Yazılar

Internet bağlantısı gerekmeden sistemden veri sızdırmak

internet-baglantisi-gerekmeden-sistemden-veri-sizdirmakAirhopper zararlı yazılımı ile bir bilgisayardan internet bağlantısı olmadan veri sızdırmak mümkün.

Bu projeye göre internetten tamamıyla izole edilmiş bir bilgisayardan veri sızdırılabilir. İsral’li araştırmacıların geliştirdiği teknik sayesinde veri bilgisayardan, mobil cihaza gönderiliyor. Özel olarak ayarlanmış aktivite ve zamanlama sayesinde veri mobil cihazdan sanki normal bir internet, SMS verisiymiş gibi dış dünyaya iletiliyor.

Airhopper zararlı yazılımının yayılımı ünlü Stuxnet zararlı yazılımına oldukça benziyor. Veri bir sistemde saklanıyorsa, bir şekilde dışarıya çıkarılabilir. Bu hard diskler, taşınabilir diskler, üçüncü parti yazılımlar vb. gibi çok sayıda şekilde olabilir. Esas soru “offline” bir sistemden veri nasıl dışarı çıkartılır?

Bunun için Airhopper çok ilginç bir yöntem kullanıyor. Sisteme bulaşan zararlı yazılım ekran kartının grafik işlemcisini kullanarak yakındaki cep telefonunun yakalayabileceği elektromanyetik sinyaller gönderiyor. Elektromanyetik radyasyonun kullanıldığı bu transfer  ile veriler aktarılıyor.

Peki detaylarda saldırı hangi aşamalardan oluşuyor;

1. Hedef sisteme zararlı yazılım yerleştiriliyor

2. Bir veya birden fazla mobil cihaza zararlı yazılım yerleştiriliyor

3. Veri aktarılacak mobil cihazla iletişim kanalı oluşturuluyor

4. Sinyaller verileri hedef sistemden saldırganın sistemine aktarıyor

Burada en önemli noktalardan biri, zararlı yazılım bulaşan sistemden verilerin mobil cihaza radyo sinyalleri ile aktarılabiliyor olması. Bunun için telefonun FM radyo modülü kullanılıyor. Sonrasında ise olağan internet trafiğiyle birlikte bu veri internette bulunan saldırganın sistemine iletiliyor.

Bu araştırma projesi mevcutta kullandığımız çok sayıda teknolojinin içerisinde bulunduğu yeni bir tekniği ortaya çıkardı. İleriki zamanlarda farklı zararlı yazılımlar bu durumu istismar edecekmiş gibi gözüküyor.

Sızdırılan bilgiler sayesinde ATM’ler hackleniyor

sizdirilan-bilgiler-sayesinde-atmler-hackleniyorBaidu’da yayınlanan NCR ATM API dokümanları suçluların ATM odaklı zararlı yazılımlar geliştirmeleri için ciddi bir yardımcı kaynak oluşturdu. Yakın zamandaki artan ATM saldırılarının sebebi olarak bu olay gösteriliyor.

Kısa süre öncesine kadar Tyupkin adlı zararlı yazılım kullanılarak Avrupa çapında 50 kadar ATM cihazından zorla nakit para çekilmişti. Aslında Tyupkin bu türün tek örneği değil. 2013 Mayıs ayında Padpin adında bir zararlı yazılım, Ekim 2013’te ise Ploutus adlı bir zararlı yazılım yine benzer amaçla geliştirilerek aktif olarak kullanılmıştı.

Ploutus zararlı yazılımında saldırgan zararlı bulaştırdığı ATM cihazına SMS gönderiyor, ondan sonra da cihazın yanına giderek çıkardığı paraları alarak uzaklaşıyordu. Bu teknik dünyanın farklı köşelerindeki kriminaller tarafından kullanılmaya başlanmıştı. Zararlıyı bulaştırırken ise izlenen yol oldukça ilginç. Kişi illegal yolla ulaştığı USB portundan cep telefonunu USB tethering ile bağlayarak internet erişimini paylaştırıyor, sonrasında ATM cihazının içine gizlediği telefona uzaktan SMS göndererek ilgili komutları işlemesini sağlıyordu. Bu aynı zamanda telefonun pilinin de şarj olmasını sağlıyordu.

