Emre bir gönderide etiketlendi

Facebook saldırganlar tarafından sıkça kullanılan bir saldırı vektörüdür. Dünyanın her yerinde yüz milyonlarca kişinin “paylaşım” yaptığı bir ortam herkes için iştah açıcı olacaktır.

Profesyonel merak da diyebilirsiniz, yersiz risk almak da ama “tamam, tıklamayayım ama tıklarsam ne olur?” diyerek bu tuzaklardan birine atladım.

 Hollywood filmlerinde olduğu gibi saldırganın bakış açısından bir senaryo dahilinde ele alırsak “operasyon” şöyle gerçekleşiyor.

Yazının konusu olmadığı için tuzağın nasıl kurulduğunu ele almayacağım, sadece benim gördüğüm haliyle ekran görüntüsünü paylaşacağım.

Adım 1: Olta 

Arkadaşım Emre bir gönderide etiketlenmiş. Gönderiye konu fotoğrafın “kompozisyonu” erkek Facebook kullanıcılarının dikkatini çekebilecek şekilde hazırlanmış.

Adım 2: Kapan

Emre’nin gömlek düğmelerini iliklemeyi unutmuş bu ablanın olduğu videoda ne gibi bir rolü olabileceğini merak ettiğim için tıklıyorum ve aşağıdaki ekrana geliyorum.

Bu ekranda bir kaç nokta dikkatimizi çekiyor: 

Artık Facebook’ta değilim. Facebook gibi görünen bu site aslında www(.)videotr(.)me (DİKKAT: ziyaret etmeyin) sitesi.

Videotr(.)me sitesinin sahibine ulaşmak için birkaç sorgu yapıyorum ancak alanadı sahibi bilgileri gizli. Bu sitenin nasıl bir ekosistemin parçası olduğunu anlamak için Bing arama motorunun bir özelliğini kullanıyorum. Bing arama motoru üzerinde “ip:” operatörü ile yapılan aramaların sonucunda aynı IP adresinden yayın yapan ve Bing tarafından endekslenen siteleri bulabiliyoruz.

Göreceğiniz üzere bazı “ilginç” alanadları da aynı IP adresini ve büyük ihtimalle aynı hosting şirketini kullanıyor.

Burada dikkatimizi en çok çekenler;

Cotton-panty: erotik site.

Alfasro: Site başlığı Silkroad sunucusu olduğunu söylüyor. Silkroad "derin internet" olarak da bilinen internetin karanlık tarafında uyuşturucu, silah ve çocuk pornosu gibi konularda ticaret yapmak için kullanılan bir ortamdır. Bu sunucu gerçekten bu sistemin bir parçası mı? yoksa "derin internet" konusunda meraklı birkaç kurban bulmak için mi hazırlanmış emin olamadım. 
Düzeltme: Bildirdiği güvenlik zafiyetleri ile Yandex şeref listesine (Yandex Hall of Fame https://yandex.com/bugbounty/hall-of-fame/2014/11/) giren Gökmen Güreşçi'den gelen bilgi üzerine: Silkroad diye bir oyun varmış, onunla ilgili bir sunucu olabilirmiş. Gökmen Güreşçi'ye teşekkür ederim. 

Candyhile: Popüler Candy Crush oyununa hileleri yayınladığını iddia ediyor.

Kurtalankilim: Anadolu kaplanı sitesi gibi duruyor. Bunların arasında ne işi var anlam veremedim. Ucuz hosting bulmanın verdiği mutlulukla acaba komşularını çok sorgulamadan şirket sitesini buraya mı taşımış?

Taşıdıkları risk nedeniyle sitelerin hiç birini ziyaret etmedim, sizin de ziyaret etmenizi önermem.

Adım 3: Saldırı

Yönlendirildiğim sahte Facebook ekranında tamamı düğmesini tıkladığımda, aşağıda görüldüğü gibi bir yazılım bilgisayarıma iniyor.

Tersine mühendislik ve zararlı yazılım analizi konusunda bir iddiam yok, o işi Mert Sarıca ve Emre Tınaztepe uzmanlara bırakıyorum, bu konuya ilginiz varsa her ikisini de takip etmenizi öneririm. Bu nedenle bunun ne olduğunu analiz etmek için internette ücretsiz olarak bu işi yapan siteleri kullanıyorum. 

İlk test olarak indirilen yazılımı VirusTotal sitesine yükledim. Sonuç aşağıdaki gibi oldu;

Virustotal’de çalışan toplam 56 antivirüs yazılımı arasında sadece 17 tanesi bu zararlıyı tespit edebildi. Bilgisayarınızda güncel ve lisanslı bir antivirüs yazılımı olmasının neden önemli olduğuna dair önemli bir göstergedir. Bu zararlıyı tespit edemeyen 39 antivirüsten birini kullanmanız durumda faydası olmayacağını unutmamak lazım. Antivirüs kullanacağız ama sağduyumuzu da elden bırakmayacağız. 

