Yazılar

Çok sayıda markayı hedefleyen ilk ATM zararlısı

cok-sayida-markayi-hedefleyen-ilk-atm-zararlisiDiebolt, NCR gibi üreticilere ait ATM para çekme makinelerini hedef alan zararlı yazılım gelişmiş özellikleriyle dikkat çekiyor.

ATM cihazlarından para sızdırmaya yarayan zararlı yazılımlar 2013 yılından beridir kullanılıyor. Fakat geçtiğimiz hafta ilk kez birden fazla üreticiye ait ATM cihazlarını hedef alan zararlı yazılım tespit edildi. Adı “Suceful” olan zararlı yazılım ilk kez 25 Ağustos tarihinde VirusTotal sitesine Rusya’dan yüklendi. O zaman henüz geliştirme aşamasındaydı.

Suceful, Diebolt veya NCR ATM cihazlarında kullanılan tüm kredi kartı, debit kartların track verilerini okuyabiliyor. Ayrıca kartların çiplerini okuyarak ATM’in sensörlerini de atlatabiliyor. Yine ATM’in PIN kodu girilen panelini de kontrol ederek şifreyi elde etmek mümkün. Belki de Suceful’un en ilginç özelliği istediği zaman kredi kartını fiziksel olarakta çalmaya imkan vermesi. Örneğin işlem sonrası kullanıcıya kartı çıkartılıp verilmiyor. Kullanıcı da yardım istemek için ATM’in başından ayrıldığında uzaktan tetiklenerek kart dışarı çıkartılıp fiziksel olarak da çalınabiliyor.

cok-sayida-markayi-hedefleyen-ilk-atm-zararlisi-2

Ploutus, Padpin gibi önceki ATM zararlılarını yüklemek için ATM cihazının içerisine ulaştıktan sonra CD, USB gibi yollarla zararlı yazılımı yüklemek veya çalışanlardan birine yaptırmak gerekiyordu. Burada işlemlerin çoğu işletim sistemi üzerinden yürütülüyordu. Suceful ise ATM üreticilerinin ATM cihazıyla haberleşmesini sağlayan XFS Manager ile birlikte çalışarak bu zorunluluğu ortadan kaldırabiliyor. XFS Manager üretici bağımsız ve Java ile kodlanmış bir yazılım. Özellikle NCR marka ATM cihazları ülkemizde de bankalar tarafından sıkça kullanılıyor.

Android telefon ile ATM cihazı hacklemek

android-telefon-ile-atm-cihazi-hacklemek-2Siber suçlular ATM cihazlarını hackleyerek akıllı telefon yardımıyla para çekmek için yeni yöntemler keşfediyor. ATM cihazlarına fiziksel olarak bağlanan telefon, uzaktan verilen komutlarla ATM cihazını yöneterek istenilen anda, istenilen şartlarda kartuşlarda bulunan paranın çekilebilmesine olanak sağlıyor.

Bu iş için gerekli olanlar boyutça ufak bir Android çalıştıran cep telefonu, USB kablosu ve USB devre kartı. Bu saldırı tekniği şu an için sadece NCR marka ATM cihazlarında başarıyla çalışıyor. Şu ana kadar NCR’ın haberdar olduğu kadarıyla bu saldırı türü kullanılarak 2 ATM soygunu gerçekleştirildi.

Firma bu gelişmeler üzerine bir firmware güncellemesi yayınlayarak cihazlardaki para kartuşları ile sistem arasındaki iletişimin şifrelemesini iyileştirdi. Güncellemenin diğer bir yaptığı ise bir kere bu versiyona geçildikten sonra geriye dönülememesi. Geriye dönülmesi halinde tekrar güvenlik riski meydana geliyor.
android-telefon-ile-atm-cihazi-hacklemek
NCR’ın konu ile yaptığı yorum saldırının oldukça ucuz, basit ve etkili olduğu yönünde. Eğer hangi komutları vereceğinizi biliyorsanız ATM’leri hacklemek oldukça basit. ATM cihazlarının halen gelişime ihtiyacı olduğu açık.

 

Rus hacker grubu Anurak hızla ilerliyor

rus-hacker-grubu-anurak-hizla-ilerliyorOnlarca milyon dolar, kredi kartları ve gizli bilgiler yeni bir hacker grubunun eline geçti.

