Yazılar

MonsterMind: ABD’nin siber saldırı sistemi

monstermind-abd-siber-saldiri-sistemiHalen Rusya’da sığınmacı olarak bulunan eski NSA çalışanı Edward Snowden ABD istihbaratı ile ilgili bilgiler vermeye devam ediyor. Son bilgiler ise MonsterMind adındaki ABD’nin siber saldırılara otomatik olarak cevap veren ofansif siber savaş sistemi.

MonsterMind siber savaşta cephede kullanılan en aktif silahlardan biri olarak göze çarpıyor. Fakat kusurları da yok değil. Sistem yapılan saldırıya hemen cevap veriyor fakat gelen saldırının hangi kaynaktan ulaştığını doğrulamıyor. Yani spoof edilmiş IP adreslerinden gelen bir saldırıyı doğrulamadan kaynak sandığı noktaya saldırı ile cevap veriyor.

Bunun anlamı örneğin Rus IP adreslerini spoof ederek DDoS yapıldığında ABD’nin MonsterMind sistemi doğrudan Rus ağına saldırıyor. Diğer yandan tüm trafiği analiz eden MonsterMind sistemi bir nevi ABD vatandaşları dahil tüm trafiği dinliyor. Bu da anayasadaki gizlilik ile ilgili hükümlere ters düşüyor.

MonsterMind sistemi hükümetin 2008’de detaylarını yayınladığı Einstein 2 ve detaylarını 2013’te yayınladığı Einstein 3 sistemlerinin uygulanmış hali gibi gözüküyor. ABD hükümeti yetkilileri ise MonsterMind ile ilgili olumlu veya olumsuz bir yorum ya da açıklama yapmayı reddediyor.

650 bin kullanıcılık fidye pazarlığı

Ünlü hacker grubu Rex Mundi, Domino’s Pizza’nın Fransa ve Belçikadaki müşterilerinin isimleri, adresleri, telefon numaraları ve şifrelerini ele geçirdi. Ele geçirilen 650 bin müşteri bilgisi için ise pazarlık yapılıyor.

650bin-kullanicilik-fidye-pazarligi

Bilgileri ele geçiren grup ise tüm bu bilgileri yayınlamama karşısında Domino’s Pizza’dan 30 bin euro gibi bir fidye talebinde bulundu. Domino’s Pizza ise bu parayı ödemeyeceğini belirterek yasal haklarını kullanma yolunu seçti.

Fakat olay esnasında ihmaller de dikkat çekti. Domino’s Pizza sistemlerinde tutulan şifre bilgilerinin salted veya hashed olarak saklanmadığı, okunabilir formatta korunduğu ortaya çıktı. Bunun anlamı ele geçirilen bilgilerin olduğu gibi rahatça kullanılması mümkün. Olaydan sonra Rex Mundi’nin Twitter hesabı kapatıldı.

Rex Mundi hacker grubu daha önce RSS servisi sunan Feedly’ye DDoS yaptıktan sonra belli bir ücret ödenirse DDoS yapmayı durduracaklarını açıklamıştı. Siber suçlular Türkiye’de de aynı yöntemle çok sayıda kurumu hackleyerek para talep ediyorlar. Bunlar kimi zaman verilerin kurum içerisinde şifrelenmesi ve sonrasında şifre için fidye istenmesi şeklinde yaşanırken kimi zaman da ele geçirilen bilgilerin yayınlanması şeklinde oluyor.

650bin-kullanicilik-fidye-pazarligi-2

Kişiselleştirilmiş akıllı keylogger üretmek

Siber suçlular özelleştirilmiş araçlar sunmaya devam ediyorlar. Bu “kendin yap” tarzı araçlar yardımıyla zararlı aktivitelerden kazanılan ekonomi gün geçtikçe daha da ivme kazanıyor.

Sonuncusu bir keylogger bazlı botnet/zararlı yazılım geliştirme aracı. Web tabanlı yapıya sahip bu araç yardımıyla sadece istenilen özellikleri taşıyan keyloggerler yapılandırmak mümkün. Kullanışlı bir arabirime sahip bu zararlı yazılımda hedefe ve operasyona göre çok detaylı ayarlar yapmak mümkün.

Bu web tabanlı zararlı yazılımda sadece keylogging özelliği bulunmuyor. Bunun yanında DDoS fonksiyonu da eklenmiş durumda. Aşağıda bu zararlı yazılımdan bazı ekran görüntüleri bulunuyor.

kisisellestirilmis-akilli-keylogger-uretmek-1

kisisellestirilmis-akilli-keylogger-uretmek-2

kisisellestirilmis-akilli-keylogger-uretmek-3

kisisellestirilmis-akilli-keylogger-uretmek-4

kisisellestirilmis-akilli-keylogger-uretmek-5

 

WordPress siteleri üzerinden DDoS yaptıran servis

WordPress’in CMS kategorisinde en çok kullanılan web tabanlı içerik yönetimi yazılımı olmasının ardından siber suçlular da bu platform üzerinden nasıl para kazanabileceklerini düşünür oldular.