Bu zararlı yazılımın tam olarak ne yaptığı konusunda da kabaca bir fikir sahibi olmak dosyayı bir de Malwr sitesine yükledim.

Aşağıdaki ekranlarda görülüğü üzere zararlı yazılım klavye ve fare hareketlerini kaydediyormuş.

Adım 4: Parayı kazanmak

Kurbanların kullanıcı bilgileri (sitelerde ve uygulamalarda kullandığınız kullanıcı adı ve parola bilgileri) ve kredi kartı bilgileri saldırgana iletiliyor.

Güncelleme: Bu yazıyı yayınladıktan 1-2 saat sonra aynı "gönderide" çok farklı bir arkadaş çevremden birinin daha etiketlendiğini gördüm. Bu zararlı yazılımın hızla yayıldığına bir kanıt oluşturabilir. Bir diğer yandan da son gönderide etiketlenenlerden birinin çalıştığı kurumu görünce, bu zararlı yazılımın şirket veya kurum içerisinde Facebook kullanımına izin veren yerlerde de görülebileceğini ve devlet sırrı / ticari sır kaybına neden olabileceğinden şüphelenmeye başladım (kurum adına dikkatinizi çekerim).

Facebook gibi sosyal medya araçlarının kullanımında “uyanık” olmak gerektiğine dair güzel bir örnek oluşturan bu saldırı konusunda çevremizdekileri ve özellikle çocuklarımızı bilgilendirmek önemlidir. 

Europol Siber Suçlarla Mücadele Merkezi 2014 Raporu

Gelişmiş tehdit olarak sınıflandırdığımız APT hacker’ların dışında göz önünde bulundurmamız gereken önemli bir tehdit grubu siber suçlulardır. APT hacker’dan farklı olarak siber suçluların en büyük amacı para kazanmaktır. Son birkaç ayda Europol’a bağlı Avrupa Siber Suçlar Merkezi tarafından 2014 yılı için yayınlanan İnternet Suç Örgütleri Tehdit Değerlendirme raporunu okudum.

 Siber suçları diğer suçlardan ayıran en büyük özellik kuşkusuz suçlunun sucu işlemek için olay yerinde bulunmaya gerek duymamasıdır. Bu soruna raporda da değinilmiş ve bu nedenle güvenlik güçleri arasında ve uluslararası düzeyde yapılması gereken işbirliğinin önemi vurgulanmış. Siber suçlarda genel olarak görülen artışın ötesinde internet üzerinden işlenen suçların her geçen gün daha karmaşık hale gelmesi ve işlenen suçların hem sıklığının hem de sayısının artmasına da dikkat çekilmiş. Bu noktada rapor “bulut tabanlı siber suç” (Crime-as-a-Service) olarak da adlandırabileceğimiz ve suçu işlemek isteyenlere gerekli teknolojik bilgi ve araçların kiralandığı modele ve suçlular arasında artan gizlilik (anonymisation) seviyesine değinmiş.

Bulut tabanlı siber suçlar suç işlemek için gerekli imkanları sağlayarak internet üzerindeki yeraltı ekonomisinde büyük bir paya sahiptir. DDoS (Dağıtık Hizmet Dışı Bırakma) saldırılarının veya botnetlerin kiralanması, ihtiyaca özel zararlı yazılım geliştirilmesi, veri hırsızlığı ve şifre kırma gibi hizmetlerin kiralanabilir hale gelmesi standart suç örgütlerinin faaliyetlerini internete taşımalarını kolaylaştırmıştır. Siber suç örgütleri arasındaki ilişkilerin çıkar amaçlı veya proje bazlı başlaması ve bitmesi nedeniyle bu örgütlerin hiyerarşik yapısının tespit edilmesini zorlaştırmaktadır. Gizililik (anonymisation) ve Bitcoin benzeri kriptoparaların yaygınlaşması ile uyuşturucu, silah veya çalıntı mal ticaretinin yapılması kolaylaşmaktadır. Raporda bu noktada amaca özel ve kısıtlı kullanıma yönelik özel kriptopara birimlerinin daha sık görülmeye başlanacağının öngörüldüğü belirtilmiş.

Bulut tabanlı suç (Crime-as-a-Service)

Son yıllarda hızla gelişen siber suç dünyasının küresel ölçekte yılda 300 miyar dolardan fazla zarara yol açtığı tahmin edilmektedir. Siber suçlular olarak adlandırdığımız bu grup kendi içerisinde çok farklı özelliklere ve yeteneklere sahip küçük gruplara bölünmüştür. Uzmanlık alanlarının çeşitliği ve farklılığı ise yeteneklerini suç işlemek isteyenlere kiralayan kişi ve grupların ortaya çıkmasına ve yayılmasına neden olmuştur. Bu sayede eskiden çok özel yetenekler gerektiren siber suçları işlemek kiralama yoluyla geniş kitlelerin eline geçmiştir.