Rus hacker grubu Anurak 2013’den beridir aktif olarak saldırılarda bulunuyor. Anurak başta bankalar ve ödeme sağlayıcılar olmak üzere perakende sektörü, medya kuruluşlarını hedef alan bir hacker grubu. Grubun stratejisi bankalar, ödeme sağlayıcıların müşterilerini hacklemek yerine bu firmaların kendilerini hacklemek üzerine. Firmaların iç ağlarına erişim sağlayıp veri sızdırıyorlar. Eğer sızdıkları yer bir devlet sistemi ise bu sefer onu casusluk amacıyla kullanarak veri topluyorlar.

Siber mafyanın her tarzda bilgiyi paraya dönüştürebildiği çağda hem banka hesabı soyan, hem kredi kartı bilgisi çalıp, hem de devletlere ait verileri çalan bir hacker grubu şaşırtıcı gözükmüyor. Anurak hackerları sızdıkları firmanın iç ağında önce sistem yöneticisi ve IT ekibinden kilit kişilerin sistemlerini hedef alıyor. Bu anahtar kullanıcıların sistemlerine sızarak hareketlerini kaydedip yaptıkları işi ve yapıyı anlamaya çalışıyorlar. Sonrasında ise tüm e-posta trafiğini izlemeye başlayarak cihazların ayarlarını değiştirerek tüm ağı uzaktan yönetmeye başlıyorlar.

Bu yönetim öyle planlı bir şekilde yapılıyor ki Anurak hacker grubu üyeleri hackledikleri ATM cihazı yönetim sistemine uzaktan zararlı yazılım bulaştırarak kontrolleri altına alıyorlar. İstedikleri zaman uzaktan tetikleyerek bu cihazlardan para çekebiliyorlar.

Anurak’ın faaliyetleri aşağıdaki gibi ilerliyor;

  • Anurak hacker grubu dünya çapında 50’den fazla banka, 5 ödeme sağlayıcı, 16 perakende firmasını hackledi
  • 2013 yılından beridir aktif olan hacker grubu sadece son altı ay içinde 17 milyon dolar kazandı
  • Bir ağa sızıp bilgileri nakite dönüştürene kadar geçen süre ortalama 42 gün
  • Anurak hacker grubu halen faaliyet halinde

Sızdırılan bilgiler sayesinde ATM’ler hackleniyor

sizdirilan-bilgiler-sayesinde-atmler-hackleniyorBaidu’da yayınlanan NCR ATM API dokümanları suçluların ATM odaklı zararlı yazılımlar geliştirmeleri için ciddi bir yardımcı kaynak oluşturdu. Yakın zamandaki artan ATM saldırılarının sebebi olarak bu olay gösteriliyor.

Kısa süre öncesine kadar Tyupkin adlı zararlı yazılım kullanılarak Avrupa çapında 50 kadar ATM cihazından zorla nakit para çekilmişti. Aslında Tyupkin bu türün tek örneği değil. 2013 Mayıs ayında Padpin adında bir zararlı yazılım, Ekim 2013’te ise Ploutus adlı bir zararlı yazılım yine benzer amaçla geliştirilerek aktif olarak kullanılmıştı.

Ploutus zararlı yazılımında saldırgan zararlı bulaştırdığı ATM cihazına SMS gönderiyor, ondan sonra da cihazın yanına giderek çıkardığı paraları alarak uzaklaşıyordu. Bu teknik dünyanın farklı köşelerindeki kriminaller tarafından kullanılmaya başlanmıştı. Zararlıyı bulaştırırken ise izlenen yol oldukça ilginç. Kişi illegal yolla ulaştığı USB portundan cep telefonunu USB tethering ile bağlayarak internet erişimini paylaştırıyor, sonrasında ATM cihazının içine gizlediği telefona uzaktan SMS göndererek ilgili komutları işlemesini sağlıyordu. Bu aynı zamanda telefonun pilinin de şarj olmasını sağlıyordu.

Elbette bu gibi zararlı yazılımları geliştirmek için söz konusu ATM cihazlarının yazılım ve donanım yapılarının iyi şekilde bilinmesi gerekiyor. Sızdırılan bazı dokümanlar ise bu riskin çoktan gerçekleştiğine işaret ediyor. Malezya’da kullanılan Padpin zararlı yazılımı sayesinde bir çete ATM cihazlarından 900 bin dolar para çekti. ATM’e bulaştırılan zararlı finansal servislerle ilgili çalışan DLL MSXFS.dll dosyasının bir uzantısı gibi davranarak API üzerinden ATM cihazında şifrenin girildiği tuşları izleyebiliyordu.