WordPress üzerindeki XML-RPC API modülünü istismar ederek istenilen hedefe DDoS yapmayı sağlayan servis farklı sürelerdeki saldırılar için farklı fiyatlandırmalar talep ediyor. 4.99 dolar ile 99.99 dolar arasında değişen paketlerde 40 Gbps boyutunda DDoS yapmak mümkün.

wordpress-siteleri-uzerinden-ddos-yaptiran-servis

wordpress-siteleri-uzerinden-ddos-yaptiran-servis-2

Web tabanlı ve 300 GB/s DDoS kapasiteli zararlı yazılım

Siber suçlular sürekli yeni projeler ile karşımıza çıkıyorlar. Bunlardan biri de web tabanlı, botnet/zararlı yazılım oluşturan bir araç. Bir nevi framework gibi çalışan bu platform kullanan kişilerin de katkılarıyla büyüyerek yeni tekniklere daha çabuk adapte oluyor.

Zararlı yazılımın botnet tarafındaki ajan dosya C ile yazılmış ve kendi obfuscation ve paketleme algoritmasına sahip. Çalıştırılabilir dosyanın boyutu ortalama 30 KB. Komuta kontrol sunucusu ile ajanlar arasındaki iletişimin tamamı şifreli olarak sağlanıyor. Fiyat ise 2500$ olarak belirlenmiş.

web-tabanli-botnet-zararli-yazilim-ddos

web-tabanli-botnet-zararli-yazilim-ddos2

web-tabanli-botnet-zararli-yazilim-ddos3

web-tabanli-botnet-zararli-yazilim-ddos4

web-tabanli-botnet-zararli-yazilim-ddos5

web-tabanli-botnet-zararli-yazilim-ddos6

Telefon hatlarına çok noktadan saldırı: TDoS

Siber mafyanın gündeminde şu sıralar TDoS (Telephony Denial of Service) hızlı bir yükselişte. Üst üste yeni araçlar yazılıyor ve bunlar çeşitli dışarıya kapalı platformlardan siber suçlulara satılıyor.

TerraMedusa Blog’da daha önce de bu tehditin detaylarını işlemiştik. Bu sefer bu konuda iddialı olan bir araca göz atacağız. Siber suçluların yayınladığı yeni araçlardan biri 3G USB/GSM/SIM kart tabanlı TDoS saldırı uygulaması ile hem maliyetleri düşük tutuyor, hem de saldırılarının etkinliğini üst seviyeye çıkarıyor.

Temin ettikleri çok sayıda Anonymous Sim Kart üzerinden rahatlıkla bu saldırıları gerçekleştirebiliyorlar.

3G USB Modem/GSM/SIM kartı tabanlı TDoS aracı ekran görüntüleri;

telefon-hatlari-cok-noktadan-saldiri-3g-gsm-cep

telefon-hatlari-cok-noktadan-saldiri-3g-gsm-cep2

TDoS saldırıları için sunulan örnek 3G USB Modemler;

telefon-hatlari-cok-noktadan-saldiri-3g-gsm-cep3

Fort Disco ile WordPress ve Joomla hedefte

fort-disco-wordpress-joomla-botnet-windowsFort Disco adındaki botnet ağı 6000’den fazla içerik yönetim sistemine sahip Joomla, WordPress, Datalife Engine çalıştıran web sitesine bulaştı ve bu sayı hızla artıyor.

Fort Disco botnet aşağı yukarı bulaştığı 25.000 Windows sistemden oluşuyor ve bu sayı aktif olarak artıyor. Bu 25.000 enfekte olmuş zombie sistemi yöneten ise 6 komuta kontrol sunucusu. Botnet, sitelere brute force yöntemi ile şifre deneyerek saldırıyor. Erişim sağladığı takdirde ise sisteme FilesMan PHP backdoor yükleyerek uzaktan kurbanın web sitesini kontrol ediyor.

Yüklenen arka kapı sayesinde komuta kontrol sunucuları tek komutla tüm sistemleri yönetebiliyor. İstenilen zararlı yazılımları ek olarak yükleyebiliyor. Fort Disco botnetinin sahip olduğu veritabanında kullanıcılar ve sistem yöneticileri tarafından sıkça kullanılan 123456 vb. basit şifreler yer alıyor. Örneğin “123456” şifresi tam 588 web sitesinde işe yaramış. Şifre olarak kullanılan “admin” ise 893 sisteme girişi sağlamış.

Bu zararlı yazılımda da kural bozulmamış. Eğer sistemde Rusya bölgesinden bir ayar veya dil seti yüklenmişse ve Rus ip adresine sahip bir siteye saldırılacaksa Fort Disco botneti bunu anlayıp saldırıyı durduruyor.

