Rusya’daki Bir Siber Suç Grubunun Yakalanma Öyküsü

2016 yazının başlarında Kaspersky Lab, Rusya’daki bazı banka ve şirketlerden büyük miktarlarda para çalan Lurk çetesine bağlı olan şüphelilerin yakalanmasına yardımcı olmuştu. Grup, son yıllarda yakalanan en büyük finansal siber suç grubuydu. Yalnız bu Lurk grubunun dahil olduğu tek olay değildi. Lurk’un kötü amaçlı yazılımının arkasındaki BT altyapısı analiz edildiğinde görülüyordu ki yazılımı işletenler istismar donanımlarını diğer siber suçlular için geliştiriyor ve onlara satıyordu.

Angler adı verilen istismar donanımı, geniş çapta yazılımların hassas noktalarını istismar edip bilgisayarlara sessizce ekstra kötü amaçlı yazılım yükleyebilen kötü amaçlı programlardan oluşuyor.

Angler istismar donanımı bilgisayar korsanları için gizli (underground) pazarda yıllardır en önemli araçlardan biri oldu. Angler’ın ilk faaliyeti, kiralanmaya başlandığı 2013’ün son zamanlarına denk geliyor. Reklam destekli yazılımlardan kötü amaçlı yazılımlara kadar farklı türde kötü amaçlı yazılım üreten pek çok siber suçlu grup bu donanımdan faydalandı. Donanım özellikle, internette bulunan en tehlikeli ve aktif fidye yazılım tehditlerinden biri olan CryptXXX ransomware üreticileri tarafından aktif bir şekilde kullanıldı. Ek olarak TeslaCrypt ve diğerlerinin arkasındaki gruplar da bu donanımdan faydalandı. Angler aynı zamanda Neverquest banka trojanını üretmek için de kullanıldı. Bu trojan neredeyse 100 farklı bankaya saldırma amaçlı oluşturulmuştu. Angler operasyonları Lurk grubu yakalandıktan hemen sonra sekteye uğramıştı.

Kaspersky Lab güvenlik uzmanları tarafından yapılan araştırmanın gösterdiği üzere Angler istismar donanımı, Lurk grubuna kötü amaçlı banka yazılımlarının bilgisayarları hedeflemesini mümkün kılarak güvenilir ve etkili bir dağıtım kanalı temin etmek için üretildi. Oldukça kapalı bir grup olan Lurk, diğer grupların aksine altyapılarının bir kısmını dışardan temin etmek yerine, kendi altyapılarını kendileri kontrol etmeye çalıştılar. Fakat 2013’te çete için işler değişti ve para vermeye hazır olan herkes için donanımı ulaşılabilir kıldılar.

Bilgisayar Davaları Soruşturma Başkanı Ruslan Stoyanov şunları söylüyor:

Lurk çetesinin Angler’a erişimi açmasının sebebinin kısmen faturaları ödeme gerekliliğinden olduğunu düşünüyoruz. Angler’i kiralamaya başlamalarından önce ‘işlerinin’ (şirketleri siber şekilde soymak) karlılığı uzaktan bankacılık sistemi yazılımı geliştirenler tarafından uygulanan güvenlik önlemleri sebebiyle azalıyordu. Bu, korsanlar hırsızlık sürecini daha da zor hale getirdi. Fakat bundan önce Lurk hali hazırda devasa bir altyapı ağı ve çok sayıda çalışana sahipt, ve her şeyin de bir ücreti vardı. Bu sebeple işlerini genişletmeye karar verdiler ve kısmen başarılı da oldular. Lurk banka trojanı sadece Rus şirketlere zarar veriyor olsa da, Angler dünyadaki tüm kullanıcılara karşı yapılan saldırılarda kullanılıyor.

Angler istismar donanımının geliştirilmesi ve desteklenmesi Lurk grubunun tek yan faaliyeti değildi. 5 yıldan fazla bir süredir grup, Uzaktan Banka Hizmetleri yazılımıyla otomatik para hırsızlığı için çok güçlü bir kötü amaçlı yazılım üretmekten, SIM kart takas dolandırıcılığı ve bankaların iç altyapılarına aşina olan uzman korsanları içeren gelişmiş hırsızlık şemalarına terfi etti.

5 yıldan fazla süredir Lurk grubunun aktiviteleri hakkında Kaspersky Lab araştırması hakkında daha fazla bilgiye buradan ulaşabilirsiniz: https://securelist.com/analysis/publications/75944/the-hunt-for-lurk

Pin It

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Time limit is exhausted. Please reload CAPTCHA.