Yazılar

Verileri şifreleyip şantaj yapan TeslaCrypt 2.0 baş belası yeni özelliklerle geliyor

verileri-sifreleyip-santaj-yapan-teslacrypt-bas-belasi-yeni-ozelliklerle-geliyorÜlkemizde de organize veya bireysel saldırılarda sıkça kullanılan Ransomware türü zararlı yazılımlardan TeslaCrypt ikinci versiyonuyla yenileniyor.

TeslaCrypt’ın yeni versiyonunda artık oyun dosyaları da şifreleniyor. Fakat asıl yenilik şifrelemede yapılan değişiklikler. Eskiye göre çok daha güçlü bir şifreleme bizi bekliyor. Bu versiyonda artık şifrelenen dosyaları açmak imkansız hale geliyor. TeslaCrypt artık kullanıcıya bildirimde bulunmak için bir arabirim yerine kopyaladığı HTML sayfasını kullanıyor.

Bulaşılan her PC için yeni bir anahtar üretiliyor. Yani eskisi gibi bir “master key” yardımıyla tüm şifrelenen verileri açmak mümkün değil. Elbette eski versiyonda bulunan ve güvenlik uzmanlarının verileri şifrelemesine yarayan açıklıkta giderilerek dosyalar kurtarılamayacak hale getirilmiş.

TeslaCrypt 2.0’ın diğer özelliklerine bakacak olursak;

  • Zararlı yazılım bulaştığı sistemden ödeme isterken her sistem için ayrı bir Bitcoin adresi oluşturuyor. Aynı şekilde her sistem için ayrı bir özel anahtar oluşturularak birbiriyle ilişkilendiriliyor
  • AES-256-CBC algoritmasıyla şifreleme gerçekleştiriliyor
  • 268 MB üzerindeki dosyalar şifrelenmiyor
  • C&C sunucuları Tor ağı üzerinde bulunuyor. Zararlı yazılım C&C sunucularıyla tor2web servisi aracılığı ile iletişim kuruyor
  • Şifrelenen dosyalar bilgisayar oyunları gibi çok sayıda şablona ve uzantıya göre seçiliyor
  • Diskteki Shadow kopyalar siliniyor
  • Kullanıcıya gösterilen pencerede yazılı RSA-2048 şifreleme algoritması aslında hiçbir yerde kullanılmıyor
  • TeslaCrypt 2.0’ın tamamı C++ ile yazılmış ve kripto fonksiyonları için ise OpenSSL kütüphanesi kullanılmış

250 dolara kurulabilecek siber suç çetesi

Siber suçluların kullanması için yeni bir crimekit piyasaya sürüldü. Atrax adındaki yeni crimekit sadece 250 dolara gizli haberleşme olanaklarına sahip bir siber suç merkezi olarak hizmet veriyor.

Atrax’ın tüm iletişimi TOR üzerinden sağlanıyor ve komuta kontrol sunucuları da TOR üzerinde çalışıyor. Fakat Atrax’ın gerçek gücü sadece bu değil. Aralarında form yakalama, DDoS modülü, Bitcoin/Litecoin miner, browserlardan veri çalma gibi pek çok özelliğin bulunduğu geniş bir fonksiyon listesi var. Atrax’ın övündüğü diğer bir özelliği ise Windows 8 destekleyen ilk bot çözümü olduğu.

atrax-siber-suc-crimekit-1

Crimekit’in ana komponentinin boyutu yaklaşık 1.2 MB. Bunun sebebi TOR entegrasyonu ve x64/x86 platformları için yazılan kodlar. Web downloader zararlı yazılımlarının ise boyutları 2 KB’ı aşmıyor. Sebebi farkedilmeden, yük getirmeden işini yapmak.

Atrax’ın çok sayıda modülü bulunıyor. Her ek modül siber suçlular tarafından ayrı ücretle satılıyor.