Tüm bu zararlı yazılımların, saldırıların, tekniklerin temelinde içeride tutulması gereken bazı özel dokümanların Çin merkezli arama motoru firması Baidu üzerinden sızdırılması ve ATM’lerin fiziksel güvenliklerinin yeterince sağlanamaması yatmakta.

Harkonnen Operasyonu: 12 yıl gizli kalan zararlı yazılım

harkonnen-operasyonu-12-yil-gizli-kalan-zararli-yazilimBankalar, kurumsal firmalar ve devletleri hedef alan Harkonnen Operasyonu 12 yıl ile tarihteki en uzun süren zararlı yazılım operasyonu olarak deşifre edildi.

Operasyon öyle detaylı şekilde planlanmış ki ilk etapta İngiltere’de kayıt ettirilmiş aynı IP adresine sahip 800 kadar firma gözümüze çarpıyor. Bu siteler saldırganların dünyanın farklı ülkelerindeki bankalar, büyük firmalar, devlet kuruluşlarının sistemlerine veya ağ cihazlarına sızarak zararlı yazılım yüklemesinde yardımcı oluyor.

Harkonnen Operasyonu sayesinde saldırganların 300 kadar büyük kuruluşun sistemlerine girerek veri sızdırdığı tahmin ediliyor. İşin ilginç kısmı ise 2002’den beri bu zararlı yazılım operasyonunun hiç deşifre olmadan devam ediyor olması. Çok sayıda saldırı biçiminin kullanıldığı bu operasyondaki ana bileşenlerden biri de spear phishing saldırıları. Bu phishing saldırıları yardımıyla zararlı yazılım içeren phishing mesajları çok sayıda kullanıcıya ulaştırılıyor.

Trojan bir süredir gfiltersvc.exe, wmdmps32.exe dosyalarını kullanıyor ve genel trojan ailesine ait olan Trojan.win7.generic!.bt olarak bazı antivirusler tarafından tanınabiliyor. Edinilen izlenim ise bu zararlı yazılım operasyonunun bir suç örgütünün planladığı aktiviteden çok aslında devletler arası bir casusluk faaliyeti olduğu yönünde. Yapılan yatırımın 150 bin doları bulduğu bu operasyonda yüzlerce alan adı, IP adresi, SSL sertifikası kullanılıyor.

Bu vakanın da doğruladığı gibi aslında en büyük tehdit ağ ve sistemlere girerek oradan verileri alarak sessizce çıkan saldırganlar. İstikrarlı veri sızıntıları amaçlı yapılan saldırılar kurumlara en büyük zararları vermeye devam ediyor.

SMS ile gelen bankacılık şifreleri siber suçluların elinde

android-blackberry-internet-bankaciligi-zararli-yazilim1Bir süredir siber suçlular bankalar tarafından SMS ile gönderilen tek kullanımlık şifreleri zararlı yazılımlar ile ele geçirerek çalışmaya devam ediyor. Henüz yazım aşamasında bulunan yeni bir internet bankacılığı zararlı yazılımı anlık şifreler için Android ve BlackBerry platformlarını tehdit ediyor.

Tamamlandığında 4000 dolara satılacak olan yazılım çift aşamalı şifreleri ve SMS uyarılarını ele geçirerek saldırganlara anında iletiyor.

Yazılımın ana özellikleri;

– Gelen SMS mesajlarını göstermeden anlık olarak istenilen numaraya iletmek

– Gelen aramalardan istenilenleri göstermeden istenilen numaraya yönlendirmek

– Cihazdaki SMS mesajlarına tam erişim

– Cihazdaki arama geçmişine erişimandroid-blackberry-internet-bankaciligi-zararli-yazilim2

– Cihazdaki telefon rehberine erişim

– Cihaz mikrofonunu uzaktan aktive ederek konuşulanları kaydederek uzaktaki sunucuya göndermek

– Cihaz üzerinden izinsiz SMS göndermek

– Cihaz üzerinden izinsiz arama yapmak, yönetmek

– Internet bağlantısı olmadığı durumlarda SMS mesajlarıyla cihazı yönetmek

– Cihaz ile ilgili telefon numarası, ICCID, IMEI, IMSI, Model, İşletim sistemi gibi her türlü bilgiyi edinmek

