Kaspersky Lab, ลubat 2017โde bankalara karลฤฑ dรผzenlenen gizemli bir takฤฑm โdosyasฤฑzโ saldฤฑrฤฑ รผzerine yaptฤฑฤฤฑ araลtฤฑrmanฤฑn sonuรงlarฤฑnฤฑ yayฤฑnladฤฑ: saldฤฑrganlar banka aฤlarฤฑna bellek-iรงi zararlฤฑ yazฤฑlฤฑmlar aracฤฑlฤฑฤฤฑyla giriyordu. Saldฤฑrฤฑ metodunun detaylarฤฑ ve arkasฤฑndaki sebepler ATMitch vakasฤฑ sayesinde gรผn yรผzรผne รงฤฑktฤฑ.
Kaspersky Lab Kฤฑdemli Gรผvenlik Araลtฤฑrmacฤฑsฤฑ Amin Hasbini, โKaspersky Lab, saldฤฑrฤฑlarฤฑn iล sektรถrรผndeki 140โtan fazla ลirket aฤฤฑna etki ettiฤini kaydetti. Virรผsler, META Bรถlgesi, Tรผrkiye, Suudi Arabistan, ฤฐran, Libya, Pakistan, Tunus, Fas, Mฤฑsฤฑr, Kenya, Uganda, Kongo ve Tanzanya dahil olmak รผzere, toplamda 40 รผlkede tespit edildi. ATMich olaylarฤฑ sadece iki รผlkede ortaya รงฤฑkmฤฑล olsa da, saldฤฑrganlar hala aktif olabilir. Firmalara sistemlerini kontrol etmelerini, bรถyle bir saldฤฑrฤฑnฤฑn yalnฤฑzca RAM, aฤ ve kayฤฑt defterinde algฤฑlanmasฤฑnฤฑn mรผmkรผn olduฤunu gรถz รถnรผnde bulundurmalarฤฑnฤฑ ve bu gibi durumlarda, kรถtรผ amaรงlฤฑ dosyalarฤฑn taranmasฤฑna dayalฤฑ Yara kurallarฤฑnฤฑn kullanmalarฤฑnฤฑ รถneriyoruz. Bu tarz bir saldฤฑrฤฑyฤฑ engellemek iรงin kapsamlฤฑ bir gรผvenlik yazฤฑlฤฑmฤฑ gerekir. Kaspersky Lab รผrรผnleri bu tarz taktikler kullanan saldฤฑrฤฑlarฤฑ baลarฤฑyla tespit edebiliyorโ dedi.
ฤฐnceleme, zararlฤฑ yazฤฑlฤฑm loglarฤฑ iรงeren iki dosyanฤฑn (kl.txt ve logfile.txt) bankanฤฑn adli uzmanlarฤฑnca ATMโnin sabit sรผrรผcรผsรผnden kurtarฤฑlฤฑp Kaspersky Lab uzmanlarฤฑyla paylaลฤฑlmasฤฑ sonucu baลladฤฑ. Siber suรงlularฤฑn soygun sonrasฤฑnda zararlฤฑ yazฤฑlฤฑmฤฑ silmiล olmasฤฑ sebebiyle saldฤฑrฤฑdan geriye sadece bu iki dosya kalmasฤฑna raฤmen, uzmanlar eser miktarda sayฤฑlabilecek bu verilerle baลarฤฑlฤฑ bir inceleme gerรงekleลtirebildi.
ฤฐstedikleri miktarda parayฤฑ birkaรง saniyede alฤฑp gidiyorlar
Kaspersky Lab uzmanlarฤฑ, sรถz konusu log dosyalarฤฑ iรงerisinde dรผz metin halinde tespit ettikleri bir takฤฑm bilgi parรงalarฤฑnฤฑn yardฤฑmฤฑyla halka aรงฤฑk zararlฤฑ yazฤฑlฤฑm havuzlarฤฑnda kullanฤฑlmak รผzere ve bir รถrnek yazฤฑlฤฑm bulabilmek amacฤฑyla bir YARA kuralฤฑ oluลturdu. Temel olarak birer arama dizesi olan YARA kurallarฤฑ, analistlerin birbiriyle alakalฤฑ zararlฤฑ yazฤฑlฤฑm รถrneklerini bulup, onlarฤฑ gruplamalarฤฑna, kategorize etmelerine, sistemlerdeki veya aฤlardaki ลรผpheli faaliyetlerin benzerliklerini temel alarak aralarฤฑnda baฤlantฤฑ kurmalarฤฑna yardฤฑmcฤฑ oluyor.