Yeraltı forumları

Siber suç dünyası çok büyük ölçüde internet siteleri ve forumlar üzerine kuruludur. Bunlar; siber suçluların tanışmak, tanıtımlarını yapmak, ürün veya hizmet alıp satmak için kullanılan pazar veya toplanma yerleri olarak düşünülebilir.  Forumlar kredi kartları veya hacking gibi belirli bir konuda uzmanlaşmış olabileceği gibi siber suçların tümünü de kapsayacak şekilde daha geniş kapsamlı olabilir. Yakın zaman kadar büyük ölçüde deepweb üzerindeyken (derin internet olarak da bilinen ve internetin endekslenmemiş bölümü) son zamanlarda Darknet’e (Derin internet üzerinde makinelerarası doğrudan paylaşım yapılan küçük ağlar) doğru kaymışlardır. Forumlarda kullanılan altyapı ve yazılımlar gibi forumları işletenlerin uyguladıkları operasyonel prosedürlerin de geliştiği görülmektedir. Darknet üzerinden hizmet eden bu yapılar suç forumları ve yasadışı alışveriş siteleri olarak ikiye ayrılabilir. Forum sitelerinin kendi içlerinde iyi düzenlenmiş bir hiyerarşi içerisinde yönetildikleri dikkat çekmektedir.

Suç Hizmetleri

Siber suç işlemek için ihtiyaç duyulabilecek bileşenlerin bütün veya parçalı olarak kiralanabilir olması suç örgütlerine yepyeni fırsatların kapılarını açarken konusunda uzman siber suçlular ise ihtiyaç duydukları destek hizmetlerini rahatça tedarik edebilir duruma gelmiştir. Suç hizmetleri kapsamında kiralanabilecek bazı bileşenleri aşağıda toparladım.

Altyapı hizmeti

Suç işlemek için siber suçluların kullanacakları altyapının güvenli, gizli ve emniyet güçlerinin erişiminden uzak olması gerekir. Bu kriterlere uyan altyapılar sadece maddi kazanç amacıyla işlenen suçlarda değil, çocuk pornosu dağıtımı veya ideolojik amaçlı işlenen siber suçlar kapsamında da kullanılmaktadır. “Kurşun geçirmez” olarak adlandırılan bu hosting hizmetlerini sağlayanların siber suç dünyasında önemli bir yeri vardır. Korudukları altyapının üzerinde barındırılan siber saldırı araçları, zararlı yazılımlar, zararlı yazılım komuta sunucuları, yasadışı içerik ve çalıntı verilerin suçlular arasında değeri düşünüldüğünde bu hizmetlerin yeraltı satış sitelerinde en çok rağbet gören hizmetlerin başında gelmesi şaşırtıcı değildir. Parasını ödeyen herkesin kiralayabileceği DDoS (dağıtık hizmet dışı bırakma) saldırılarını sağlayan altyapıların da her geçen gün geliştiği görülmektedir.

Veri hizmetleri

Siber suç dünyasının en genel geçer emtiası veridir. Bütün olarak çalınan kredi karı veya kimlik bilgisi gibi veriler yeraltı dünyasında perakende olarak satılır. Siber suçluların ticaretini yaptığı veriler sadece kredi kartı bilgileriyle sınırlı değildir. Websitesi giriş bilgileri, sosyal güvenlik bilgileri, doğum tarihi ve adres gibi bilgiler de alınıp satılmaktadır.

“Kurdukça öde” hizmeti

Zararlı yazılımı dağıtımında popüler olan bu hizmeti sağlayanlar zararlı yazılımı bulaştırdıkları sistem başına para alırlar. Bu hizmeti verenlerin ülke bazında özelleştirilmiş hizmet verdikleri de görülmüştür.

Hacking hizmeti

Basit haliyle e-posta veya sosyal medya hesabı bilgilerinin sızdırılmasını içeren bu hizmet daha hedefli veya ihtiyaca özel olarak da verilmektedir.

Tercüme hizmeti

Siber suçluların yaşadıkları ülke dışında düzenleyecekleri saldırılarda kullanılmak üzere tercümanlık hizmetleri sunulmaktadır.

Para aklama hizmeti

İnternet üzerinden çaldıkları paraları “kullanılabilir” hale getirebilmek için siber suçlular çeşitli para aklama hizmetlerinden faydalanmaktadır.

Zararlı yazılımlar

Siber suçlular tarafından sağlanan hizmetlerden en önemlilerinden birisi de zararlı yazılım tasarımı, geliştirilmesi ve yayılmasıdır. Son yıllarda karşılaşılan zararlı yazılımların teknik olarak çok gelişmiş olmasının yanında bu yazılımları geliştirenlerin 7/24 ulaşılabilir çağrı merkezi gibi profesyonel hizmetleri de vermeye başladıkları görülmüştür.

Exploit kit olarak da adlandırılan yazılımlar bilgisayarları istismar ederek zararlı yazılımların kurulmasını sağlayan araçlardır. Blackhole Exploit Kit (BEK) en başarılı Exploit kit kiralama örneklerinden birisidir. BEK sahte antivirüs dağıtımından cryptolocker türevlerinin dağıtımına kadar geniş bir yelpazede hizmet vermektedir. Windows, MAC ve Linux sürümleri olan bu yazılımı satanlar lisansla birlikte ömür boyu ücretsiz güncelleme de sağlamaktadır.

Gelişen trendler

Siber suç işlemek için ihtiyaç duyulan becerilere olan talebin önümüzdeki yıllarda artarak devam edeceği öngörülmektedir. Darknet’in kullanımının sadece siber suçlular arasında değil, normal suç örgütleri arasında giderek yaygınlaşacağı da bir diğer görüştür. Siber suçlular ise temelde iki ana gruba ayrılabilir, teknik becerisi olmayan veya çok az olan ama sayıca fazla olan grup ve teknik becerileri gelişmiş olan sayıca az olan grup. Önümüzdeki yıllarda, siber suç işlemek için ihtiyaç duyulan hizmetlerin daha kolay kiralanabilir hale gelmesiyle teknik becerisi olmadan siber suç işleyenlerin sayısının artacağı düşünülmektedir.

Ödeme Dolandırıcılığı

2012 yılında Avrupa Birliği genelinde kredi kartı ile yapılan öemelerin toplamı 3,5 trilyon Euro iken aynı yıl suçlular ödeme kartı dolandırıcılığı ile 1,3 milyar Euro kazanç sağlamışlardır. Kartlar üzerinden kaybedilen her Euro’nun maliyetinin 2,79 Euro olduğu düşünülürse kartlar üzerinden işlenen suçların yol açtığı zarar çalınan paradan fazladır. Avrupa genelinde yapılan araştırmalar da Avrupa Birliği ülkelerinin vatandaşlarının %35’inin internet üzerinden kredi kartı ile ödeme yapma konusunda güvensizlik yaşadığını göstermektedir.

Kart üzerindeki manyetik şeritteki bilgilerin bir okuyucu vasıtasıyla çalınması (Skimming) giderek daha az görülen bir suç çeşidiyken kartın fiziksel olarak bulunmadığı alışverişlerde (Card Not Present – CNP) yapılan dolandırıcılıkların giderek arttığı gözlemlenmektedir.

Kart bilgilerinin ticaretinin yapıldığı sitelerde bu konuda gelişmiş bir ekosistem oluştuğu göze çarpıyor. Banka, ülke veya posta kodu gibi özelliklere göre süzüp kart bilgisi satınalınabilen web sayfalarında aynı zamanda kart bilgisi geçerlilik kontrol etme yazılımından banka hesabı açmak için kullanılabilecek sahta kimliklerin satışına kadar geniş bir yelpazede ek hizmetlere ulaşmak da mümkündür. Kartların satıldığı bazı siteler ise kart bilgisi satışından paranın aklanmasına kadar olan süreci uçtan uca tek hizmet olarak sunmaktadır.

Kart bilgilerini çalan grupla bunları paraya çeviren grupların farklı olması ve çoğu zaman farklı ülkelerde faaliyet göstermeleri Emniyet güçlerinin mücadelesini zorlaştıran önemli etkenlerden birisidir. Aşağıdaki çizimde internet üzerinden ve fiziksel olarak kart biligi çalma ve kullanma yöntemlerini basitçe özetledim. 

 İnternet üzerinden kredi kartlarıyla ilgili suç işleyenlere baktığımızda bunların genelde Doğu Avrupa veya Rus kökenli, bilgisayar becerileri oldukça gelişmiş ve geleneksel suç örgütleriyle bağı olmayan kişiler olduğunu görüyoruz. Buna karşın fiziksel olarak kartın üzerinden bilgi çalan kişilerin insan ve uyuşturucu kaçakçılığı da dahil olmak üzere pek çok suçla ilişkilerinin olduğu görülmektedir.

Raporda ele alınan çocuk istismarı, sosyal mühendislik saldırıları, kritik altyapılara yönelik saldırılar gibi başlıkların Emniyet güçleri özelinde daha anlamlı olması nedeniyle, genel okuyucu kitlesini sıkmamak adına, burada ele almayacağım.

