Fileless zararlı yazılım kullanan hacker’lar; sisteme girdiler, parayı çaldılar ve ortadan yok oldular!
Kaspersky Lab’ın başlıca güvenlik araştırmacılarından Sergey Golovanov ve Igor Soumenkov, gerçekleştirilen saldırıları Kaspersky Güvenlik Analist Zirvesinde açıkladı.
Yapılan araştırmaya göre saldırganların zararlı yazılımı makinenin uzaktan yönetim modülleri vasıtasıyla ATM’lere yüklediği belirtildi.
Saldırganlar şubat ayında tespit edilen “malware” aracılığıyla bankanın ağlarına uzaktan erişim sağlamışlardı. Sonrasında ATMitch adlı bir başka zararlı yazılımı ATM’lere yüklediler ve bulaştırılan ATM’lerden istedikleri zaman para çekebilir hale geldiler.
Kaspersky Lab, Şubat ayında saldırganların; “fileless” zararlı yazılımını bankaları, telekomünikasyon şirketlerini ve devlet kurumlarını da içeren 140 farklı kuruma yüklediklerini tespit etti. Bu kuruluşlar ağırlıklı olarak Birleşik Devletler, Birleşik Arap Emirlikleri ve Ekvador’da bulunmakla birlikte Brezilya, Fransa, Tunus, İsrail, İspanya ve Türkiye’yi de içeren 40 ülkede tespit edildi.
Zararlı yazılım için detaylı adli bilişim incelemeleri yapıldı. Fakat saldırıyı gerçekleştiren hacker’lar çok iyi bir şekilde gizlenmeyi başarmışlar. Saldırı başarılı olduktan sonra ise zararlı yazılım kendi kendisini sistemden sildi. Böylece araştırmaların derinleştirilmesi de engellenmiş oldu.
Golovanov ve Soumenkov, zararlı yazılımın etkilerini tespit etmek için ATM hard disklerini incelemeye başladılar. Bu disklerde kl.txt ve logfile.txt adında iki dosya tespit ettiler. Araştırmacılar buradan, log dosyalarındaki bazı bitleri net metinlerle bir araya getirerek kötü amaçlı yazılım için bir örnek bulmayı başardı. Habere açık olan kötü amaçlı yazılım depolarına örnek oluşturan bir YARA kuralı hazırladılar.
Teknik olarak, zararlı yazılım bir kere sisteme yüklendikten ve Uzak Masaüstü Bağlantısı üzerinden çalıştırıldıktan sonra, command.txt adında komut dosyası aramaktadır. Zararlı yazılım bu dosyanın içinde yer alan komutlara göre hareket etmektedir. Örneğin, command.txt dosyasının içerisine yazılan “O” komutu ile para haznesi açılır. İşlem tamamlandıktan sonra loglanır ve command.txt dosyası silinir.
Araştırmacılar, saldırıların arkasında kimlerin olduğunun tam olarak belli olmadığını belirtti. Ancak Şubat ayında olduğu gibi, kullanılan taktiklerin, tekniklerin ve prosedürlerinin GCMAN ve Carbanak grupları tarafından kullanılan yöntemlerle benzerlik taşıdıklarını belirttiler. Saldırının ikinci aşamasında kullanılan “tv.dll” zararlı yazılımları, grupların profiline de uyan Rusça bölümler içeriyor.
Saldırının ilk aşaması, iki ay önce belirtildiği gibi, open source yazılımlar üzerinden oldu. Bankalar, Domain Controllerın belleğinde, metasploit üzerinden oluşturulan meterpreter shellini tespit etti. Zararlı yazılım bellek tabanlı olduğundan, yeniden başlatmanın ardından silinmektedir.
ATM’den para çalmak için gün ortasında ATM’i delmeye çalışan ve inşaat işçisi gibi giyinmiş olan hacker’ı ilk başta kimse önemsemedi. Daha sonra bu durum polise bildirildi. Olayın gerçekleştiği ATM’ye gelen polis hacker’ı hacking araçlarıyla, kablolar ve bilgisayar ile suç üstünde yakaladı.
Golovanov ve Soumenkov, şüphelinin ATM’lere uzun bir kablo bağlayarak komut enjekte ettiğini tespit etti. Kablo üzerinden RS485 standardında 9 bitlik şifrelenmiş verinin gönderildiği tespit edildi. Daha sonra kullanılan protokol çözüldü.
Golovanov pazartesi günü yaptığı açıklamada, saldırganların hala faal olabileceğini ancak finansal firmaların paniklememesi gerektiğini söyledi. Bu tür saldırılarda aslında çok az bilgi geride bırakıldığından özellikle hafıza incelenmesinin çok dikkatli bir şekilde yapılması gerektiğini belirtti.
Global Research & Analysis Team ekibinin bir üyesi olan Golovanov, bu konferansta 2015 yılında Carbanak çetesinin korsanlarının bir dizi saldırıda finansal kuruluşlardan 1 milyar dolar çaldığını açıkladı.
Bu saldırılar 30 ülkede 30’dan fazla IP adresi ile ve ağırlıklı olarak ABD ile Rusya tarafından yapıldı. Suçlular, kimlik bilgilerini toplamak için keylogger kurmalarına izin veren bir arka kapı kullandı. Bazı suçlular parayı SWIFT ağı üzerinden kara para aklayan kişilere ilettiler. Bazıları ise direk ATM üzerinden para çaldı.
Saldırının anatomisi:
