Bankalara düzenlediği siber saldırılar ile hesapları boşaltan ve güvenlikçilerin kâbusu haline gelen Carbanak siber çetesinin nasıl çökertildiği ile ilgili belgesel yayınlandı.
Kaspersky’nin çevrim içi dijital kültür dergisi Tomorrow Unlocked, ünlü Carbanak APT grubu ve 1 milyar dolarlık banka soygunu hakkında dört bölümlük bir belgesel yayınladı. Yaşanan olayları anlatan belgesel, “hacker:HUNTER” adlı yeni siber suç dizisinin ilk bölümü oldu.
Devletlerin desteklediği hacker gruplarının kullandığı zararlı yazılımları ve metotları kullanan çete bunları finansal işlemlerden haksız kazanç elde etmek için kullanan ilk grup oldu. Bankalardan hesap boşaltırken bir soyguncu gibi davranan çete üyeleri, iz kaybetme ve tedbirli iletişim konusunda ise ajanları aratmayan bir gizlilikle hareket etti. Buna rağmen Carbanak’a üye olduğu tahmin edilen kişiler 2018 yılında tutuklandı.
Dört bölümden belgeselde uluslararası soruşturmanın ayrıntıları yer alıyor. Operasyon kapsamında gruptan dört kişinin Tayvan ve İspanya’da tutuklanmaları anlatılıyor. Bu suç hikayesi Carbanak çetesinin geçmişini, parayı nasıl çaldıklarını ve bu grubu durdurmanın neden çok zor olduğunu da gözler önüne seriyor.
“hacker:HUNTER dizisinin ikinci bölümünde de 2017’de yaşanan Wannacry salgınını konu alınacak.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
ABD’li yetkililer, Fin7, Carbanak ve Navigator Group olarak adlandırılan üç adet siber suç grubunun liderlerinin Almanya, Polonya ve İspanya’da yakalandığını duyurdu.
26 farklı suçtan aranan hackerların işlediği suçlar arasında komplo, elektronik dolandırıcılık, bilgisayar hack’leme, cihaz erişim sahteciliği ve kimlik hırsızlığı bulunuyor. ABD Adalet Bakanlığı, Fin 7 üyelerinin 100’den fazla ABD şirketini hedef aldığını, binlerce bilgisayara izinsiz giriş yaptığını ve 15 milyon kredi kartı ve banka kartı numarasını çaldığını belirtiyor. Grubun 47 farklı eyalette bilgisayar ağlarına izinsiz giriş yaptığı ve 3 bin 600’den fazla işletmede 6 bin 500 POS cihazını hack’lediği ifade ediliyor.
Başsavcı Yardımcısı Brian Benczkowski “ABD şirketlerinin ve vatandaşlarının değerli bilgilerini çalan üç Ukrayna vatandaşı yakalandı. Kredi kartı bilgilerini çalan suçlular bu bilgileri Darknet üzerinen satıyordu. Bu saldırganlar Amerikan halkına ve ekonomisine zarar vermek için yeni yöntemler geliştirdikçe ABD Adalet Bakanlığı da yürütme partnerleri ile birlikte, bu tehditlerden sorumlu kişileri belirlemek, ele geçirmek ve cezalandırmak için çalışmaya devam edecektir.” diyor.
Fin7’ın aynı zamanda Birleşik Krallık, Avustralya ve Fransa’da da sistemlere izinsiz giriş yaptığı düşünülüyor. ABD Adalet Bakanlığı’nın belgelerine göre Fin7’ın saldırdığı şirketler arasında Chipotle, Chili’s, Arby’s, Red Robin ve Jason’s Deli gibi şirketler bulunuyor. Ayrıca Lord & Taylor, Saks Fifth Avenue ve Oracle gibi şirketlere yönelik saldırılarla da ilişkili oldukları düşünülüyor.
Kaspersky Lab, INTERPOL, Europol ve farklı ülkelerin yetkilileri benzeri görülmemiş bir siber soygunun arkasındaki suç planını ortaya çıkarmak için güçlerini birleştirdi. Yaklaşık iki yıl içinde dünya çapındaki finans kuruluşlarından bir milyar Amerikan dolarına yakın miktarda para çalındığı tespit edildi. Uzmanlar, soygunun sorumluluğunun Rusya, Ukrayna ve Avrupa’nın başka bölgelerinin yanı sıra Çinli siber suçlulardan oluşan çok uluslu bir çeteye ait olduğunu bildirdiler. Bu zamana kadar Çinli hackerlar devlet destekli siber espiyonaj operasyonları ile gündeme geliyorlardı.
Siber hırsızlıktan sorumlu Carbanak suç çetesi bir dizi hedefli saldırı tekniğinden yararlanmış. Bu olay, siber suç faaliyetlerinin gelişiminde, kötü niyetli kullanıcıların doğrudan bankalardan para çaldığı ve son kullanıcıları hedeflemekten kaçındıkları yeni bir aşamanın başlangıcı.
