve Malezya da dahil olmaküzere bir çok bölgede en az 10 finans kuruluşunu hedef alan yeni bir dizihedefli saldırı gerçekleştirildi. Saldırılarınarkasında Silence adında yeni bir grup bulunuyordu. Silence, kurbanlarından para çalarken meşhur siberkorsan grubu ilebenzeşen belirli bazı teknikler kullanıyor. Saldırılar henüz durmuş değil.
Silence, en yıkıcı ve karmaşık siber hırsızlıkoperasyonlarını vefinans kuruluşlarından milyonlarca dolar çalmayı başarmış olan Metel, GCMAN veCarbanak’ın saflarına katıldı. Bu operasyonların büyük çoğunluğu şu tekniktenfaydalanıyor: bankaların iç ağlarına uzun bir süreliğine kalıcı erişim eldeedip, günlük faaliyetleri gözlemliyor, her bir banka ağının detaylarınıinceliyor ve zamanı geldiğinde ise bu bilgilerden yararlanarak mümkün olduğuncaçok para çalıyorlar.
Kurbanlarının altyapılarınahedefli oltalama e-postalarıyla sızan Silence Trojan’ın yaptığı da tam olarakbu.
E-postaların içerdiği kötüniyetli dosya ekleri oldukça karmaşık. Kurban bir dosyayı açtıktan sonrazararlı yazılımın indirilip kurulması tek bir fare tıkına kalıyor. Sistemekurulan zararlı yazılım, komuta ve kontrol sunucusuyla iletişim kuruyor, ilgilicihazın kimliğini paylaşıyor ve örneğin ekran kaydetmek, veri göndermek,kişisel bilgileri çalmak veya uzaktan kontrol gibi, amacına hizmet edecek başkadosyalar indirip çalıştırıyor.
İlginçtir ki, suçlular yenisaldırılar için çoktan içerisine sızılmış finans kuruluşlarının altyapılarındanfaydalanıyorlar. Yeni kurbanlarına söz konusu şirketin gerçek çalışanlarınıne-posta adreslerinden mesaj atarak, yeni bir banka hesabı açılması talebindebulunuyor ve böylece mesajı alan kişinin bir şeylerin yanlış gittiğindenşüphelenmesinin önüne geçmiş oluyorlar.
Ağda kalıcı bir şekildeyerleşen siber suçlular, ağı incelemeye başlıyor. Silence grubu, kurbanlarınınfaaliyetlerini gözlemleyebiliyor ve bunu yaparken kurbanın ekranından çoklu birşekilde görüntü alarak kurbanın faaliyetlerinin gerçek zamanlı bir videoakışını elde edebiliyor. Bunun tek amacı var, o da kurbanın günlükfaaliyetlerini anlayarak sonunda para çalabilmek için yeterli bilgiye sahipolmak. Bu süreç ve stil ise Carbanak’ın tekniklerine oldukça benziyor.
KasperskyLab araştırmacıları bu saldırıda kullanılan zararlı bileşenleri incelerkenbuldukları izleri incelerken, işin arkasında bulunan suçluların Rusça konuştuğusonucuna vardı.
“Silence Trojan, sibersuçluların kullanıcılara saldırmak yerine doğrudan bankalara saldırmayageçtiğini gösteren taze bir örnek. Son zamanlarda bu eğilimde bir artış gördük.Bu tür kurnazca profesyonelce gerçekleştirilen APT tarzı saldırılara artık dahaçok rastlanıyor. Burada en endişe verici olan şey, böylesine gizlenerekilerleme yaklaşımları sebebiyle, bu tür saldırıların bankaların güvenlikmimarisinden bağımsız olarak başarılı olma ihtimallerinin yüksek olması” diyor KasperskyLab güvenlik uzmanlarından Sergey Lozhkin.
KasperskyLab araştırmacıları bu tür saldırılardan korunmak için aşağıdakiönlemlerin alınmasını öneriyor:
· Gelişmiştehditlere karşı bu konuda uzman, tüm anormallikleri tespit edebilen ve şüphelidosyaları derinlemesine inceleyerek karmaşık saldırıları ortaya çıkarabilecekbir çözüm kullanın – örneğin Kaspersky Anti Targeted Attack Platform.
· Hatalısistem ayarları veya şirketinize özel yazılımlardaki hatalar dahil olmak üzere,güvenlik açıklarından topluca kurtulun. Bunun için Kaspersky PenetrasyonTestleri ve Uygulama Güvenliği Değerlendirmesi hizmetleri uygun ve oldukçaetkili çözümlerdir; sadece bulunan açıklarla ilgili veri sağlamakla kalmaz,nasıl giderilebilecekleri konusunda tavsiyeler vererek kurumsal güvenliğinsağlamlaştırılmasını sağlar.
· E-postalarınişlenmesi için katı kurallar ayarlayın ve oltalamaya, zararlı dosya eklerine veistenmeyen e-postalara karşı özellikleri olan güvenlik çözümleri kullanın.Örneğin Kaspersky Endpoint Security kapsamındaki bulut destekli anti-oltalamave dosya eki filtreleme özellikleri ile e-posta güvenliğine özel güvenlikçözümleri gibi.
