Harkonnen Operasyonu olarak anılan bu saldırı tespit yöntemi, virüsün 10 yıldan fazla bir süre boyunca tespit edilememesinden ötürü medya’da oldukça fazla yer aldı. Israil merkezli olan, siber saldırı önleyici sistem olarak bilinen CYBERTINEL, hizmet verdiği müşterilerinden birinin bilgisayar ağlarında anormal davranışlar sezdi. Yeni bir zararlı yazılım(Trojan) tipi olarak tahmin edilen bu davranış ile beraber yapılan analizler sonucunda virüsün çok derin bir altyapısı olduğu ve Almanya, Avusturya, İsviçre’yi, kapsayan bir alandan yönetildiği anlaşıldı. Etkilenen ülkeler arasında sekiz yüz firma ile İngiltere başı çekiyor.
2002 yılından beri yapılan bu saldırı, üç yüz’ün üzerinde şirketi ele geçirdi. Bunlardan bazıları, ticari işler yapan şirketler, hükümete bağlı enstitüler, araştırma labaratuvarları ve Alman dilini kullanan ülkelerin altyapı servisleri olarak sıralayabiliriz. Saldırgan, hedef olarak şirket içinde belirlenmiş bir sisteme zararlı virüsü yerleştirerek çok önemli bilgilere erişim yetkisi elde eder ve sonra bu bilgileri ele geçirir.
Ele geçirilen sistemlerin daha çok İngiltere’den olmasının nedeni, İngiltere’nin sistemlerinde siteler arası güvenli iletişimi sağlayan bir sistem olan “SSL Güvenlik Sertifikası” kullanma konusunda oldukça dikkatsiz ve denetimsiz davranması yer alıyor. Çok sayıda zarar verdiği düşünülen bu saldırı çeşidinin tam olarak verdiği zararı anlamak karmaşık yapısından ötürü imkansız.
HARKONEN SALDIRISININ HEDEFİ:
Virüs’ün keşfedildiği yer, otuz yıllık ve üç yüz çalışanı bulunan, içinde bir çok ülkeden birçok firmaya ait oldukça kritik bilgiler barındıran bir Alman organizasyonu. Organizasyon, beş alan adı ve uzaktan bağlantı kurulan birden fazla karmaşık ağ altyapısına sahip. Organizasyon her yıl on binlerce avro harcayarak bünyesine yeni güvenlik cihazları,araçları ve alanında uzman personelleri katarak sistemin devamlılığını sağlıyor. CYBERTINEL’in bulduğu ilk bulgular arasında üst düzey yöneticilerin bilgisayarları yer alıyor.
HARKONEN SALDIRISININ YAPISI:
Saldırı, herkes tarafından bilinen Oltalama(Phishing) denilen bir tekniğe dayanıyor. Saldırı, iki tip zararlı yazılım dosyası kullanılarak yapılıyor. Bu dosyalar hedef bilgisayara bulaşarak bilgileri saldırganın bilgisayarına gönderiyor.
. GFILTERSVC.exe
. wmdmps32.exe
Virüs, sisteme bulaştığı anda, dışarıdan gelen saldırgana dosya transferi yapmaya başlıyor. Açığa çıkarılan alan adları’nın çoğunun İngiltere’de kayıtlı olduğu gerçek adres ve kontak bilgileri ile birlikte tespit edildi.
SONUÇ:
Firewall’lar ve antivirüs yazılımları firmanızı tamamıyla saldırılara karşı korumaz.
Devlet veya özel, hiçbir organizasyon, uluslararası saldırılara karşı tamamıyle güvenli değildir.
Sistemlerinizin saldırılara karşı zarar görmesi şirketinize, önemli ölçüde veri ve müşteri kaybı yaşatabilir.
Ref: http://cybertinel.com/wp-content/uploads/2014/09/HARKONNEN-OPERATION-CYBER-ESPIONAGE1.pdf
Ref: http://www.wired.co.uk/news/archive/2014-09/16/harkonnen-operation