Zhang Yun ile Tanışın

“Bilgi güvenliği konusunda bir süre çalışınca bir miktar düşman ediniyorsunuz”. İddialı bir cümle oldu ama bu sene bana karşı yapılan “oltalama” (phishing veya bu durumda spear phishing) saldırılarının sayısında bir artış görüyorum. Gördüğüm kadarıyla bu saldırılar sadece beni değil, Türk ve Amerikalı bazı meslektaşlarımı da hedef alıyor.

En son karşılaştığım örneği paylaşıyorum. Bu kişiler sizleri de hedef alabileceğinden dikkatli olmakta ve bazı önemli noktaları göz önünde tutmakta fayda var. 

LinkedIn’den gelen bağlantı davetini gönderen profilin bilgileri aşağıdaki gibidir;

Dr. Zhang Yun

Vice Chairman/President/Exec Dir at Agricultural Bank of China Ltd

Experience: Vice Chairman/President/Exec Dir at Agricultural Bank of China Ltd

January 2009 - Present (6 years)

Languages: English

Skills & Expertise: Administrative Law, Non-profit Volunteering

Education: University of Leeds

Bachelor of Business Administration (B.B.A.), Business/Managerial Economics, 1977 - 1981

 Activities and Societies: Leeds Debate Team

Toparlarsak, Zhang Yun Çin Ziraat Bankasının Yönetim Kurulu Başkanı ve bu görevi 6 yıldır yürütüyor. İngilizce biliyor, Leeds Üniversitesinde okumuş. Görüldüğü gibi, LinkedIn’de 500’den fazla da bağlantısı var.

 Bağlantılarından ikisi Zhang Yun’u da becerileri için onaylamış. 

Becerileri için onaylayan 2 ikişinin de Türk olması ve Zhang Yun ile tek ortak tanıdığımızın Türkiye’nin önde gelen adli bilişim uzmanlarından birisinin olması bu kişinin Türkiye özelinde bir çalışma yürüttüğü fikrine kapılmama neden oldu.

Sizlerin de anlamış olacağı üzere bu, sosyal paylaşım sitelerinde sıkça karşılaştığımız, sahte profillerden biridir.

Kimsenin günahını almamak adına yine de araştırmamı yapıyorum ve görüyorum ki gerçek Dr. Zhang Yun Wuhan Üniversitesinden mezun olmuştur. Profil resmi olarak kullanılan resmin  bir internet sitesinden alındığını da görüyorum.

 LinkedIn’de gerçek olabilecek profili ararken, aynı kişi hazırlanmış sahte bir profil daha buluyorum. Bu profilde de “becerileri onaylayan” bir Türk, bu da bu işin arkasında yerli bir dolandırıcının olduğu konusundaki hislerimi güçlendiriyor.

Aşağıdaki resim de "Yun Zhang" olarak hazırlanmış başka bir sahte profil görebilirsiniz. 

Sahte profilleri anlamınızı sağlayacak ve bu tür tuzaklara düşmemenizi sağlayabilecek bazı noktalar ise şunlardır;

1. Sık karşılaşılabilecek bir isim kullanılmış
2. Profil fotoğrafı net değil, ufak veya Google’da aratılınca çıkıyor
3. Profil üzerindeki bilgilerin sadece gerekli olanları doldurulmuş (bu örnekte olduğu gibi iş ve okul)
4. Çok az bağlantısı veya arkadaşı var.
5. Facebook ve benzeri daha aktif kullanılan sosyal paylaşım sitelerinde ise;
6. Profilin oluşturulma tarihine bakın, tarihin yeni olması tehlike işareti olabilir.
7. Güncelleme sıklıklarına dikkat edin, genelde sahte profillerin güncellemelerinin seyrek olduğunu görüyoruz. 
8. Arkadaşlarının yazdığı yorumlara dikkat edin. Profilin arkadaşlarıyla paylaşımlar azsa veya birlikte çekilmiş fotoğraf yoksa, bunlar sahte bir profile işaret olabilir. 
9. Fotoğrafların az olması profilin sahte olduğuna dair bir işaret olabilir.  

Gerçekte tanımadığınız ve sizinle bağlantı kurmak isteyen biri hakkında bir miktar araştırma yapmak her zaman faydalı olacaktır. 

Linux sunucularda "Penquin" tehdidi

Daha önce Windows sürümü tespit edilen gelişmiş bir zararlının Linux sürümünün tespit edilmesi bir egemen devlet (ilk bulgular Rusya'yı işaret ediyor) tarafından yürütülen bir operasyonun su yüzüne çıkan kısmı olabilir. Windows sürümü ile 45'ten fazla ülkede yüzlerce Askeri ve Kamu sunucusuna erişen saldırganların bu sürümle saldırı yüzeyini daha da genişlettiklerini görüyoruz.