Elbette bu gibi zararlı yazılımları geliştirmek için söz konusu ATM cihazlarının yazılım ve donanım yapılarının iyi şekilde bilinmesi gerekiyor. Sızdırılan bazı dokümanlar ise bu riskin çoktan gerçekleştiğine işaret ediyor. Malezya’da kullanılan Padpin zararlı yazılımı sayesinde bir çete ATM cihazlarından 900 bin dolar para çekti. ATM’e bulaştırılan zararlı finansal servislerle ilgili çalışan DLL MSXFS.dll dosyasının bir uzantısı gibi davranarak API üzerinden ATM cihazında şifrenin girildiği tuşları izleyebiliyordu.

Tüm bu zararlı yazılımların, saldırıların, tekniklerin temelinde içeride tutulması gereken bazı özel dokümanların Çin merkezli arama motoru firması Baidu üzerinden sızdırılması ve ATM’lerin fiziksel güvenliklerinin yeterince sağlanamaması yatmakta.

İkinci el Android telefonlardan silinmiş onbinlerce bilgiyi geri getirmek

ikinci-el-android-telefonlardan-silinmis-onbinlerce-bilgiyi-geri-getirmekAndroid telefonlarda, telefonu tamamıyla fabrika ayarlarına getirmek veya fotoğrafları, bilgileri silmek tek başına yeterli olmuyor. Yapılan araştırmada eBay’den alınan bilgileri silinmiş 20 ikinci el telefondan 40 binin üzerinde veri kurtarıldı.

Aralarında HTC One X, HTC Evo, HTC ThunderBolt, HTC Sensation, Samsung Galaxy S2, Samsung Galaxy S3, Samsung Galaxy S4, LG Optimus L9, Motorola Droid RAZR MAXX gibi modellerin olduğu 20 telefondan söz ediyoruz. Tüm bu cihazlardan kurtarılan fotoğrafın miktarı 40 binin üzerinde. Bu fotoğrafların 1500 tanesi aile ve çocuk fotoğrafları. 750 kadarı ise çıplaklık içeren müstehcen fotoğraflar. Bu müstehcen fotoğrafların 250 tanesi de telefon sahibi tarafından selfie şeklinde çekilmiş.

Elde edilen bilgiler sadece bunlarla ilgili değil. Yüzlerce Google araması, 750’nin üzerinde email, SMS mesajı, 250’nin üzerinde iletişim bilgisi ve telefonların eski 4 sahibine ait bilgiler geri getirilebildi. Bu kişisel bilgiler kişilerin özel hayatları hakkında bilgi edinmek, bazı yasal süreçlerde kullanak için istismar edilebileceği gibi müstehcenlik içeren fotoğraflar şantaj amaçlı da kullanılabiliyor.

Sadece eBay üzerinde günde 80 bin kadar ikinci el telefon satılığa çıkarılıyor. Bunların neredeyse tamamı fabrika ayarlarına döndürülerek bilgiler silinmiş şekilde, yani tamamıyla geri getirilebilir şekilde alıcılarını bekliyor.

iBanking bot mobil bankacılık zararlı yazılımı

iBanking yeni bir mobil bankacılık zararlı yazılımı ve siber mafya tarafından ortalama 5000 dolar gibi rakamlara satışına başlandı.