Suçlular ve sanal para birimi Bitcoin

suclular-ve-sanal-para-birimi-bitcoinKlasik para birimlerinin sürekli dalgalanan değerleri ve artan siber suçlar gözleri sanal para birimi Bitcoin’e çevirtti. Son bir ay içerisinde Bitcoin amansız bir büyüme içerisine girdi. Diğer para birimlerine göre daha güvenilir bir sığınak görünümü çizen sanal para birimi popülerliğini arttırıyor.

Başlarda değeri 20 dolar olan Bitcoin’in 3 ay içerisinde 142 doları bulması şaşırtıcı. Diğer yandan dolaşımda bulunan toplam Bitcoin’in değerinin 1.1 milyar doları aştığı belirtiliyor. Elbette bu şaşırtıcı potansiyeli siber suçluların farketmemesi düşünülemezdi. Dünyanın en büyük iki Bitcoin platformu Mt. Gox ve Instawalled geçtiğimiz günlerde DDoS, veri sızıntısı gibi farklı şekillerde tehditlerle karşı karşıya kaldı. Mt. Gox dünyanın en büyük ve en eski Bitcoin aracı kurumu olarak biliniyor. Farklı para birimleri arasındaki Bitcoin işlemlerinin %70’ini karşılıyorlar.

Mt. Gox karşı karşıya kaldığı DDoS saldırısı yüzünden altyapısını güçlendirmek zorunda kalırken Instawallet’ın başı çok daha fazla derde girdi. Instawallet’ın veritabanına erişen siber suçlular hesaplarda bir takım değişiklikler gerçekleştirdi. Bu değişikliklerin tespitinde zorlanan Instawallet çareyi servis vermeyi durdurmakta buldu. 50 BTC’nin altındaki hesaplarda bulunan tutarı iade edeceğini açıklayarak bu tutarın üzerinde Bitcoin bulunan hesapların manuel olarak inceleneceğini açıkladı.

Daha önceki vakalara bakıldığında sanal para biriminin sanal tehditlere karşı ne kadar savunmasız olabileceği görülmüştü. Eylül 2012’de Bitfloor adlı servisin başına gelen olayda 24086 BTC yani 248.088 dolarlık Bitcoin çalınmıştı. Haziran 2011’e dönecek olursak Mt. Gox’un hacklenerek kullanıcı adı ve şifrelerin ele geçirilmesi Bitcoin’in değerini neredeyse sıfıra düşürmüştü. Neyse ki Mt. Gox hileli transferleri teker teker tespit edip düzelttiği için kısa sürede Bitcoin’in değeri 17.50 dolar civarını bulmuştu.

Son günlerde son kullanıcıya kadar ulaşan tehdit Skype üzerinden yayılan bir zararlı yazılım ile devam ediliyor. Bulaştığı bilgisayarı Bitcoin üretmek için kullanan zararlı yazılım siber suçlulara ciddi paralar kazandırıyor.

Rus hackerlar 4.5 milyar dolar ile lider

rus_hackerlar_liderYeteneklerini yasadışı yollardan değerlendirmesiyle ün yapmış Rus hackerlar geçtiğimiz yıl gelirlerini iki katına çıkardı. Bu yeni tabloya göre global siber suç piyasasının lideri açık ara Rus ülkeleri. Üstelik tüm dünyayla karşılaştırıldığında az olan nüfuslarıyla orantısız olan bu suç liderliği daha şaşırtıcı bir hal alıyor.

Dijital suç dünyasının süper gücü olan Rus siber suçluların 2011 yılında elde ettikleri gelir ortalama 4.5 milyar dolar. Rus dijital suç pazarının tamamının 2011 yılındaki büyüklüğü ise 12.5 milyar doları buldu. Bu dünya üzerindeki her insan başına 2 dolar anlamına geliyor. Bu pazarın 4.5 milyar doları Rus asıllı suçluların cebine girdi. 2010 yılında 2.3 milyar dolar olan bu rakamın bir yılda ikiye katlanmış olması sürpriz çünkü 143 milyonluk popülasyonda ciddi bir artış bulunmuyor.

Rus siber suç aktivitelerinde en popüler olanı online dolandırıcılık, bu alan milyar dolarlık bir yer tutuyor. Bunun hemen ardından 830 milyon dolar ile spam e-postalar geliyor. Hemen ardında ise 130 milyon dolar ile sistemleri ulaşılamaz hale getiren DDoS saldırıları var.rus_hackerlar_suc_piyasasinda_lider

Giderek artan bir diğer trend ise artık eski usül çalışan mafya organizasyonlarının yenilenerek bünyelerine siber suçlarla ilgili kişileri dahil etmeleri. Bu şekilde yapılaşan kimi mafyalar sadece kendi aralarında ticaret yapıyorlar.

Rusya ve diğer Rus dili konuşulan ülkelerin dijital suçlulara karşı kendi ülkelerine zarar vermedikleri sürece pek bir yaptırımda bulunmadıkları biliniyor. Bu da yasadışı ekonominin önümüzdeki yıllarda artarak devam edeceğinin sinyallerini veriyor.