Standart özellikler

– Durdurma
– Güncelleme
– TOR üzerinden download, çalıştırma
– TOR üzerinden download, hafızada çalıştırma
– Plugin yükleme
– Yüklenmiş modül listesi
– Otomatik başlatma
– x86/x64 kodu, heavens gate tekniğiyle x86/x64 kodu inject etme
– Anti analyzer
– Anti debug/Anti hook engine
– GetProcAddressGetModuleHandle gibi şüpheli Windows API kullanımı yok
– Pluginler diske AES-128-CBC ile şifreli, random anahtar
– İletişim TOR üzerinden şifreli gerçekleştirilir. Ekstra bir iletişim biçimi yok
– Tüm plugin ve çekirdek kod işaretli. Herhangi bir sızıntıda güncelleme/destek alınamaz. Tüm destek/güncelleme hizmetleri ücretsizdir.

Eklenti / DDOS

– IPv6 + IPv4 desteği.
– UDP Flood
– TCP Flood
– TCP Connect Flood
– HTTP Slowris
– HTTP RUDY
– HTTP File Download
– Özel saldırı biçimleri talebe göre eklenebilir

Eklenti / Form Grabber

– Firefox, Internet Explorer x86/x64, Chrome SSL HTTP POST grabber
– Anti hook engine
– Özel hook engine
– Test edildi; PayPal, Amazon, Bitcoin.de, Mt.Gox, eBay, Gmail, vBulletin Boards
– SPDY v3 desteği
– Internet Explorer 7/8/9/10 Protected Mode desteği
– Sadece önemli POST form isteklerini yakalar
– Kullanıcı adı/Şifre/Email/Kredi Kartı gibi önemli bilgileri tarar

atrax-siber-suc-crimekit-2

Eklenti / Socks 5 Reverse Proxy

– Bu modül için ikinci bir VPS/dedicated sunucuya ihtiyaç vardır
– Server Java uygulamasıdır ve platform bağımsızdır
– Kimlik doğrulamalı veya doğrulamasız Socks 5
– Görev yöneticisi
– Proxy sunucuda farklı görevler farklı amaçlar için tanımlanabilir
– Reverse Socks olduğu için tüm istemcilerde çalışır

atrax-siber-suc-crimekit-3

Eklenti / Stealer

– Tüm browser versiyonlarından veri çalabilir
– Browserlar; Chrome, Firefox, Safari, Internet Explorer, Opera, FileZilla, Pidgin, JDownloader v1+v2, Gigatribe, Thunderbird, Windowskey, FlashFXP, ICQ, MSN, Windows Live, Outlook, Paltalk, Steak, Trillian, Minecraft, DynDNS, SmartFTP, WSFTP, Bitcoin Wallet (Armory, Bitcoin-Qt, Electrum, MultiBit)
– Duruma göre geliştirici ile görüşülüp yeni eklemeler yapılabilir
– Özel; JDownloader v1/v2, Bitcoin Waller Stealer ile tüm wallet.dat upload edilerek Bitcoin cüzdanları çalınabilir. Internet Explorer 10 + 11’, destekler
– Bitcoin/Litecoin miner.

atrax-siber-suc-crimekit-4

 

atrax-siber-suc-crimekit-5

Fiyatlar

Siber suçluların yeni platformu Atrax’da satışlarla ilgili tüm ödemelerde Bitcoin kabul edildiği göze çarpıyor. Aşağıdaki rakamlar USD karşılıklarıdır.

Standart sistem: 250 USD
Eklenti / DDoS: 90 USD
Eklenti / Form Grabber: 300 USD
Eklenti / Reverse Socks: 400 USD
Eklenti / Stealer: 110 USD
Eklenti / Coin Mining: 140 USD

Illegal eBay olarak anılan Silk Road kapatıldı

illegal-ebay-silk-road-kapatildiDeep Web’de bulunan, ağırlıklı olarak uyuşturucu satan fakat exploitler, hacker kiralama gibi pek çok illegal konuda faaliyet gösteren Silk Road platformunun kurucusu yakalanarak site kullanıma kapatıldı.