Zeus ve Carberp gibi iBanking’de kaynak kodları ile birlikte yayınlanmaya başlandı. Çok sayıda insan kendi özel eklentilerini ve versiyonlarını geliştirmekle meşgul. Özellikle de MaaS yani Malware as a Service olarak yazılımı hizmet olarak satmak şu sıralar popüler.

ibanking-mobil-zararli-yazilim

Bu bot özelliğine sahip zararlı yazılım SMS veya HTTP üzerinden C&C sunucusu yardımıyla kolayca yönetilebiliyor. Bu verilen komutlarla aşağıdaki işlemleri gerçekleştirmek mümkün;

  • Tüm gelen/giden SMS mesajlarını yakalamak
  • Gelen tüm sesli aramaları başka bir numaraya yönlendirmek
  • Gelen/giden/cevapsız çağrıları silmek, kontrol etmek
  • Cihazın mikrofonunu kontrol ederek ses kaydetmek
  • Telefon defterini ele geçirmek
  • URL durumunu yakalamak. Burada amaç MITM yöntemiyle click-fraud tarzı saldırılar düzenlemek.

ibanking-mobil-zararli-yazilim2

iBanking bot mobil zararlı yazılımı aynı zamanda iki aşamalı kimlik doğrulaması kullanan bankacılık sistemlerini de atlatmakta başarılı. Kaynak kodlarının dağıtılıyor olması da herkesin farklı bankalarla ilgili yeni zararlı yazılımlar üretip paketleyerek kullanabileceği anlamına geliyor.

SMS ile gelen bankacılık şifreleri siber suçluların elinde

android-blackberry-internet-bankaciligi-zararli-yazilim1Bir süredir siber suçlular bankalar tarafından SMS ile gönderilen tek kullanımlık şifreleri zararlı yazılımlar ile ele geçirerek çalışmaya devam ediyor. Henüz yazım aşamasında bulunan yeni bir internet bankacılığı zararlı yazılımı anlık şifreler için Android ve BlackBerry platformlarını tehdit ediyor.

Tamamlandığında 4000 dolara satılacak olan yazılım çift aşamalı şifreleri ve SMS uyarılarını ele geçirerek saldırganlara anında iletiyor.

Yazılımın ana özellikleri;

– Gelen SMS mesajlarını göstermeden anlık olarak istenilen numaraya iletmek

– Gelen aramalardan istenilenleri göstermeden istenilen numaraya yönlendirmek

– Cihazdaki SMS mesajlarına tam erişim

– Cihazdaki arama geçmişine erişimandroid-blackberry-internet-bankaciligi-zararli-yazilim2

– Cihazdaki telefon rehberine erişim

– Cihaz mikrofonunu uzaktan aktive ederek konuşulanları kaydederek uzaktaki sunucuya göndermek

– Cihaz üzerinden izinsiz SMS göndermek

– Cihaz üzerinden izinsiz arama yapmak, yönetmek

– Internet bağlantısı olmadığı durumlarda SMS mesajlarıyla cihazı yönetmek

– Cihaz ile ilgili telefon numarası, ICCID, IMEI, IMSI, Model, İşletim sistemi gibi her türlü bilgiyi edinmek

İstenildiği takdirde yazılımın Rusça ve İngilizce dışında dillere de çevirisinin yapılması sağlanabiliyor. Yazılımın botnet tarafının ise hacklenen Google Play hesapları üzerinden, yazılım geliştiricilerin hazırladığı programların içerisine yerleştirilerek dağıtılması planlanıyor.

android-blackberry-internet-bankaciligi-zararli-yazilim3

Mobilde Android botnet problemi

android-sms-spam-botnetAraştırmacılar, tüm büyük ABD mobil ağlarında çalışan, tehlikeli cihazlardan oluşan ve SMS spam iletmek amacıyla kullanılan bilinen ilk Android botnetin tespit edildiğini açıkladılar.

Aralık ayının başlarında yapılan tespite göre; botnet, kullanıcıların farkında olmadan yükledikleri SpamSoldier adlı trojan içeren zararlı bir oyun uygulaması indirmeleriyle büyüyor. Virüs bulaşmış cihazlar bir komuta-kontrol sunucusu ile bağlantıya geçerek 100’den fazla telefon numarasına SMS göndermeyi sağlayan talimatlar alıyor.

Bu numaralara gönderilen mesajlarla birlikte, virüslü telefonlar yaklaşık bir dakika içerisinde yeni bir hedef listesine ulaşmış oluyor. Bu kötü amaçlı yazılım, bilinmeyen numaralardan gelen ve giden mesajları da engelleyerek, kurbanlarının diğer kullanıcılar veya mobil servis sağlayıcılar tarafından spam yaydıkları konusunda uyarılmasının da önüne geçmiş oluyor. Bu botnetin kurucuları, kurbanlarını sahte hediye çeki vaat eden linkler yoluyla kişisel bilgi talebinde bulunan dolandırıcı pazarlama sitelerine yönlendirmek başta olmak üzere buna benzer pek çok strateji kullanarak kazanım sağlıyorlar.

Tipik bir SMS spam tekniğinde, spammer bir mağazaya gider ve hazır SIM kartlardan alarak bunları spam mesajlar göndermek için kullanır. Teknolojinin bu metodu yakalamasıyla spammerların bu yolla elde ettiği kazanımlar çok çok azaldı. SpamSoldier kampanyasında, dolandırıcılar spam masraflarını kurbanlarının omuzlarına yüklüyorlar. Botnet, geleneksel PC ortamındaki benzerlerine nazaran daha “ilkel” olarak tanımlanabilir ama bu taktik saldırganlar tarafından kullanılacak bir gelecek modeli gibi görünüyor.

Şu ana kadar 800’den fazla spam gönderen numara tespit edildi ve virüs bulaşmış cihaz sayısının 1000 civarında olduğunu düşünülüyor. Ağlarında Spamsoldier sms-spam-botnet-mesajmesajlarının giriş çıkışına rastlanan ABD servis sağlayıcıları arasında Verizon, AT&T, Sprint ve T-Mobile yer alıyor. Mobil operatorlerden gelen yorum ise, düşük seviyede kötü amaçlı yazılım oluşumlarına rastlandığını doğruladı ve kullanıcı ya da servis sağlayıcılar tarafından fark edilmediği takdirde daha büyük olumsuzluklar yaşanabileceğini gösteriyor.  İlk negatif etki, gönderilen çok fazla sayıdaki SMS’ten dolayı kurbanlarının yükümlü olacağı borçlara ilaveten servis sağlayıcı ağlarında oluşacak potansiyel yavaşlama. Servis sağlayıcıların bu tür bir sorunu tespit edip gidermekte çok hızlı davranamayacakları olası bir durum ve bundan dolayı kullanıcılara uygulanacak ilk standart prosedür olarak telefonun mesaj gönderme işlevini devre dışı bırakmaları.

Android platformunun sahibi Google ise bu konuda yorum yapmaktan kaçınıyor ki geçtiğimiz temmuz ayında Android cihazlarda açığa çıkan spam botnet varlığına ilişkin çelişkili raporları da aynı şekilde inkar etmişlerdi. Google her nasılsa bu spam mesajların virüslü bilgisayarlar ve sahte mobil imzalar kullanılarak Android uygulamalarından biri olan Yahoo Mail’e yönelik yapılan kötü amaçlı bir saldırı olduğu sonuca varmıştı. Anlaşılan ileriki zamanlarda Google bile Android üzerinde dolaşan tehdit bulutlarını inkar edemeyecek gibi gözüküyor.

Yeni tehditler: E-posta, telefon ve sms

eposta_sms_telefon_saldirilari_siber_saldiri_bilgi_guvenligi_penetrasyon_testiİletişim kanalları arttıkça saldırıların boyutu da değişiyor. Eskiden sadece internet üzerinden gelecek saldırılarla boğuşacağımızı düşünürken bugün akıllı telefonlardan, akıllı ödeme sistemlerine kadar geniş bir yelpazede tehditle karşılaşmak mümkün.

Tüm bu ilerlemeye rağmen yine de eski saldırı yollarının önü kesilmiş değil. Dijital yeraltı dünyasında şu sıralar tekrar popüler olan yöntem e-posta ve yeni telefon, sms saldırıları.

Bu saldırı türlerinden e-posta saldırısı uzun zamandır kullanılan bir yöntemdi. Posta kutularını istenmeyen e-postalar ile doldurmak eskiden beridir kullanılıyordu. Fakat artık saldırganlar yöntem değiştirerek spam olarak işaretlenmeyecek web sitelerinin, web tabanlı uygulamalarını istismar etmeye başladı. Yani bir sabah kalktığınızda bir üyeliği, para transferini ya da farklı bir işlemi onaylayıp onaylamayacağınızı soran onbinlerce e-posta ile karşılaşabilirsiniz.

Bu yöntemin dışında bilindik üzere smtp sunucular üzerinden de spam hizmeti verilmeye devam ediliyor. Bu e-posta saldırılarında saldırganlar %60’ın üzerinde teslim edilme garantisi veriliyor. Siber saldırganlar bu iş için tarife bile belirlemiş. E-posta saldırıları için tarifeler aşağıdaki gibi işliyor;

Küçük paket – 25.000 e-posta – 25$
Orta paket – 50.000 e-posta – 40$
Büyük paket – 75.000 e-posta – 55$
Dev paket – 100.000 e-posta – 70$

Telefon çağrı saldırıları ise kurbanın telefon görüşmesi yapamamasını sağlıyor. Sürekli meşgul tutulan telefon sayesinde siz kimseyi arayamadığınız gibi, kimse de sizi arayamıyor. Kurban arama için gelen çağrıyı cevapladığında hat otomatik kapanıyor ve tekrar aramaya devam ediyor. Bu gelen çağrılar sayısız farklı numaradan geliyormuş gibi gözüküyor.

Telefon çağrı saldırılarının tarifesi ise saldırılacak telefon numarası başına ödeniyor. Ülke ya da operatör kısıtlaması bulunmuyor;

1 saat = 1.5$ (numara başı)
1 gün = 20$ (numara başı)

Sms saldırılarına gelince. Yine bu saldırılarda da kurbanın telefonuna sayısız numaradan sürekli sms mesajı geliyor. Bu saldırı biçimi için yasal veya yasadışı sms gateway sunucuları kullanılıyor. Sms saldırıları için siber suçluların fiyat tarifesi ise şöyle;

100 sms – 5$
1000 sms – 15$

Bunlar dışında ufak/orta boyutta bir işletmenin internet sitesini devre dışı bırakmak istenildiğinde günlük 50$ gibi bir ücret isteniyor.

Bu fiyatlar ve siber saldırganların konuyu ticari platforma taşıması bu tarz servislere olan talebi daha da arttırıyor. Eskiden sadece kulaktan kulağa yayılan bu tarz servisleri artık internetten edinmek kolayca mümkün.

Bankalar için cep telefonuna gelen SMS riskli

internet_bankaciligi_trojani_zeus_zitmoİyi bir antivirüs programı arayan Android kullanıcıları yeni bir tehditle karşı karşıya. Kendini “Android Security Suit Premium” diye adlandıran uygulama aslında Zitmo adında bir internet bankacılığı trojanını içeriyor.

Zitmo (Zeus-in-the-mobile) tüm dünyada özellikle internet bankacılığı ve finans merkezli olarak yaygın kullanılan Zeus trojanının mobil versiyonu diyebiliriz. Güvenlik yazılımı kılığındaki Zitmo bulaştığı Android telefonlarda internet bankacılığı SMS mesajlarını ele geçirerek bunları komuta kontrol sistemleri aracılığı ile dolandırıcılara iletiyor.

Zeus internet bankacılığı trojanı, Zitmo gibi pek çok farklı zararlı yazılım varyasyonuna ev sahipliği yapıyor. Türkiye’de de çok sayıda bankanın sistemlerine uygun şekilde tasarlanmış Zeus trojan kiti satışlarının el altında yapıldığı ve kullanıldığı biliniyor. Bu yeni mobil Zeus tehditini de dolandırıcılar Türkiye’ye uyarlamakta geç kalmayacaklardır.