Kaspersky Lab araştırmacıları Eylül 2017’de Rusya,Ermenistan ve Malezya da dahil olmak üzere bir çok bölgede en az 10 finanskuruluşunu hedef alan yeni bir dizi hedefli saldırı tespit etti. Saldırılarınarkasında Silence adında yeni bir grup bulunuyor. Silence, kurbanlarından paraçalarken meşhur siber korsan grubu ile benzeşen belirli bazı teknikler kullanıyor.Saldırılar henüz durmuş değil.
Silence, en yıkıcı ve karmaşık siber hırsızlıkoperasyonlarını vefinans kuruluşlarından milyonlarca dolar çalmayı başarmış olan Metel, GCMAN veCarbanak’ın saflarına katıldı. Bu operasyonların büyük çoğunluğu şu tekniktenfaydalanıyor: bankaların iç ağlarına uzun bir süreliğine kalıcı erişim eldeedip, günlük faaliyetleri gözlemliyor, her bir banka ağının detaylarınıinceliyor ve zamanı geldiğinde ise bu bilgilerden yararlanarak mümkün olduğuncaçok para çalıyorlar.
Kurbanlarınınaltyapılarına hedefli oltalama e-postalarıyla sızan Silence Trojan’ın yaptığıda tam olarak bu.
E-postalarıniçerdiği kötü niyetli dosya ekleri oldukça karmaşık. Kurban bir dosyayıaçtıktan sonra zararlı yazılımın indirilip kurulması tek bir fare tıkınakalıyor. Sisteme kurulan zararlı yazılım, komuta ve kontrol sunucusuylailetişim kuruyor, ilgili cihazın kimliğini paylaşıyor ve örneğin ekrankaydetmek, veri göndermek, kişisel bilgileri çalmak veya uzaktan kontrol gibi,amacına hizmet edecek başka dosyalar indirip çalıştırıyor.
İlginçtirki, suçlular yeni saldırılar için çoktan içerisine sızılmış finanskuruluşlarının altyapılarından faydalanıyorlar. Yeni kurbanlarına söz konusuşirketin gerçek çalışanlarının e-posta adreslerinden mesaj atarak, yeni birbanka hesabı açılması talebinde bulunuyor ve böylece mesajı alan kişinin birşeylerin yanlış gittiğinden şüphelenmesinin önüne geçmiş oluyorlar.
Ağdakalıcı bir şekilde yerleşen siber suçlular, ağı incelemeye başlıyor. Silencegrubu, kurbanlarının faaliyetlerini gözlemleyebiliyor ve bunu yaparken kurbanınekranından çoklu bir şekilde görüntü alarak kurbanın faaliyetlerinin gerçekzamanlı bir video akışını elde edebiliyor. Bunun tek amacı var, o da kurbanıngünlük faaliyetlerini anlayarak sonunda para çalabilmek için yeterli bilgiyesahip olmak. Bu süreç ve stil ise Carbanak’ın tekniklerine oldukça benziyor.
KasperskyLab araştırmacıları bu saldırıda kullanılan zararlı bileşenleri incelerkenbuldukları izleri incelerken, işin arkasında bulunan suçluların Rusça konuştuğusonucuna vardı.
“SilenceTrojan, siber suçluların kullanıcılara saldırmak yerine doğrudan bankalarasaldırmaya geçtiğini gösteren taze bir örnek. Son zamanlarda bu eğilimde birartış gördük. Bu tür kurnazca profesyonelce gerçekleştirilen APT tarzısaldırılara artık daha çok rastlanıyor. Burada en endişe verici olan şey,böylesine gizlenerek ilerleme yaklaşımları sebebiyle, bu tür saldırılarınbankaların güvenlik mimarisinden bağımsız olarak başarılı olma ihtimallerininyüksek olması” diyor Kaspersky Lab güvenlik uzmanlarından SergeyLozhkin.
KasperskyLab araştırmacıları bu tür saldırılardan korunmak için aşağıdakiönlemlerin alınmasını öneriyor:
· Gelişmiştehditlere karşı bu konuda uzman, tüm anormallikleri tespit edebilen ve şüphelidosyaları derinlemesine inceleyerek karmaşık saldırıları ortaya çıkarabilecekbir çözüm kullanın – örneğin Kaspersky Anti Targeted Attack Platform.
· Hatalısistem ayarları veya şirketinize özel yazılımlardaki hatalar dahil olmak üzere,güvenlik açıklarından topluca kurtulun. Bunun için Kaspersky PenetrasyonTestleri ve Uygulama Güvenliği Değerlendirmesi hizmetleri uygun ve oldukçaetkili çözümlerdir; sadece bulunan açıklarla ilgili veri sağlamakla kalmaz,nasıl giderilebilecekleri konusunda tavsiyeler vererek kurumsal güvenliğinsağlamlaştırılmasını sağlar.
· E-postalarınişlenmesi için katı kurallar ayarlayın ve oltalamaya, zararlı dosya eklerine veistenmeyen e-postalara karşı özellikleri olan güvenlik çözümleri kullanın.Örneğin Kaspersky Endpoint Se