Uzmanlar, kฤฑsa bir sรผre sonra โATMitchโ olarak adlandฤฑrฤฑlacak olan โtv.dllโ zararlฤฑ yazฤฑlฤฑm รถrneฤini buldu. Bu yazฤฑlฤฑma daha รถnce Kazakistanโda ve Rusyaโda birer kere olmak รผzere sadece iki kere rastlanmฤฑลtฤฑ.
Sรถz konusu zararlฤฑ yazฤฑlฤฑm, ATMโlere hedef banka iรงerisinden uzaktan yรผklenip, uzaktan รงalฤฑลtฤฑrฤฑlฤฑyor. Bunun iรงin de ATMโlerin uzaktan yรถnetim sistemi kullanฤฑlฤฑyor. ATMitch, ATMโye yรผklenip baฤlandฤฑktan sonra meลru bir yazฤฑlฤฑmmฤฑลรงasฤฑna ATMโyle iletiลim kuruyor ve saldฤฑrganlarฤฑn bir takฤฑm komutlar yรผrรผtmesine fฤฑrsat veriyor. Mesela ATMโnin kasetleri iรงerisinde bulunan banknotlarฤฑn sayฤฑsฤฑ hakkฤฑnda bilgi toplamalarฤฑna, dahasฤฑ, tek bir tuลla ve istedikleri zaman para รงekmelerine izin veriyor.
Suรงlular iลe genellikle ATM iรงerisinde ne kadar para olduฤuna bakarak baลlฤฑyor. Ardฤฑndan, herhangi bir kasetten, herhangi miktarda banknotun verilmesini saฤlayan bir komut gรถnderebiliyorlar. Bu ilginรง ลekilde istedikleri miktarda parayฤฑ รงeken suรงlulara sadece parayฤฑ alฤฑp gitmek kalฤฑyor. Bรถyle bir ATM soygunu sadece birkaรง saniyede gerรงekleลiyor!
ATM soyulduktan sonra zararlฤฑ yazฤฑlฤฑm kendini siliyor.
Arkasฤฑnda kim var?
Saldฤฑrฤฑlarฤฑn arkasฤฑnda kimin olduฤu hala bilinmiyor. Aรงฤฑk kaynaklฤฑ zararlฤฑ kodlarฤฑn kullanฤฑmฤฑ, sฤฑradan Windows uygulamalarฤฑ ve saldฤฑrฤฑnฤฑn ilk aลamasฤฑnda bilinmeyen alan adlarฤฑnฤฑn kullanฤฑlmasฤฑ gibi faktรถrler, saldฤฑrฤฑlardan sorumlu grubu tespit etmeyi neredeyse imkansฤฑz hale getiriyor. Ancak, saldฤฑrฤฑnฤฑn ATM aลamasฤฑnda kullanฤฑlan โtv.dllโ Rusรงa bir dil kaynaฤฤฑ iรงerdiฤinden, bu profile uygun gruplar olan GCMAN ve Carbanak gruplarฤฑnฤฑ akฤฑllara getiriyor.
Kaspersky Lab Baล Gรผvenlik Araลtฤฑrmacฤฑsฤฑ Sergey Golovanov, konuyla ilgili olarak ลรถyle diyor: โBu tarz saldฤฑrฤฑlarla mรผcadele etmek, ilgili kurumu koruyan gรผvenlik uzmanฤฑ tarafฤฑnda belirli bir takฤฑm yetenekler gerektiriyor. Bir aฤa baลarฤฑyla sฤฑzmak ve oradan veri รงalmak sadece meลru ve yaygฤฑn araรงlarla yapฤฑlabilir ve suรงlular saldฤฑrฤฑ sonrasฤฑnda tespit edilmelerini saฤlayacak tรผm verileri silerek arkalarฤฑnda hiรง iz bฤฑrakmayabilirler. Bu sorunlarฤฑ ele alฤฑrken, zararlฤฑ yazฤฑlฤฑmlarฤฑn ve fonksiyonlarฤฑnฤฑn analizi iรงin adli bellek incelemeleri konusu giderek รถnem kazanฤฑyor. Bu vakada da gรถrdรผฤรผmรผz รผzere, dikkatlice yรถnetilen bir vaka mรผdahale sรผreci sayesinde, kusursuzca planlanmฤฑล gibi gรถrรผnen siber suรง vakalarฤฑnฤฑ bile รงรถzmek mรผmkรผn oluyor.โ