2013 yılından bu yana suçlular, yaklaşık 30 ülkede 100 banka, e-ödeme sistemi ve başka finansal kuruluşlara saldırı girişiminde bulundu. Saldırılar hala etkinliğini koruyor. Kaspersky Lab verilerine göre Carbanak; Rusya, ABD, Almanya, Çin, Ukrayna, Kanada, Hong Kong, Tayvan, Romanya, Fransa, İspanya, Norveç, Hindistan, İngiltere, Polonya, Pakistan, Nepal, Fas, İzlanda, İrlanda, Çek Cumhuriyeti, İsviçre, Brezilya, Bulgaristan ve Avustralya’daki finansal kuruluşları hedef alıyor.
En büyük meblağların bankalara düzenlenen korsanlık sonucu elde edildiği ve her saldırıda on milyon dolara yakın miktarlarda paranın çalındığı tahmin ediliyor. Para çalmak amacıyla bankanın kurumsal ağındaki ilk bilgisayara bulaşılması ile başlayan süreç her banka soygunu için ortalama olarak iki ile dört ay sürdü.
Siber suçlular, kimlik avı yöntemiyle bir çalışanın bilgisayarına erişim sağlayıp kurbanın bilgisayarına Carbanak kötü amaçlı yazılımını bulaştırarak işe başladı. Daha sonra kurum içi ağa ulaşarak video gözetimi için yöneticilerin bilgisayarlarının izini sürmeyi başardılar. Bu da, nakit aktarım sistemlerini çalıştıran personelin ekranlarında olup biten her şeyi görmelerini ve kaydetmelerini sağladı. Bu şekilde dolandırıcılar, banka memurunun yaptığı işlemlerin tüm ayrıntılarını öğrendiler ve böylece para transferi ve ardından nakit çıkışı yapmak için personelin yaptığı işlemleri taklit etmeyi başardılar.
Para nasıl çalındı
1) Zamanı geldiğinde de dolandırıcılar, parayı kendi banka hesaplarına transfer etmek için çevrimiçi bankacılık ya da
uluslararası e-ödeme sistemlerini kullandılar. İkinci durumda ise, çalınan para Çin’deki ya da Amerika’daki bankalara yatırıldı. Uzmanlar, diğer ülkelerdeki bankaların alıcı olarak kullanılmış olabileceği olasılığını henüz elemedi.
2) Diğer durumlarda siber suçlular, muhasebe sistemlerinin tam merkezine nüfuz ederek, hileli bir işlem yoluyla ekstra
parayı ceplerine indirmeden önce hesap bakiyelerini şişirme yöntemini kullanmıştır. Örneğin, bir hesapta 1.000 dolar varsa suçlular bu tutarı değiştirip 10.000 dolar yaparak aradaki 9.000 dolarlık farkı kendi hesaplarına aktarmıştır. Orijinal 1.000 dolar hala yerinde olduğundan hesap sahibi bir sorun olduğundan şüphelenmemiştir.
3) Ek olarak, siber hırsızlar banka ATM’lerinin kontrolünü ele geçirerek, bunlara önceden belirledikleri bir zamanda nakit çıkışı yapmaları emrini vermiştir. Ödeme zamanı geldiğinde çete elemanlarından biri, ‘gönüllü’ olarak yapılan ödemeyi almak için makinenin yanında bekliyordu.
Kaspersky Lab Global Araştırma ve Analiz Ekibi Baş Güvenlik Araştırmacısı Sergey Golovanov yaptığı açıklamada
şunları söyledi: “Bu banka soygunları oldukça şaşırtıcı idi, çünkü bankaların hangi yazılımı kullandıklarının suçlular için hiçbir önemi yoktu. Yani, bankanın kullandığı yazılım benzersiz olsa bile bu banka olanlara kayıtsız kalamaz. Saldırganların bankaların hizmetlerini heklemesine dahi gerek yoktu: Bankanın ağına bir kez giriş yaptıktan sonra kötü niyetli faaliyetlerini meşru eylemlerin arkasına gizlemeyi öğrendiler. Bu çok ustaca ve profesyonelce
gerçekleştirilmiş bir siber soygun eylemiydi.”
INTERPOL Dijital Suç Merkezi’nin Direktörü Sanjay Virmani ise şunları söyledi: “Bu saldırılar, suçluların herhangi bir sistemdeki herhangi bir güvenlik açığından yararlanabileceği gerçeğine dikkat çekmektedir. Ayrıca, hiçbir sektörün saldırılara karşı güvende olduğunu farz edemeyeceğini ve bu nedenle güvenlik prosedürlerini sürekli gözden geçirmeleri gerektiğinin önemini vurgulamaktadır. Siber suç faaliyetlerinde yeni trendleri belirlemek, bu gelişen tehditlere karşı kendilerini daha iyi koruyabilmeleri konusunda hem kamu hem de özel sektöre yardımcı olmak amacıyla INTERPOL ile Kaspersky Lab’ın odaklandığı kilit alanlardan biridir.”
Kaspersky Lab, tüm finans kuruluşlarına ağlarını Carbanak’ın varlığına karşı dikkatle incelemeleri ve tespit ettikleri
durumda emniyet güçlerine raporlamaları konusunda çağrıda bulunuyor.
