Kaspersky Lab’in Global Araştırma ve Analiz Ekibi, büyük bir Avrupa bankasının müşterilerini hedef alan saldırıya ait kanıtlar buldu. Saldırganlar tarafından kullanılan sunucuda bulunan kayıtlardan anlaşıldığı üzere yalnızca bir haftada siber suçlular tarafından banka hesaplarından yarım milyon Euro’dan fazlası çalındı. Kurbanlar arasında Türkiye’de bulunan hesaplar da var.
Bu kampanyaya ait ilk belirtiler, bu yıl Kaspersky Lab uzmanlarınca 20 Ocak tarihinde tespit edildi. Sunucunun kontrol paneli, müşterilerin banka hesaplarından para çalmak için kullanılan bir Trojan programına ait bulguları gösteriyordu.
Uzmanlar ayrıca, hangi hesaptan ne kadar para alındığıyla ilgili bilgilerin yer aldığı bu sunucuda işlem günlüklerini de tespit etti. Sonuçta, çoğunun İtalya ve Türkiye’de bulunduğu 190’dan fazla kurban tespit edildi. Kayıtlara göre her bir bankadan çalınmış olan tutar, 1.700 ile 39.000 Euro aralığında seyrediyor.
C&C sunucusu bulunduğunda, kampanya başlayalı (13 Ocak 2014 tarihinden önce olacak şekilde) en az bir hafta olmuştu. Bu süre zarfında siber suçlular 500.000 Euro’dan fazlasını başarılı bir şekilde ele geçirmişti. C&C sunucusunun GReAT tarafından keşfedilmesinden iki gün sonra suçlular, kendilerini izlemek için kullanılabilecek her türlü kanıtı ortadan kaldırdı. Bununla birlikte uzmanlar, bu durumu, Luuuk kampanyasının sona erdiği şeklinde açıklamaktansa, büyük olasılıkla kötü amaçlı kampanyalarda kullanılan teknik altyapıdaki değişikliklerle bağlantılı olduğunu düşündüler.
Kaspersky Lab Baş Güvenlik Araştırmacısı Vicente Diaz; “Bu C&C sunucusunu tespit etmemizden hemen sonra bankanın güvenlik servisi ve kolluk kuvvetleriyle temasa geçip sahip olduğumuz bütün delilleri ibraz ettik” dedi.
Kullanılan kötü amaçlı araçlar
LUUUK olayında, uzmanların, önemli finansal verilerin otomatik olarak ele geçirildiğine ve dolandırıcılık işlemlerinin kurbanların banka hesaplarına giriş yapar yapmaz uygulandığına inanmaları için yeterli kanıt bulunmaktaydı.
Vicente Diaz, “Bu kampanyada hangi kötü amaçlı programın kullanıldığına ilişkin olarak C&C sunucusunda herhangi bir bilgi tespit edemedik. Ancak, hali hazırdaki birçok Zeus çeşidi (Citadel, SpyEye, IceIX, vb.) gerekli özellikleri bulundurmaktaydı. Bu kampanyada kullanılan kötü amaçlı yazılımın komplike web bulaşma yolları kullanan bir Zeus niteliğinde olabileceğine inanıyoruz” şeklinde devam etti.
Para tasfiye planları
Çalınan para, dolandırıcıların hesaplarına ilginç ve alışılmamış bir yol kullanılarak geçirilmişti. Kaspersky Lab uzmanları, bu dolandırıcılıkta yer alan suçluların çalınan paranın bir kısmını özellikle oluşturulmuş banka hesaplarından ve ATM’ler üzerinden nakde çeviren para kuryelerinde diğerlerinden farklı bir orijinallik fark ettiler. Her biri farklı para tutarlarıyla ilişkilendirilmiş birkaç farklı kurye grubuna dair kanıtlar bulunmaktaydı. Bir grup, 40-50.000 Euro’luk bir meblağın aktarımından sorumluykenbir grup 15-20.000, diğer bir grup ise 2.000 Euro’dan daha az bir paradan sorumluydu.
Vicente Diaz, “Farklı kuryelerin sorumluluğuna bırakılan paralara ait bu miktar farklılıkları, her bir para kuryesinin farklı güven düzeyine ilişkin ipucu oluşturabilir. Bu tür suçlara katılanların, sık sık kendi ortaklarını da kandırdıklarını ve nakde çevirmeleri gereken parayı alıp gizlice kaçtıklarını biliyoruz. Luuuk patronları, farklı güven düzeylerinde farklı gruplar oluşturarak bu kayıpları engellemeye çalışmış olabilirler” diye ekledi.
Luuuk’a bağlı C&C sunucusu, soruşturma başladıktan kısa bir süre sonra kapatıldı. Bununla birlikte, MitB (Tarayıcıdaki Adam) operasyonunun karmaşıklık seviyesi, saldırganların bu kampanya için yeni kurbanlar aramaya devam edeceklerini gösteriyor. Kaspersky Lab uzmanları, Luuuk’un faaliyetleriyle ilgili devam eden soruşturmayla ilgileniyor.
Luuuk’a Yönelik Güvenlik Çözümleri
Kaspersky Lab uzmanları tarafından ortaya çıkarılan kanıtlar, bu kampanyanın büyük olasılıkla profesyonel suçlular tarafından organize edildiğini göstermektedir. Ancak, para çalmak için kullandıkları kötü amaçlı araçlara, güvenlik teknolojileri sayesinde etkili bir şekilde karşılık verilebilmektedir. Örneğin, Kaspersky Lab, finansal kuruluşların müşterilerini çevrimiçi finansal dolandırıcılık faaliyetlerinden korumalarına yardımcı olan çok katmanlı bir Kaspersky Dolandırıcılık Önleme platformu geliştirmiştir. Bu platform, dolandırıcılık işlemlerini tespit edip engellemede şirketlere yardımcı olan araçların yanı sıra müşteri cihazlarını Man-in-the-Browser-MitB saldırıları dahil olmak üzere birçok saldırı türünden koruyan bileşenleri barındırmaktadır.
Luuuk kampanyasıyla ilgili daha fazla bilgi için Securelist.com adresindeki Kaspersky Lab bloğuna göz atın.
Finansal kuruluşlara sunulan güvenlik çözümleriyle ilgili daha fazla bilgiyi Kaspersky Dolandırıcılık Önleme web sayfasında bulabilirsiniz.
Son Yorumlar