Kaspersky Lab, özellikle bankaları hedefleyen siber saldırı tehdidi Carbanak’ın Carbanak 2.0 olarak geri döndüğünü açıklarken, benzer şekilde çalışan 2 gruba daha dikkat çekti: Metel ve GCMAN. Bu gruplar, finans kuruluşlarının sistemlerine geliştirilmiş ve APT’lerle sızarak sistemin içinde pusu kuruyorlar.
Kaspersky Lab Global Araştırma ve Analiz Takımı bu önemli açıklamayı İspanya’da gerçekleşen Kaspersky Security Analyst Summit (SAS) etkinliğinde yaptı. Bu etkinlik senede 1 defa gerçekleşiyor ve etkinliğe kötü amaçlı yazılımlara karşı çözüm üreten araştırmacı ve geliştiriciler, global güvenlik birimleri, CERT’ler (Bilgisayar Güvenliği Müdahale Takımları) ve güvenlik araştırmacılar katılıyor.
Siber-suç örgütü Metel’in kullandığı pek çok taktik var ve oldukça kurnaz bir yol izliyorlar. Bir bankanın içinde para transferlerine erişimi bulunan bilgisayarların (örneğin; bankanın çağrı merkezi / müşteri destek bilgisayarları) kontrolünü ele geçiren grup, ATM’den para çıkışı yapabiliyor.
ATM’lerden para çektiklerindeyse, aynı işlemi kaç defa yaparlarsa yapsınlar paravan olarak kullanılan hesabın bakiyesi eksilmiyor. Bugüne kadar gözlemlenen benzer vakalarda, örgüt gece vakti Rusya’nın şehirlerinde dolaşarak gördükleri bütün ATM’leri sistemini sızdıkları tek bir bankanın kartını kullanarak boşaltıyorlar. Sadece bir gecede cash out yapabiliyorlar.
Kaspersky Lab’da Global Araştırma ve Analiz Takımı’nda olarak görev yapan Sergey Golovanov’ın Güvenlik Araştırma Müdürü açıklaması şöyle: “Her geçen gün siber saldırıların atak kısmı kısalıyor. Saldırganlar, kendilerini geliştirdikçe belli bir operasyon üzerinde uzmanlaşıyorlar ve istedikleri şeyi birkaç gün ya da bir hafta içinde elde edip kaçıyorlar.”
Adli incelemeler sonucunda, Kaspersky Lab uzmanları Metel’in hedef odaklı kimlik avı yaparak e-mail üzerinden kullanıcının mail adresine kötü amaçlı yazılımları ek olarak yolladıklarını ve Niteris Hack Kiti üzerinden sisteme sızarak kullanıcının tarayıcısındaki zayıf noktaları buldukları tespit edildi. Ağın içine sızdıklarında ise, siber suçlular yasal olan ve sistemdeki açıkları bulmak için kullanılan test yazılımları ile farklı katmanlar arasında ilerliyor ve yerel domain konrolcüsüne kontak yaparak banka çalışanlarının para transferleri için kullandıkları bilgisayarları tespit edip ele geçiriyorlar.
Metel Grubu halen aktif olmakla beraber adli incelemeler devam etmekte. Bugüne kadar, grup Rusya dışında başka bir ülkede faaliyet göstermemiş durumda. Ancak, var olan problemin göründüğünden daha tehlikeli olduğunu düşünmek için pek çok sebep mevcut. Bu yüzden bütün bankaların sistemlerini bu salgından korumak adına kontrol ettirmeleri öneriliyor.
Bahsedilen 3 hacker grubu da özel olarak dizayn edilmiş kötü amaçlı yazılım kullanımını bırakarak sahtecilik operasyonlarında kullanımı yasal olan yazılımları istismar ederek ilerlemeyi seçtiler. Ağın alarm sistemlerini daha az uyaran bu yasal yazılımları kötüye kullanmak varken neden dikkat çeken ve çok fazla emek isteyen yazılımlarla vakit kaybetsinler ki?