İstenildiği takdirde yazılımın Rusça ve İngilizce dışında dillere de çevirisinin yapılması sağlanabiliyor. Yazılımın botnet tarafının ise hacklenen Google Play hesapları üzerinden, yazılım geliştiricilerin hazırladığı programların içerisine yerleştirilerek dağıtılması planlanıyor.

android-blackberry-internet-bankaciligi-zararli-yazilim3

Yeni zararlı yazılım ATM’lere yükleniyor

malware-zararli-yazilim-atm-ploutusSiber suçluların değişmez hedeflerinden biri de para çekme cihazları olan ATM’ler. Şu sıra daha yenilikçi yollarla ATM’lere saldırmaya devam ediyorlar. Bunlardan en yenisi, geçen hafta keşfedilen “Ploutus” adlı zararlı yazılım.

Geçen hafta keşfedilen bu zararlı yazılım siber suçlunun doğrudan ATM’i kontrol edebilmesine imkan tanıyor. Saldırgan ATM’in tuş takımında veya interaktif ekranındaki belli menülere, tuşlara tıklayarak cihazdan doğrudan para çekebiliyorlar.

Saldırganlar kendileri için hazırladıkları zararlı yazılıma ait özel menüye belirli tuş kombinasyonlarını gerçekleştirdikten sonra ulaşıyorlar. Sonraki aşamada ise Ploutus zararlı yazılımı doğrudan ATM yazılımını kontrol edebiliyor. Şu an için Meksika’da siber suçlular cihazların bulunduğu kapalı kısımların kilitlerini açıp, cihazların görünebilir yerdeki cdrom sürücülerine ulaşarak Ploutus zararlı yazılımını doğrudan sisteme yüklüyorlar.

Siber mafyanın Ploutus’un farklı şekilde bulaşan ve yayılabilen versiyonları ile ilgili çalışmalarını sürdürdüğü biliniyor. Zararlı yazılımın avantajı kimseye ait kişisel bilgi, finansal bilgi ele geçirmeye gerek kalmadan doğrudan ATM cihazlarından para çekebilmeyi sağlaması.

Hacker çetesi bankadan 1.3 milyon euro çaldı

barclays-banka-kvm-cihazSekiz kişilik hacker çetesi Barclays Bankasından 1.3 milyon euroyu oldukça pratik bir yöntemle çaldı. Metropolitan Polis Merkezi yetkililerinin bildirdiğine göre içinde 3G router bulunan, KVM adında klavye, mouse, görüntü iletmeye yarayan cihazı Londranın kuzeyindeki bir Barclays şubesine yerleştirdiler.

Çete üyelerinin bu cihazları şubeye sokmak için IT ekibinden kişiler gibi davranarak sosyal mühendislik uyguladığı da belirtiliyor. Sonrasında 3G çalıştıran KVM cihazına uzaktan bağlanan çete üyeleri izinsiz transferleri gerçekleştiriyor.

Çetenin 1.3 milyon euronun yanı sıra hatırı sayılır miktarda kredi kartı, kişisel bilgiyi de ele geçirdiği biliniyor. Üstelik tüm bunlar milyonlarca dolar yatırılan firewall, IPS, antivirus sistemlerine sahip bankanın tüm güvenlik önlemlerini atlatacak 300 dolar değerinde bir donanım ile gerçekleştiriliyor.

Bu noktada tekrar akıllara gelen şey kurumların bilgi güvenliği yatırımlarını ürünlerden çok, penetrasyon testi süreçleri ve sosyal mühendislik gibi saldırılara karşı yapmaları gerektiği.

KINS herkes için tehdit

kins-internet-bankaciligi-trojani2013’ün başlarında keşfedilen yeni internet bankacılığı trojanı KINS, yeni nesil bankacılık trojanlarının temsilcisi olarak görülüyor. SpyEye, Zeus ve artık geliştirilmeyen Citadel trojanlarından sonra artık KINS ile ilgili gelişmelere daha çok rastlayacağız.

KINS tamamıyla yeni bir proje. Yani Zeus veya SpyEye’dan türetilmiş bir versiyon değil. Ama bu demek değil ki benzeri işleri yapan diğer trojanlardan ek özellikler almasın. KINS, Zeus’un web injectionlarını içeriyor ve SpyEye’ın Anti-Report eklentisi ile uyumlu çalışıyor.