Sevimsiz bir Penguen: Linux için gelişmiş bir RAT (Remote Access Trojan - Truva Atı) "Penquin"

Sene başından beri bazı bileşenleri yakalanan ve “Turla” olarak adlandırılan gelişmiş bir zararlı yazılımın Linux sürümü gün yüzüne çıktı.

Daha önce 45 farklı ülkede (tabii ki listedeyiz) siber casusluk ve APT (Advanced Persistent Threat - Gelişmiş Sürekli Tehdit) saldırılarında kullanılan zararlı yazılımın şu ana kadar sadece Windows işletim sistemi ajanları yakalanmıştı.

Kaspersky tarafından Windows sürümü için hazırlanan infografik

32 ve 64 bit sürümleri de bulunan bu zararlı yazılımın kullanıldığı saldırılar aşağıdaki saldırı vektörleri kullanılarak gerçekleştirilmişti.

Oltalama saldırıları: “NATO’nun Suriye tutumu.src”, “Nota_N107-41D.pdf” veya “Sınır güvenlik protokolü.rar” gibi isimlerle önceden belirlenmiş kişilere gönderilen epostaların ekinde.
Zararlı yazılımın hedef kişilerin ilgisini çekecek web sayfaların içerisine gizlenmesi.
Daha “genel” sitelerde flash uygulaması güncellemesi olarak gösterilmesi.

Bu operasyon kapsamında şimdiye kadar tespit edilebilen ve saldırganlar tarafından zararlı yazılım dağıtmak için hazırlanan 100’e yakın site arasında 2 tanesi Türkçe’dir.

Şimdiye kadar yakalanan zararlı yazılım numuneleri CVE-2013-5065 (Windows XP ve 2003) ve CVE-2013-3346 (Adobe Reader) zafiyetlerini istismar ederek Windows işletim sistemini kullanan bilgisayarlarda arka kapı açıyordu. Arka kapıyı diğerlerinden ayıran en büyük özelliklerden birisi, aynı anda 2 farklı arka kapının açılması ve herhangi birinin kapanması halinde diğerinin onu tekrar açmasıdır.

Saldırın sonraki aşamaları ise genel olarak gördüğümüz “ölüm zinciri” döngüsüne uygun olarak yürüyor ve önemli kurumların (Kamu, Sağlık, Askeri ve Eğitim) verileri dışarıya sızdırılıyor.

Yeni yakalanan Linux sürümünün var olabileceği bir süredir tahmin ediliyordu ancak ilk defa geçtiğimiz günlerde gerçek bir numune ele geçirilebildi. Yapılan inceleme sonucunda yapı itibariyle Windows sistemleri hedef alan sürümüyle aynı bağlantı modelini kullandığı görülmüştür. Kaynak kod içerisinde gömülü olan “news-bbc.podzone(nokta)org” (Söylememe gerek yok ama ziyaret etmeyin) komuta sunucusu adresi ve “80.248.65.xx” ile başlayan DNS sunucusu bilgileri de Windows sürümlerindekilerle uyumludur.

Saldırganlar zararlıyı özel olarak hazırlanmış TCP ve UDP paketlerini kullanarak yönetiyor. Bulaştığı sunucuya gelen trafiği dinleyen zararlı yazılım TCP paketlerinde ACK bayrağı veya UDP paketlerin gövdesi içinde gönderilen talimatları bekliyor.

“Penquin” çoğu kurumda Linux işletim sistemi kullanan sunucuların internete bakması (web, mail, vb.) ve süregelen “Linux’larda virüs olmaz” yanılgısı nedeniyle, genelde savunmasız kaldığımız bir noktayı hedef almaktadır.

Zaralıyla ilgili lazım olabilecek bazı önemli bilgileri aşağıda paylaşıyorum, ağınızı ve özellikle internete bağlı Linux sunucularınızı kontrol etmenizde fayda var.

Yakalanan zararlı örneklerinin MD5 hashleri:
0994d9deb50352e76b0322f48ee576c6
14ecd5e6fc8e501037b54ca263896a11

zararlının bağlandığı kütüphaneler
glibc2.3.2
openssl v0.9.6
libpcap

Zararlının Windows sürümlerinde “Zagruzchik” adında bir DLL dosyası olduğu görülmüştür. Bu zararlının kaç sürümünün (unix? Solaris? Vb.) olduğunu bilmediğimiz için bu kelimeyi de sistem dosyaları içerisinde aramakta fayda olabilir.

Bu zararlı için kullanılan "Snake/Uroburos" platformunu dünyanın önde gelen antivirüs firmaları tarafından aşağıdaki isimlerle tanınmaktadır, tarama sonuçlarında bunlara dikkat etmekte fayda var.
F-secure: "Dropped:Backdoor.Generic.252173"
Kaspersky: "Trojan.Win32.Genome.hitb"
Symantec: "Backdoor.Pfinet"

Linux sunucularının temel güvenlik standartlarına uygun hale getirilmesinin ne kadar kritik olduğunu bu olayla bir kez daha görmüş olduk.