San Francisco’da tutuklanan 29 yaşındaki Ross William Ulbricht isimli, “Dread Pirate Roberts (DPR)” takma adlı kişinin sitenin sahibi olduğu belirlenerek uyuşturucu trafiğini yönetme ve para aklama gibi suçlarla tutuklandı. Silk Road platformu kapatılıncaya dek geçen sürede aralarında esrar, LSD, eroin, kokain, metamfetamin, ecstasy gibi uyuşturucuların olduğu geniş bir yelpazede hizmet veriyordu.

eBay benzeri bir çalışma mantığının olduğu sitede satıcılar ürünlerini koyuyor, alıcılar ise ağırlıklı olarak Bitcoin üzerinden ödeme yaparak bu ürünleri satın alıyordu. Alışverişin sonunda satıcı ve alıcılar puan verilerek kalite hakkında yorum yapılıyordu.

Elbette satılanlar sadece uyuşturucu değildi. Örneğin trojanlar, korsan yazılımlar, hacklenmiş kullanıcı hesapları, kiralık hackerlar, sahte ehliyetler, pasaportlar, anonim banka hesapları gibi belgelerin de satışı gerçekleştiriliyordu.

Silk Road’un sahibi Ulbricht’in bu işten milyar doları geçecek bir rakam kazandığı düşünülüyor. Fakat soruşturmalarda 600.000 Bitcoin’i, yani 80 milyon dolar değerinde sanal parası olduğu düşünülürken bunun sadece 26.000 Bitcoinlik kısmı ele geçirildi. Ele geçirilen sanal para ise FBI’ın Bitcoin cüzdanına aktarılarak ABD hazinesine devredildi. Bu aşamadan sonra FBI’ın Bitcoin ID’sini öğrenen kişiler ise bu hesaba 0.00000001 miktarda Bitcoin göndererek ekledikleri mesajla durumu protesto ediyorlar.

Şimdi Deep Web’in derinliklerinde bulunan, çok sınırlı sayıda kişinin erişiminin bulunduğu kaynaklar daha önem kaznacak gibi gözüküyor. Silk Road bu işin sadece vitrini gibi gözüküyor, fakat ismi bilinmeyen dış dünyaya kapalı bu tarzda ve hatta daha tehlikeli çok sayıda platform hizmet vermeye devam ediyor.

 

Bitcoin: Para aklamak için yeni bir cennet

bitcoinSon 10 yıllık dönem içerisinde, siber suçlar devlet güvenliği açısından ana tehdit unsuru olarak önemli bir sıçrama yaptı. Ciro, hem sıradan suçları etkileyerek hem de organize suçlar ve siber suçlar arasında yaratılan ve ayırt etmeyi imkânsız hale getiren ortaklıklar ile tahmin edilemeyecek rakamlara ulaştı.

Suçlular gruplar halinde, karmaşık siber dolandırıcılık vakalarında destek almak için siber suçlulara para ödemeye ve tam tersi olarak da siber suçlular majör suç kartelleri ile kendi suç faaliyetlerini birleştirerek kazanımlarına yeni yatırımlar yapma fırsatı yakalamaya başladılar. Görüldüğü üzere suçun sınırları yok ve toplumun her kesimine kontrolden çıkmış bir yangın gibi ilerlemeye devam ediyor. Kişisel bilgiler, bankacılık vb. gibi hassas bilgilerin çalınması için kötü amaçlı yazılım geliştirme ve dağıtma gibi alışılmış siber suç faaliyetlerine ek olarak ortaya çıkan yeni bir fenomen; siber dolandırıcılık ve hack hizmetlerinin sanal para sistemi ile satışı, kara para aklamada çok önemli bir unsur haline geldi.

