Yaz aylarının başlarında Rusya’daki bazı banka ve şirketlerden büyük miktarlarda para çalan ve son yıllarda çökertilen en büyük finansal siber suç örgütlerinden biri olan Lurk çetesine bağlı şüpheliler yakalanmıştı. BT altyapısı kullanan örgütün eylemleriyle ilgili yapılan araştırmalar, Lurk’un kötü amaçlı yazılımının bir istismar donanımı içerdiğini ortaya çıkardı.
“Angler” adı verilen istismar donanımı, geniş çapta yazılımların hassas noktalarını istismar edip bilgisayarlara sessizce ekstra kötü amaçlı yazılım yükleyebilen kötü amaçlı programlardan oluşuyor. Söz konusu istismar donanımı, bilgisayar korsanları için gizli (underground) pazarda yıllardır en önemli araçlardan biri haline gelmiş durumda.
ANGLER İLE GERÇEKLEŞTİRİLEN SİBER SALDIRILAR
Angler’ın ilk faaliyeti, kiralanmaya başlandığı 2013’ün son zamanlarına denk geliyor. Reklam destekli yazılımlardan kötü amaçlı yazılımlara kadar farklı türde kötü amaçlı yazılım üreten pek çok siber suçlu grup, bu donanımdan faydalandı. Donanım, özellikle internette bulunan en tehlikeli ve aktif fidye yazılım tehditlerinden biri olan CryptXXX ransomware üreticileri tarafından aktif bir şekilde kullanıldı. Ek olarak TeslaCrypt ve diğerlerinin arkasındaki gruplar da bu donanımdan faydalandı. Angler aynı zamanda Neverquest banka trojanını da üreten araç oldu.
Bu Trojan neredeyse 100 farklı bankaya saldırma amaçlı oluşturulmuştu. Angler operasyonları Lurk grubu yakalandıktan hemen sonra sekteye uğradı. Trojanın üzerinde yapılan araştırmalar Angler’ın Lurk grubuna banka bilgisayarlarını hedeflemesini mümkün kıldığını ortaya koydu.
Angler istismar donanımının geliştirilmesi ve desteklenmesi Lurk grubunun tek yan faaliyeti değildi. 5 yıldan fazla bir süredir grup, Uzaktan Banka Hizmetleri yazılımıyla otomatik para hırsızlığı için çok güçlü bir kötü amaçlı yazılım üretmekten, SIM kart takas dolandırıcılığı ve bankaların iç altyapılarına aşina olan uzman korsanları içeren gelişmiş hırsızlık şemalarına terfi etti.
Haftalık Siber Bülten raporuna abone olmak için formu doldurunuz
[wysija_form id=”2″]
