Kaspersky Lab, özellikle bankaları hedefleyen siber saldırı tehdidi Carbanak’ın Carbanak 2.0 olarak geri döndüğünü açıklarken, benzer şekilde çalışan 2 gruba daha dikkat çekti: Metel ve GCMAN. Bu gruplar, finans kuruluşlarının sistemlerine geliştirilmiş ve APT’lerle sızarak sistemin içinde pusu kuruyorlar.
Kaspersky Lab Global Araştırma ve Analiz Takımı bu önemli açıklamayı İspanya’da gerçekleşen Kaspersky Security Analyst Summit (SAS) etkinliğinde yaptı. Bu etkinlik senede 1 defa gerçekleşiyor ve etkinliğe kötü amaçlı yazılımlara karşı çözüm üreten araştırmacı ve geliştiriciler, global güvenlik birimleri, CERT’ler (Bilgisayar Güvenliği Müdahale Takımları) ve güvenlik araştırmacılar katılıyor.
Siber-suç örgütü Metel’in kullandığı pek çok taktik var ve oldukça kurnaz bir yol izliyorlar. Bir bankanın içinde para transferlerine erişimi bulunan bilgisayarların (örneğin; bankanın çağrı merkezi / müşteri destek bilgisayarları) kontrolünü ele geçiren grup, ATM’den para çıkışı yapabiliyor.
ATM’lerden para çektiklerindeyse, aynı işlemi kaç defa yaparlarsa yapsınlar paravan olarak kullanılan hesabın bakiyesi eksilmiyor. Bugüne kadar gözlemlenen benzer vakalarda, örgüt gece vakti Rusya’nın şehirlerinde dolaşarak gördükleri bütün ATM’leri sistemini sızdıkları tek bir bankanın kartını kullanarak boşaltıyorlar. Sadece bir gecede cash out yapabiliyorlar.
Adli incelemeler sonucunda, Kaspersky Lab uzmanları Metel’in hedef odaklı kimlik avı yaparak e-mail üzerinden kullanıcının mail adresine kötü amaçlı yazılımları ek olarak yolladıklarını ve Niteris Hack Kiti üzerinden sisteme sızarak kullanıcının tarayıcısındaki zayıf noktaları buldukları tespit edildi. Ağın içine sızdıklarında ise, siber suçlular yasal olan ve sistemdeki açıkları bulmak için kullanılan test yazılımları ile farklı katmanlar arasında ilerliyor ve yerel domain konrolcüsüne kontak yaparak banka çalışanlarının para transferleri için kullandıkları bilgisayarları tespit edip ele geçiriyorlar.
Metel Grubu halen aktif olmakla beraber adli incelemeler devam etmekte. Bugüne kadar, grup Rusya dışında başka bir ülkede faaliyet göstermemiş durumda. Ancak, var olan problemin göründüğünden daha tehlikeli olduğunu düşünmek için pek çok sebep mevcut. Bu yüzden bütün bankaların sistemlerini bu salgından korumak adına kontrol ettirmeleri öneriliyor.
Bahsedilen 3 hacker grubu da özel olarak dizayn edilmiş kötü amaçlı yazılım kullanımını bırakarak sahtecilik operasyonlarında kullanımı yasal olan yazılımları istismar ederek ilerlemeyi seçtiler. Ağın alarm sistemlerini daha az uyaran bu yasal yazılımları kötüye kullanmak varken neden dikkat çeken ve çok fazla emek isteyen yazılımlarla vakit kaybetsinler ki?
Sinsilik söz konusu olunca GCMAN’ın en büyük aktörlerden biri olduğunu söylemek mümkün. Bu grup, kurumların ağlarına herhangi bir kötü amaçlı yazılım kullanmadan sadece siber açık yakalama araçları ile saldırabiliyor. Kaspersky Lab uzmanlarının incelediği vakalarda GCMAN’ın Putty, VNC ve Meterpreter gibi faydalı araçları manipule ederek sistemin farklı katmanlarında serbestçe dolaştığı ve online para transferlerini bankaların dikkatini çekmeden yaptığı gözlemlenmiş.
Kaspersky Lab uzmanları tarafından incelenen vakalardan birinde, saldırganların operasyonu yapmadan önce tam 1,5 yıl boyunca sistemin içine sızıp gizlendikleri anlaşılmış. Rusya’da anonim transferler için üst limit 200 dolar olduğu için, grup parayı 200 dolarlık transferler halinde çıkartmış. CRON zamanlayıcısı dakika başı zararlı bir komut göndererek herhangi bir hesaptan çekilen parayı paravan kişinin hesabına göndermiş. Transfer komutları doğrudan bankanın transfer giriş sisteminden yapılmış ve transfer detayları diğer sistemlerde gözükmemiş.
Son olarak, Carbanak 2.0 ile Carbanak geliştirilmiş dayanıklı tehdit (APT) aynı araçları ve aynı teknikleri kullanarak fakat bu sefer farklı bir grubu hedefleyerek ve para çekmek için farklı yöntemler ile yeniden ortaya çıkmış.
2015 yılında Carbanak 2.0’ın hedefi sadece bankalar değil ama aynı zamanda çeşitli kurumların bütçe ve muhasebe departmanları oldu. Kaspersky Lab tarafından gözlemlenen bir vakada ise Carbanak 2.0 üyeleri bir finans kuruluşunun sistemine erişmiş ve büyük bir şirketin mülkiyet bilgilerini değiştirmişlerdi. Yaptıkları değişiklikte, paravan görevi gören bir kişinin kimlik bilgilerini sisteme girerek, kişiyi şirketin pay sahibi olarak kaydetmişlerdi.