Çok sayıda araştırmanın yanı sıra yasal kaynak ve gizli servislere ait raporlara göre, kara para aklamada Bitcoin denilen bir çeşit dijital para birimi kullanılıyor. Her ne kadar bu fenomen ile sanal para birimleri ve dinamiği hakkında çok az bilgiye sahip olunsa da Bitcoin’in olası yükselen bir tehdit olduğu şüphe götürmez bir gerçek. Oyun platformları ve dijital topluluklar da para aklama için birçok fırsatlar sunuyor. Bu kanalları kullanarak reel para birimlerinin herhangi bir gözetim mekanizmasına takılmadan sanal kredilere dönüştürülmesi mümkün. Para aklama işleyişini oluşturan başlıca 3 farklı aşama hakkında bilgi sahibi olmak bu döngünün anlaşılması için temel oluşturuyor.

Bu aşamalar;

Yerleşim; yasadışı fonların sanal bir dünyadaki banka hesaplarında hareketler oluşturarak veya devralma servisleri ile finansal bir sisteme tanıtılması eylemi.

Katmanlama; Yasadışı fonların finansal bir sistem içerisinde transfer ve dispersiyonu. Bu sıradan finansal sistemlerde, bankalar ve şirketler gibi çoklu aktörleri kapsayan karmaşık hareketlerin kullanılmasıyla mümkün olurken, sanal dünyada ise bir dizi bilinmeyen işlem ile sanal para transferi yapmak oldukça kolay bir operasyondur.

Entegrasyon; En kritik aşamalardan biridir. “Temizlenmiş” fonlar ekonomik sisteme tekrar tanıtılarak, genellikle meşru işlerde yeniden bir yatırıma çevrilir.

Siber alanda içe ve dışa olan finansal akışın kontrol edilememesi, sanal para birimi geri kazanım operasyonlarını son derece verimli hale getirirken kanıtlanmasını ise çok kılıyor. Ayrıca siber aklama fenomeni için herhangi bir yaklaşım düzenlemesinin olmaması da göz önünde bulundurulmalı.bitcoin-ulkeler

“Bitcoin” ile birlikte “Linden Lab’s Second Life” (Linden Dollars) sanal para birimleri, gerçek para ile sanal para birimleri arasındaki dönüşümün nasıl olduğunun 2 geçerli örneği. Second Life para aklamada öncü olarak kabul edilse de 2011’in ikinci yarısındaki tahmini dünya para aklama değerleriyle karşılaştırıldığında analiz edilen hacim hala sınırlı miktarda kalıyor. Second Life tarafından elde edilen Linden Dollar’ın 2011 yılı içerisindeki toplam miktarı 30 milyon dolar civarında.

Anonim işlemler ve bu işlemlerin anında gerçekleşiyor olması Bitcoin gibi sanal para birimlerinin önemli imtiyazları. Bu camia geçen zamanla birlikte hızla büyürken ayrıca sanal para ile ödeme kabul eden meşru şirketlerin sayısı da aynı oranda artıyor. Bitcoin, geniş çaplı yeraltı toplulukları ve Tor gibi anonim networklerin yaygınlaşmasıyla popülerliğini her geçen gün arttırıyor. Bu sanal dünyanın üyeleri kolluk kuvvetleri tarafından gerçekleştirilen her çeşit denetimden uzak kalmak maksadıyla sanal para birimlerini benimsemeyi kabul etmiş durumda. Derin internet yasal olsun yasa dışı olsun her türlü hizmet ve avantajı elde etmenin mümkün olduğu bir pazar olarak tanımlanabilir. Bu pazarın bir parçası olan Silk Road üyelerinin gerçekleştirdiği işlemlerdeki patlamayla etkileyici bir yükselme gösterdi.

Yapılan ilginç bir araştırmaya göre; derin internetin en ünlü kara pazarlarından olan Silk Road sadece ilaç satışlarından yıllık 22 milyon dolarlık bir rakam elde ediyor. Satışlardan elde edilen aylık toplam tutar 1.9 milyon dolara ulaşmakla birlikte, bir diğer inanılmaz detay ise Silk Road operatörlerinin aylık 143.000 dolara ulaşan komisyon miktarları olarak sayılabilir. Araştırma, yıllık 22 milyon dolarlık satış yapan pazarın, komisyonunu 6 ay öncesinden bu rakamın iki katına çıkardığının altını özellikle çiziyor.