KINS’in en ilginç özelliği ise Rus kullanıcılara bulaşmıyor olması. Sistemde Rus ülkelerinden birine ait bölgesel ayar gördüğü zaman trojan kendini siliyor. Trojan modüler bir yapıya sahip. En temel paket bootkit, dropper, DLL dosyaları ve Zeus uyumlu web injectleri içeriyor. Trojan’ın temel paketi 5.000$ gibi bir fiyata satılıyor. Her ek plugin ise 2.000$ gibi bir fiyata alıcı buluyor.

Bootkit modülü gerçekten ilginç. KINS benzeri Zeus, SpyEye gibi bankacılık trojanlarında olmayan bu özellik sayesinde trojan kendini VBR (Volume Boot Record) yazarak sistemdeki varlığını daha uzun süre saklayabiliyor. Bootkit modülünün değerini anlamak için Carberp trojanına bakmak gerek. Carberp için bootkit modülü siber suçlular dünyasında 40.000$’a rahatlıkla alıcı buluyor.

Tehlikeli trojan Carberp yenileniyor

carberp-internet-bankaciligi-zararli-yazilimiBilinen en gelişmiş internet bankacılığı zararlı yazılımlarından olan Carberp ile ilgili sıcak gelişmeler oluyor. Aralık 2012’de yayınlanan son versiyonu yeni bir bootkit modülüne sahip olan zararlı yazılım siber mafya tarafından 10.000 dolar ile 40.000 dolar arasında rakamlarla “aylık” kiralama yöntemiyle satılıyordu.

Carberp ilk olarak 3 yıl önce tespit edilmişti. O zamandan beridir diğer ünlü internet bankacılığı zararlı yazılımları Zeus ve SpyEye için tam bir alternatif oluşturuyor. Boot sektörüne bulaşmaya izin veren modülü sayesinde siber suçlular epeyi bir süre antivirus yazılımlarını atlatarak kurbanlarının sistemini yönetebildiler.

İlk kez Haziran 2012’de zararlı yazılım ABD İçişleri Bakanlığının izni ve sağladığı imkanlar ile yakalanan 6 kişilik bir dolandırıcılık şebekesinin sistemlerinde incelenebildi. Bu olaydan gizemi çözülen Carberp’i programlayanlar yeni bir yöntem tercih etmeye başladı. Artık yazılımı sınırsız yönetim ve dağıtım imkanlarıyla satmak yerine kiralama şeklinde sunmaya başladılar. Bunun yarattığı en büyük tehdit çok az teknik bilgiye sahip kişilerin bile zararlı kod içeren bir dosya ile rahatlıkla insanların paralarını internetten çalabilmesine olanak tanımasıydı.

Satıcılar sıkı çalışarak aralarında WellsFargo, Citi, JP Morgan Chase, Bank of America, TD Bank ve TerraMedusa Siber İstihbarat Altyapısının tespit ettiği “2 Türk bankasını” içeren web-injection modüllerini piyasaya sundular.

Son gelişmeyle ise işler iyice karıştı. Bir süredir siber suçlular 5.000 dolar gibi bir rakama Carberp internet bankacılığı zararlı yazılımının kaynak kodunu satmaya başladılar. Satılan kaynak kodu Carberp’in full kaynak kodu. Kod içerisinde yazanın notlarını bile görmek mümkün. Paket içerisinde kaynak kodu, web-injection modülleri, solucan modülü Gavazar, bootkit modülü, köle sistemleri yönetmek için admin paneli, yaması yayınlanmış Windows açıkları için exploitler bulunuyor.

Aslında Carberp’in kaynak kodunun böyle düşük bir fiyata satılması bir sondan çok başlangıcı temsil ediyor. Son 2 yılda Carberp’in 10 milyondan fazla sisteme kurulduğu düşünülüyor. Bu sayının içerisine zararlı bulaşan sistemler, tespit edilebilen varyantlar, banka sistemleri dahil. Daha önceki zararlı yazılım frameworklerinde olduğu gibi eğer çok güçlü bir projenin kaynak kodları sızıyorsa, yolda yayınlanmayı bekleyen çok daha güçlü bir zararlı yazılım geliyor demektir.