Kaspersky Laboratuvarı faaliyetleri hakkında bir yıldan fazla bir süredir yürütülen bir soruşturmanın sonuçlarını henüz yayınladı. Lazarussözde arkasında olan ünlü siber suçlular grubu Bangladeş Merkez Bankası’ndan 81 milyon dolarlık hırsızlık Bu hırsızlık bugüne kadar gerçekleştirilen en büyük siber saldırılardan biri olarak kabul ediliyor ve Kaspersky Lab de dahil olmak üzere farklı BT güvenlik şirketleri tarafından daha sonra yapılan soruşturmalar, yazarın bir dizi saldırıdan sorumlu ünlü bir siber casusluk ve siber sabotaj grubu olan Lazarus’a atfediliyor. 2009’dan beri en az 18 ülkede imalat şirketlerine, medyaya ve finans kurumlarına yönelik saldırıları ile tanınan tekrarlayan ve yıkıcı saldırılar.
Bangladeş’teki saldırıdan sonra grup sessiz kalsa da, Lazarus aktif kaldı ve diğer bankalardan fon çalmak için yeni operasyonlar hazırladı. Güneydoğu Asya’da bir finans kurumuna girmeyi başardılar, ancak Kaspersky Lab ürünleri saldırıyı algıladı ve durdurdu, bu nedenle aylarca hareketsiz kaldılar. Daha sonra Avrupa’ya yönelme kararı aldılar, ancak Kaspersky Lab’ın algılama yazılımının yanı sıra araştırma şirketlerinin hızlı müdahale, adli analiz ve tersine mühendislik ekiplerinin çalışmaları sayesinde tekrar etkisiz hale getirildiler.
Lazarus Formülü
Bu saldırıların adli analizinin sonuçlarına dayanarak, Kaspersky Lab analistleri grubun çalışma şeklini yeniden oluşturmayı başardı:
– İlk güvenlik açığı: Basit bir banka sistemi, ya savunmasız bir erişim kodu (örneğin bir web sunucusu aracılığıyla) aracılığıyla uzaktan ya da kurulu bir istismardan yararlanan bir wateringhole saldırısı yoluyla tehlikeye atılır. Bu web sitesi ziyaret edildiğinde, kurbanın bilgisayarı (banka çalışanı), ek bileşenler ekleyen kötü amaçlı yazılımı alır.
– Yerleşik konum: Bu, grubun diğer banka sunucularına taşındığı ve kalıcı arka kapıları dağıttığı, kötü amaçlı yazılımların istediği gibi gelip gitmesine izin verdiği zamandır.
– Dahili tanıma: Grup, ağı tanımak ve değerli kaynakları belirlemek için günler ve haftalar harcar. Bu kaynaklardan biri, kimlik doğrulama bilgilerinin saklandığı bir yedekleme sunucusu, bir posta sunucusu veya finansal işlem süreçlerinin kayıtları olabilir.
– Teslim et ve çal: Son olarak, finansal yazılımın güvenlik önlemlerinden kaçınabilen ve banka adına yetkisiz işlemler yapmaya devam edebilen özel bir kötü amaçlı yazılım dağıtırlar.
Coğrafya ve referans
Kaspersky Lab analistleri tarafından analiz edilen saldırılar birkaç hafta içinde gerçekleşti. Ancak siber suçlular aylardır faaliyet gösteriyor olabilir. Güneydoğu Asya’daki olayın analizi sırasında uzmanlar, olay müdahale ekibi müdahale etmeden önce bilgisayar korsanlarının bankanın ağını en az yedi ay boyunca tehlikeye attığını tespit etti. Aslında grup, Bangladeş olayı meydana gelmeden önce o bankanın ağına erişim sağlamıştı.
Kaspersky Lab kayıtlarına göre, Aralık 2015’ten bu yana, Kore, Bangladeş, Hindistan, Vietnam, Endonezya, Kosta Rika, Malezya, Polonya, Irak, Etiyopya, Kenya, Nijerya, Uruguay, Gabon, Tayland ve diğer bazı ülkeler. Kaspersky’nin bildiği en son örnekler Mart 2017’de tespit edildi ve bu da siber suçluların durmaya hiç niyeti olmadığını gösteriyor.
Siber saldırganlar izlerini örtmek için dikkatli olsalar da, başka bir kampanyadaki etkilenen sunuculardan en az biri, unsurlardan birinin geride kalmasıyla ilgili büyük bir kusur içeriyordu. Sunucu, kötü amaçlı yazılım komuta ve kontrol merkezi olarak kurulmuştu ve ilk bağlantılar, sunucu için test olduklarını gösteren birkaç VPN/proxy sunucusundan geldi. Ancak aynı gün Kuzey Kore’de garip bir IP adresinden gelen kısa bir bağlantı da vardı. Bu, Lazarus grubunun olası bir kökenini veya en azından bazı üyeleri için Büyük Banka Soygunlarını Önlemek İçin Kötü şöhretli Hackerların Avı Lazarus’un Peşinde olduğunu gösterebilecek bir ayrıntıdır. Ancak, bağlantı yanıltıcı bir işlem olabileceğinden, bunu belirleyebilmek için hala yeterli kanıt değil.
Lazarus grubu yatırım yapmaya devam ediyor kötü amaçlı yazılımınızın yeni çeşitleri. Aylarca güvenlik çözümlerine görünmez olacak bir dizi araç oluşturmaya çalıştılar. Bunu her yaptıklarında Kaspersky Lab uzmanları, kodlarının nasıl oluşturulduğunu gösteren belirli özellikleri belirleyerek yeni varyantları izlemelerine olanak tanıdı. Şu anda siber saldırganlar nispeten sessiz, bu da muhtemelen yeniden silahlanma üzerinde çalıştıkları anlamına geliyor.
“Onları tekrar hareket halinde göreceğimizden eminiz. Lazarus grubu tarafından gerçekleştirilen saldırılara benzer saldırılar, küçük yapılandırma sorunlarının nasıl büyük güvenlik ihlallerine yol açabileceğini ve şirketlerin yüz milyonlarca dolarlık kayıplara yol açabileceğini gösteriyor. Dünyanın her yerindeki bankalardan, kumarhanelerden ve yatırım şirketlerinden sorumlu olanların Lazarus tehlikesinin farkında olduğuna güveniyoruz”, diye yorum yapıyor. Vitali Kamluk, APAC’de Kaspersky Lab’ın küresel araştırma ve analiz ekibinin başkanı.
Şirket ayrıca, kuruluşların kendi kurumsal ağlarında bu saldırıların izlerini aramasına yardımcı olan diğer verilerin yanı sıra temel taviz göstergeleri (IOC’ler) sağlıyor.
Kaspersky, tüm kuruluşları ağlarını kapsamlı bir şekilde taramaya, Lazarus kötü amaçlı yazılımının varlığının izlerini aramaya ve tespit edilirse sistemlerini dezenfekte etmeye ve saldırıları güvenlik güçlerine ve müdahale ekiplerine bildirmeye teşvik eder.