Rakamlar, sanal para birimi kullanımındaki ciddi yansımaları teşvik edici olacak ki, kara para aklamak için kendilerine yeni kanallar araştıran suçlu gruplar için gitgide çekici bir hal alıyor. Her ne kadar işlem hacmi gerçek manada kanunun uygulanması ile ilgili olmasa da, FBI öncelikle yasadışı mali faaliyetlerde bulunabilecek suçlu grupların Bitcoin ağların difüzyonundan endişe duyuyor. Wired’ın Bitcoin sistemiyle ilgili FBI tarafından hazırlanmış, “Bitcoin Sanal Para Birimi: Yasadışı Faaliyetlerin Saptanması için Bariz Zorluklar Sunan Benzersiz Özellikler” başlığı altında gizlilik özelliği bulunmayan bir doküman ele geçirmişti. Bu raporda özellikle bitcoin-cuzdanşüpheli işlem kayıtlarından bilgi edinmenin zorluğu ve bu işlemleri gerçekleştirenlerin izlenmesinin imkansız olduğu üzerinde duruluyordu. Her bir Bitcoin karşılığının 12 dolara denk geldiği ve döngüdeki toplam Bitcoin sayısının 10.4 milyon olduğu düşünüldüğünde karşımıza 118 milyon dolarlık siber suçlar için gerçekten azımsanamayacak bir ekonominin çıktığı raporun öne çıkan bölümlerinden.

Gerek merkezi otorite gerekse diğer kontrol mekanizmalarının eksikliği, siber suçlular tarafından otoritelerce düzenlenmemiş ve izlenemeyen karmaşık transferler yapmak için kullanılan sanal para birimleri ile gerçekleştirilen yeni ödeme metotlarını ideal kılıyor. Para aklamadaki geleneksel yöntemler gelecek yıllarda kökten değiştirilebilir. Sanal para birimi kullanılarak gerçekleştirilen kara para aklamaya karşı verilen mücadele şeması karmaşık bir yapıda. Bu konudaki düzenleyici otorite eksikliği ve sistemin mimari yapısı suç faaliyetlerini izleyebilmeyi imkansız kılıyor. Hiçbir hükümet Bitcoin kullanıcılarının yasalara uymasını zorunlu kılmayı başaramaz. Siber suçluların sanal para kullanarak gerçekleştirdiği kara para aklama yolu sayısız olmakla birlikte, benimsenmiş olan spesifik sanal para birimi şemasına bağlı. Bunlar içerisinde en ünlü olanları Second Life ve Bitcoin. Her iki durumda da aklayıcılar sahte bilgi kullanarak çok sayıda sanal hesap oluştururlar. Bu hesap networkleri çok sayıda işlem gerçekleştirmek için kullanılır. Aklayıcı, bu sanal dünya içerisinde oluşturduğu hesapları aracılığıyla ürün ve hizmet alabilir. Son olarak da tüm gelirlerini tahsildar olarak koruduğu bir alt hesap kümesine yönlendirir. Bu aşamadan sonra artık toplanan fonlarını banka gibi istediği herhangi bir finansal hizmetten çekebilir ve bu fonların kaynağını izlemek imkansız olacaktır.

Sanal para biriminin gerçek para birimlerine dönüştürülmesi kritik bir basamak. Aklayıcılar kolluk kuvveti kontrollerinden kaçınmak ve kurtulmak amacıyla TOR gibibitcoin-propoganda anonim yazılımlar kullanırlar. Günümüzde sanal para birimleri halen düşük maliyetli işlemler için kullanılıyor. Fakat elektronik ödeme sistemlerinin kullanımında da makul bir artış olduğunu tahmin etmek oldukça kolay. Önümüzdeki yıllarda yeni ödeme sistemlerinin tanımlanması kuvvetle muhtemel ve tabi ki bu yöntemlerin suçlular tarafından kullanım oranları da aynı oranda artacak. Bu nedenle kara para aklama fenomenine karşılık olarak global olarak tanınan bir düzenlenmenin tanımlanması kesinlikle gerekli.