Kaspersky Lab’in Global Araştırma ve Analiz Ekibi, büyük bir Avrupa bankasının müşterilerini hedef alan saldırıya (Luuuk) ait kanıtlar buldu. Saldırganlar tarafından kullanılan sunucuda bulunan kayıtlardan anlaşıldığı üzere yalnızca bir haftada siber suçlular tarafından banka hesaplarından yarım milyon Euro’dan fazlası çalındı.
Bu kampanyaya ait ilk belirtiler, bu yıl Kaspersky Lab uzmanlarınca 20 Ocak tarihinde tespit edildi. Sunucunun kontrol paneli, müşterilerin banka hesaplarından para çalmak için kullanılan bir Trojan programına ait bulguları gösteriyordu.
Uzmanlar ayrıca, hangi hesaptan ne kadar para alındığıyla ilgili bilgilerin yer aldığı bu sunucuda işlem günlüklerini de tespit etti. Sonuçta, çoğunun İtalya ve Türkiye’de bulunduğu 190’dan fazla kurban tespit edildi. Kayıtlara göre her bir bankadan çalınmış olan tutar, 1.700 ile 39.000 Euro aralığında seyrediyor.
C&C sunucusu bulunduğunda, kampanya başlayalı (13 Ocak 2014 tarihinden önce olacak şekilde) en az bir hafta olmuştu. Bu süre zarfında siber suçlular 500.000 Euro’dan fazlasını başarılı bir şekilde ele geçirmişti. C&C sunucusunun GReAT tarafından keşfedilmesinden iki gün sonra suçlular, kendilerini izlemek için kullanılabilecek her türlü kanıtı ortadan kaldırdı. Bununla birlikte uzmanlar, bu durumu, Luuuk kampanyasının sona erdiği şeklinde açıklamaktansa, büyük olasılıkla kötü amaçlı kampanyalarda kullanılan teknik altyapıdaki değişikliklerle bağlantılı olduğunu düşündüler.
Kaspersky Lab Baş Güvenlik Araştırmacısı Vicente Diaz; “Bu C&C sunucusunu tespit etmemizden hemen sonra bankanın güvenlik servisi ve kolluk kuvvetleriyle temasa geçip sahip olduğumuz bütün delilleri ibraz ettik” dedi.
Kullanılan kötü amaçlı araçlar
LUUUK olayında, uzmanların, önemli finansal verilerin otomatik olarak ele geçirildiğine ve dolandırıcılık işlemlerinin kurbanların banka hesaplarına giriş yapar yapmaz uygulandığına inanmaları için yeterli kanıt bulunmaktaydı.
Vicente Diaz, “Bu kampanyada hangi kötü amaçlı programın kullanıldığına ilişkin olarak C&C sunucusunda herhangi bir bilgi tespit edemedik. Ancak, hali hazırdaki birçok Zeus çeşidi (Citadel, SpyEye, IceIX, vb.) gerekli özellikleri bulundurmaktaydı. Bu kampanyada kullanılan kötü amaçlı yazılımın komplike web bulaşma yolları kullanan bir Zeus niteliğinde olabileceğine inanıyoruz” şeklinde devam etti.
Para tasfiye planları
Çalınan para, dolandırıcıların hesaplarına ilginç ve alışılmamış bir yol kullanılarak geçirilmişti. Kaspersky Lab uzmanları, bu dolandırıcılıkta yer alan suçluların çalınan paranın bir kısmını özellikle oluşturulmuş banka hesaplarından ve ATM’ler üzerinden nakde çeviren para kuryelerinde diğerlerinden farklı bir orijinallik fark ettiler. Her biri farklı para tutarlarıyla ilişkilendirilmiş birkaç farklı kurye grubuna dair kanıtlar bulunmaktaydı. Bir grup, 40-50.000 Euro’luk bir meblağın aktarımından sorumluykenbir grup 15-20.000, diğer bir grup ise 2.000 Euro’dan daha az bir paradan sorumluydu.
Vicente Diaz, “Farklı kuryelerin sorumluluğuna bırakılan paralara ait bu miktar farklılıkları, her bir para kuryesinin farklı güven düzeyine ilişkin ipucu oluşturabilir. Bu tür suçlara katılanların, sık sık kendi ortaklarını da kandırdıklarını ve nakde çevirmeleri gereken parayı alıp gizlice kaçtıklarını biliyoruz. Luuuk patronları, farklı güven düzeylerinde farklı gruplar oluşturarak bu kayıpları engellemeye çalışmış olabilirler” diye ekledi.
Luuuk’a bağlı C&C sunucusu, soruşturma başladıktan kısa bir süre sonra kapatıldı. Bununla birlikte, MitB (Tarayıcıdaki Adam) operasyonunun karmaşıklık seviyesi, saldırganların bu kampanya için yeni kurbanlar aramaya devam edeceklerini gösteriyor. Kaspersky Lab uzmanları, Luuuk’un faaliyetleriyle ilgili devam eden soruşturmayla ilgileniyor.