APT ve Ölüm Zinciri

APT (Advanced Persistent Threat) saldırılarını anlamak onları engellemek için önemli bir adımdır. Bu yazıda APT 28 olarak adlandırılan örgütün saldırılarını ve APT tehdidinin özeti olan "ölüm zinciri" sürecine bakacağız.  

Resim 1: Düşmana bakan göz (temsili)

Fireeye tarafından yayınlanan Advanced Persistent Threat raporu Rus siber suçlular dünyasına bir pencere açıyor.  

Bu yazı http://www.fireeye.com/resources/pdfs/apt28.pdf  adresinden ulaşabileceğiniz raporun ana hatlarının ve önemli konu başlıklarının özetidir.

APT 28 olarak adlandırılan siber suç örgütünün hedefindeki kurumlar genel olarak Rus hükümeti çıkarları ile paralellik gösteriyor.

APT 28 Gürcistan, Doğu Avrupa ve NATO Üyesi ülkelerdeki kişileri hedef alıyor.

APT 28 tarafından kullanılan zararlı yazılımların profesyonel bir geliştirme ortamında ve 2007’den beri sürekli iyileştirilerek üretildiği anlaşılıyor. Yazılım analizinin yapılmasına karşı önlemlerin alınmış olduğu görülmektedir.

Örgüt kullandığı zararlı yazılımları hedef ağ ve sistemlere uygun olarak ayarlıyor.

2007 yılından itibaren, bu gruba ait, yakalanan zararlı yazılım örneklerinin yarısından fazlasında geliştirme ortamının dil ayarının Rusça olduğu anlaşılmaktadır.

APT 28 tarafından kullanılan zararlı yazılımların çok büyük bir bölümü, Moskova çalışma günleri ve saatlerine uygun olarak Pazartesi – Cuma günleri ve sabah 8:00 akşam 18:00 saatleri arasında derlenmiş.

Örgüt hedef aldığı kişilere ve kurumlara ilgilerini çekecek özel olarak hazırlanmış oltalama (phishing/spearphishing) epostaları gönderiyor.

APT28 Gürcistan İçişleri Bakanlığı’na karşı yapılan ve 2013 yılında tespit edilen bir saldırıda zararlı kod içeren ve Gürcistan’daki ehliyet sahibi olanların listesinin olduğu bir excel dosyası kullanılmış. Zararlı bulaştıktan sonra mia.ge.gov (İçişleri Bakanlığı uzantısı) bir eposta adresi üzerinden ekinde ağ ve sistemler hakkında topladığı bilgilerin bulunduğu bir eposta göndermeye çalışıyor. Böylece veriler, daha az kontrol edilen bir yol üzerinden sızdırılıyor.

Örgütün bir başka denemesinde ise “MIA Users\Ortachala…” adresinde bulunan bir Windows güncellemesinin yüklenmesi gerektiğini iddia etmiş. Aşağıdaki resimde bu denemenin “sisteminizin güncellemelerinin yüklenmesi gerekmektedir… Bu mesaj size OTD IT Support tarafından gönderilmiştir” mealinde olduğu anlaşılmaktadır.

Resim 2: Örnek oltalama saldırısı 

APT 28 Gürcistan Savunma Bakanlığı’nı hedef aldığı saldırıda ise Bakanlık ile birlikte Bakanlığıa hizmet veren bir şirket de hedef alınmıştır. Bu saldırıda her iki grupta çalışanların doğrum günlerinin listesi olduğu iddia edilen bir dosya ile birlikte, İçişleri Bakanlığı örneğinde görülene benzer bir zararlı yazılım kullanılmış.

Örgüt aynı zamanda Kafkasya bölgesi hakkında haber yapan gazetecileri de hedef almıştır. “Reason” adlı derginin Baş Editörü tarafından gönderilmiş gibi görünen eposta ile gazetecilerden belli bir konuda görüş bildirmeleri istenmiş. Bu epostanın ekinin de hedef sisteme “sourface” (ekşi surat) olarak adlandırılan arka kapı yazılımını yüklediği ve bu sayede örgütün gazetecilerin bilgisayarlarındaki bilgilere erişe bildiği görülmüştür.

Aşağıdaki ekran görüntüsünde gerçek alanadlarını taklit eden ve APT 28 tarafından kaydedildiği düşünülen alanadlarını görüyoruz. Bunlardan ilki İslami bir haber ajansı (kavkazcenter.com yerine kavkazcentr.info)  gibi görünürken diğeri Ermenistan Silahlı Kuvvetlerine aitmiş havası yaratıyor (mil.am yerine rnil.am).