Sinsilik söz konusu olunca GCMAN’ın en büyük aktörlerden biri olduğunu söylemek mümkün. Bu grup, kurumların ağlarına herhangi bir kötü amaçlı yazılım kullanmadan sadece siber açık yakalama araçları ile saldırabiliyor. Kaspersky Lab uzmanlarının incelediği vakalarda GCMAN’ın Putty, VNC ve Meterpreter gibi faydalı araçları manipule ederek sistemin farklı katmanlarında serbestçe dolaştığı ve online para transferlerini bankaların dikkatini çekmeden yaptığı gözlemlenmiş.
Kaspersky Lab uzmanları tarafından incelenen vakalardan birinde, saldırganların operasyonu yapmadan önce tam 1,5 yıl boyunca sistemin içine sızıp gizlendikleri anlaşılmış. Rusya’da anonim transferler için üst limit 200 dolar olduğu için, grup parayı 200 dolarlık transferler halinde çıkartmış. CRON zamanlayıcısı dakika başı zararlı bir komut göndererek herhangi bir hesaptan çekilen parayı paravan kişinin hesabına göndermiş. Transfer komutları doğrudan bankanın transfer giriş sisteminden yapılmış ve transfer detayları diğer sistemlerde gözükmemiş.
Son olarak, Carbanak 2.0 ile Carbanak geliştirilmiş dayanıklı tehdit (APT) aynı araçları ve aynı teknikleri kullanarak fakat bu sefer farklı bir grubu hedefleyerek ve para çekmek için farklı yöntemler ile yeniden ortaya çıkmış.
2015 yılında Carbanak 2.0’ın hedefi sadece bankalar değil ama aynı zamanda çeşitli kurumların bütçe ve muhasebe departmanları oldu. Kaspersky Lab tarafından gözlemlenen bir vakada ise Carbanak 2.0 üyeleri bir finans kuruluşunun sistemine erişmiş ve büyük bir şirketin mülkiyet bilgilerini değiştirmişlerdi. Yaptıkları değişiklikte, paravan görevi gören bir kişinin kimlik bilgilerini sisteme girerek, kişiyi şirketin pay sahibi olarak kaydetmişlerdi.
Sergey Golovanov şu konuda uyarıyor “Finansal kurumların 2015’te maruz kaldığı siber saldırıları incelediğimizde, siber suçluların geliştirilmiş ve dayanıklı tehdit sistemlerini (ATP) daha fazla kullanmaya başladıklarını görüyoruz. Carnabak Çetesi şu anda pek çok benzeri bulunan siber çetelerin ilk örneğiydi: Siber suçlular her geçen gün yeni teknikler öğrenerek kendilerini geliştiriyorlar ve bireysel müşteriler yerine bankalara doğrudan saldırıyorlar.Bunun sebebi ise oldukça açık: para bankada duruyor.Bizler ise, tehlike unsurlarının paranızı çalmak için sisteminize ne zaman ve nasıl saldıracağını göstermeyi hedefliyoruz. Tahmin ediyorum ki, GCMAN saldırılarını okuduktan sonra bankanızın internet bankacılığı için kullandığı sunucuların nasıl korunduğunu bilmek isteyeceksiniz. Carbanak vakasından yola çıkacak olursak, sadece bakiyelerin kaydedildiği veri tabanını değil aynı zamanda hesap sahiplerine ait kişisel bilgilerin kaydedildiği veri tabanını da korumanızı tavsiye ediyoruz.”
Kaspersky Lab ürünleri, Carbanak 2.0, Metel ve GCMAN gibi gruplarca kullanılan kötü amaçlı yazılımları başarılı bir şekilde tespit eder ve etkisiz hale getirir. Aynı zamanda Sistem Açığı Belirtileri (IOC) ve diğer dataları kullanarak Kaspersky Lab, şirketlere kurumsal ağlarının saldırıya uğramış olabileceğini gösteren izleri bulmasında yardım etmektedir.
Bütün şirketleri, ağlarını dikkatlice taramaları ve Carbanak, Metel ve GCMAN gibi tehlike unsurlarını buldukları takdirde sistemlerini temizleyip durumu güvenlik birimlerine raporlamaları konusunda uyarıyoruz.