NSA`nın SWIFT Ağına Ziyareti

NSA’nın su yüzüne çıkmış en karmaşık saldırılardan biri olarak nitelendirilen SWIFT ağına olan sızma çalışmasının genel adımlarını Cisco ASA güvenlik duvarlarını bypass edip, Windows sunuculardaki 0day’ler ile sömürüp Oracle veri tabanlarını kopyalaması olarak sıralanabilir. Haziran 2010` da İran’ın nükleer zenginleştirme programını hedef alan stuxnet saldırısından bu yana yaptığı en büyük sızma işlerinden biri olarak gösterilen NSA(National Security Agency/Ulusal Güvenlik Ajansı)`nın SWIFT ağına sızması ve veri tabanını kopyaladığı shadow brokers`ın yayınladığı araçlar ve sunumlardan ortaya çıkmaktadır.

SWIFT Nedir?

SWIFT Belçika merkezli 200` den fazla ülkedeki finansal kurumların finansal işlemler arasındaki bilgileri birbirine gönderip almasına ortam sağlayan bir kurumdur. SWIFT üyeleri genellikle bankalar ve ticaret kurumlarından oluşmaktadır. SWIFT hakkında daha detaylı bilgi için bağlantıdaki yazımızı okuyabilirsiniz.

SWIFT Hizmet Bürosu Nedir?

SWIFT hizmet bürosu SWIFT hizmetini kullanan bankalar için altyapı ve teknik destek sunar. Dünya üzerinde 74 adet akredite edilmiş SWIFT hizmet bürosu bulunmaktadır.

ShadowBrokers`ın Yeni Paylaşımı

14 Nisan günü ShadowBrokers` ın “EQGRP Lost in Translation” adıyla açtığı repoda 3 adet dizin bulunmaktadır. Bunlar:

  • oddjob
    Bu dizinde sistem kayıtları, excel dosyaları ve GİZLİ olarak işaretlenmiş sunumlar bulunmaktadır. Bu dizin ShadowBrokers`ın elinde sadece araçlar olmadığını dokümantasyonlarında yer aldığını göstermektedir.
  • Windows
    Bir seri Windows için exploitler yer almaktadır.
  • SWIFT
    Bu dizinde ise SWIFT bürosuna sızıldığına dair belgeler ve kayıtlar bulunmaktadır.

Adı geçen dizine gitmek için:

https://github.com/x0rz/EQGRP_Lost_in_Translation

Bu son 2 yıl üzerine gerçekleşen ikinci önemli SWIFT saldırı olayıdır. İlki Mart 2016`da Bangladeş Merkez Bankasından 81 milyon dolarlık vurgun ile gerçekleşmiştir.
ShadowBrokers tarafından yayınlanan arşiv ise Ortadoğu’nun en büyük SWIFT Hizmet bürosunun çeşitli mimari bilgileri, kimlik bilgileri ve delilleri içermektedir.

EastNets – www.eastnets.com

EastNets onaylı bir hizmet bürosudur. KYC(Know Your Customers/Clients); kara para aklama, önleme gibi hizmetler vermektedir.
Yapılan araştırmalara göre bankaların %70`i kendi SWIFT altyapılarını kurmak yerine bu ve buna benzer bürolardan hizmet almayı tercih etmektedirler. SWIFT hizmet bürolarının listesi için:

https://www.swift.com/about-us/partner-programme/service-bureau-directory/service-bureau-directory

SWIFT büroları finans kuruluşları için kendi tabiri caizse kendi bulut hizmetini sunmaktadır. EastNets` in sızdırılan verilerini incelersek bu verileri Oracle Veri tabanı ve SWIFT yazılımları sayesinde kendi üzerinde barındırır. Bu nedenle SWIFT Destek Erişimi(SAA), KYC, uyumluluk ve koruma önleme gibi hizmetlerde sunmaktadır.

EastNets` in müşteri listesi:

swift

nsa

Yayınlanan dosyada bulunan araçlarda Oracle Veri tabanı bilgilerini okumak için kullanılan araçlar, SWIFT mesaj sorgularında da yer almaktadır.

JEEPFLEA_MARKET

Bu 2013 EastNets operasyonunun kod adıdır. ShadowBrokers bir sunum dosyası yayınlayarak NSA` in hedefleri hakkında bilgi sunmaktadır. Günümüze kadar Edward Snowden haricinde NSA hakkında veri paylaşan olmamıştır.
Şifrelenmiş parolalar EastNest makina yapılandırma dosyalarında görüntülenebilir.

Arşive göre EastNest`in Belçika, Ürdün, Mısır ve Birleşik Arap Emirlikleri’nde ofisleri bulunuyor. Bunun yanı sıra kimlik bilgileri, çalışan hesapları ve yönetici parolaları da dosyalar içerisinde yer almaktadır.

 Yönetici listesi;

 Az önce bahsettiğimiz sunum örneği;

swift

 JEEPFLEA_POWDER

EastNets`in web sitesine göre BCG(Business Computer Group) EastNets`in çözüm ortağıdır.

http://www.eastnets.com/Partners/Business_Resellers/Americas_copy1.aspx

Sunumdan da anlaşılacağı gibi 2013 yılında BCG ile anlaşmaya varılamamıştır.

Saldırıların yanı sıra şimdiye kadar SWIFT sistemini ve destek bürolarının çalışma sistemlerini anlatan bu kadar detaylı veri bulunmamaktaydı. Bu ortaya çıkan veriler diğer SWIFT altyapısı sağlayan büroları da tehlikeye sokmaktadır. Bir saldırıda hedefin Uç-Orta-Arka planındaki arasındaki ilişkiyi bilmek saldırganlar için oldukça değerlidir.

ShadowBrokers`ın ilk yayınladığı bu belgelerden sonra Cisco tarafından ASA güvenlik duvarları için güncelleme yayınlaması ve kurumların bu güvenlik güncellemelerini yapmaları önem arz etmektedir.

Hedefler

 FUZZBUNCH

Al Quds Kalkınma ve Yatırım Bankası, Filistin’in Ramallah kentinde bulunan bir bankanın bir hedef olduğunu bir örnek görebilirsiniz. Sunucuların FUZZBUNCH ın Windows 2008 R2 exploitlerinden yararlanıldığı görülmektedir.
FUZZBUNCH a erişmek için;

https://github.com/fuzzbunch/fuzzbunch

 

Windows

Repoda Windows dizininde EastNets üzerinde kullanılan exploitler yer almaktadır. FUZZBUNCH` ın içindeki exploitlerin listesi;

FUZZBUNCH

ODDJOB

Oddjob uygulaması;

oddjob

oddjob

SWIFT Alternatifleri

Çin 2015 yılından beri Swift’e alternatif olarak CIPS(China International Payments System), Rusya ise SPFS(System for Transfer of Financial Messages) geliştirdiklerini duyurdular.

Neler Yapabiliriz

Windows Vista ve altında bir sürümde işletim sistemi kullanıyorsanız desteğin kesildiği için sistemleriniz için güncelleme yayınlanmayacaktır, ve zafiyetli olarak kalmaya devam edecektir. Güvenlik yamaları yazı yayına girdiği tarihte yayınlaşmış bulunmaktadır. Sistemlerinizin güvenliği için güncelleştirmeleri zamanında yapmanız büyük önem arz etmektedir.