Resim 3: Oltalama için kullanılan örnek alanadları

Polonya, Letonya ve Estonya gibi Doğu Avrupa ülkelerinin de APT 28 tarafından hedef alındı tespit edilmiştir. Bu ülkelerde Bakanlıkların yanında A.B.D. ve diğer Avrupa ülkeleri ile ortak tatbikat ve çalışma gruplarına dahil olan kişilerin de özel olarak hedef alındığı görülmüştür.

NATO ve OSCE (Organization for Security and Cooperation in Europe) gibi Avrupa ve Küresel güvenlik örgütlerinin ve bu örgüt içerisinde çeşitli görevler üstlenen kişilerin de hedef alındığı görülmektedir. Bu amaçla APT 28 tarafından alınan alanadlarından bazılar aşağıda görülmektedir.

Resim 4: NATO ve OSCE'ye özel hazırlanmış alanadları

Bazı alanadların, EuroNaval 2014, EUROSATORY 2014, Farnborough Airshow 2014 ve Counter Terror Expo gibi güvenlik ve savunma fuarı alanadlarına benzetilmiş olması örgütün bu fuara katılanların ve ziyaret edenleri de hedef aldığını göstermektedir.

APT 28 tarafından hedef alındığı düşünülen bazı Kurumlar ise şunlardır;

• Norveç Ordusu
• Meksika hükümeti
• Pakistan Deniz Kuvvetleri
• Avrupa Birliği Komisyonu
• Dünya Bankası
• OPEC
• Hizb ut-Tahir
• Macaristan Hükümeti
• Özbekistan Dışişleri Bakanlığı
• Türkiye’deki Askeri Ataşelikler

APT 28 saldırılarında gözlemlenen genel adımlar aşağıdakilerdir

1. Hedefe özel hazırlanmış oltalama epostası gönderilir
2. Zararlı yazılım içeren dosya açılır
3. Zararlı yazılım çalışır
4. “SOURFACE” olarak adlandırılan gelişmiş zararlı yazılım indirilir

Rapor kullanılan zararlı yazılımların biraz daha ayrıntılı ele alınmasıyla bitiyor. (bkz. Bundan sonra yazdıklarım raporda yok)

Saldırılara “cool” isimler takmaya meraklı Amerikalı meslektaşlarım bu saldırılarda görülen yönteme “Ölüm Zinciri” (Kill Chain) adını takmışlardır. Hedefin kandırılarak bir eposta ekini açmasıyla başlayan zincir bilginin sızdırılmasına kadar uzanıyor.

Aşağıdaki 6 adım hem Türkiye’de hem de Uluslararası güvenlik ihlali olaylarında gördüğüm tipik “ölüm zinciri” akışını özetliyor.

Resim 5: "Ölüm Zinciri" adımları

Bu tür bir saldırının başarıya ulaşması için zincirin tamamlanması ve her aşamanın başarıyla geçilmesi gerekiyor. Saldırının istismar ettiği asıl zafiyet insan olduğu için engellemesi en zor saldırı türü olduğunu kabul etmek lazım. Öte yandan zincirin her hangi bir adımda kırılması veya bir sonraki aşamaya geçememesi saldırının kısmen veya tamamen etkisiz hale gelmesini sağlar.

Ölüm zincirini kırabileceğimiz 3 önemli nokta var; ilk aşama, iç ağ içerisindeki yatay hareketler ve verinin dışarıya sızdırılması. Bu adımlarda başarısız olan bir saldırının örgüte faydası olmayacaktır.

İlk aşamada, personelin gelen epostanın ekini açmaması veya eposta içerisindeki bağlantıya tıklamaması önemlidir. Bunu engellemek için de bilinen en etkili yol bilgi güvenliği farkındalık eğitimleridir.

Saldırganların iç ağ içerisinde hareketlerini kısıtlayacak yapının kurulması için bir miktar yatırım gerektiği doğrudur ancak işin temelinde VLAN ayrımı yapmak, istemciler arası trafiğin denetlenmesi gibi önemli noktalar vardır.

Verilerin sızdırılmasının engellenmesi kurumdan çıkan trafiğin denetlenmesi ile mümkündür.

Türkiye’nin stratejik konumu ve NATO üyesi olmasından dolayı APT 28 olarak adlandırılan örgütün burada faaliyet göstermediğini düşünmek büyük hata olur. 

Bu nedenle üzerime düşeni yapıp Kamu Kurumlarına (mail uzantısı mil.tr ve gov.tr olanlar) ve savunma sanayi şirketlerine ücretsiz olarak bilgi güvenliği farkındalık eğitimi vermek istiyorum.

Eğitim sonucunda personel ve yöneticiler oltalama saldırılarının gerçekte ne kadar tehlikeli olduğunu anlayıp kendilerine gelen epostalar konusunda daha dikkatli olacaklar. 

Kurum bünyesinde eğitimi ayarlamak için benimle iletişime geçmeniz yeterlidir.