Yapay zeka devi OpenAI firmasının sohbet robotu ChatGPT’nin kullanıcı hesap bilgilerine sahip yüz binden fazla cihaza hırsızlık yazılımı (infostealer) bulaştığı ortaya çıktı.
Singapur merkezli Siber Güvenlik firması Group IB araştırmacılarının raporuna göre, 101 bin 134 cihaza bulaşan info stealer yazılımının yapay zeka firması Open AI tarafından geliştirilen sohbet robotu ChatGPT’ye kayıtlı hesap bilgilerini ele geçirdi.
ChatGPT kimlik bilgilerine sahip hırsızlık yazılımı bulaşmış en çok sayıda cihazın bulunduğu bölgeler arasında Orta Doğu ve Afrika bölgesi ikinci sırada yer aldı. En çok hesap bilgisi çalınan ülkeler arasında ise ilk 3 sırada Hindistan, Pakistan ve Brezilya yer aldı.
Söz konusu bölgede, Mısır, Cezayir, Türkiye, Kenya ve Nijerya en çok etkilenen ülkeler arasında yer alıyor. Türkiye ise en çok etkilenen 4. ülke oldu.
Group-IB araştırmacıları, Türkiye’de 1.922 ChatGPT hesabının kimlik bilgilerine sahip cihaz tespit etti.
ChatGPT kullanıcı bilgileri, son bir yıl içinde dark web üzerinde ticareti yapılan info stealer yazılmların sistem günlüklerinde (log) bulundu. ChatGPT hesaplarını içeren logların çoğunluğu, Racoon infostealer tarafından ihlal edildi. Çalınan ChatGPT hesaplarını içeren logların sayısı Haziran 2022 ile Mart 2023 arasında sürekli olarak artış gösterdi.
INFOSTEALER YAZILIMLAR NASIL BULAŞIYOR?
Infostealer yazılımlar, internet tarayıcılarda kaydedilen kişisel bilgileri, kredi kartı, kripto cüzdan, gezinme geçmişi gibi verileri topluyor.
Toplanan veriler siber tehdit aktörlerine gönderen zararlı yazılımlar ayrıca anlık mesajlaşma uygulamaları ve e-postalardan da veri toplayabilir ve hedefteki cihaz hakkında detaylı bilgiler elde edebiliyor.
Genellikle oltalama ve benzer yöntemlerle yayılan infostealer yazılıımlar, hedef seçmeden mümkün olduğunca çok bilgisayara bulaşıyor. Basit yapısı nedeniyle kolay üretilen zararlı yazılımlar elde edilen bilgiler dark web üzerinde siber tehdit aktörler tarafından satışa çıkarılıyor.
Dünyanın en büyük siber dolandırıcılık platformlarında birisi olan Genesis Market’e düzenlenen FBI öncülüğündeki uluslararası operasyonda siteye el konuldu.
FBI ve 12 ülkenin ortak düzenlediği “Cookie Monster” adlı operasyonda birçok kentte tutuklamalar da gerçekleştirildi.
Dark Web’de ve internette siteleri bulunan platformun ana sayfasında FBI tarafından oluşturulan operasyon görseli görünüyor.
Genesis Market, siber suçlulara kurbanlarının kimlik bilgilerini çalmak için araçlar sunuyordu. Sitede rakiplerden farklı olarak çeşitli botlar kullanıyordu.
İnternet tarayıcılarını taklit eden uzantılara sahip olan araçlar sunan platform, Amazon ve Netflix hesaplarının yanısıra bankacılık uygulamalarını hedef alıyordu.
Platformun kurulduğundan bu yanda dünya çapında 30 ila 50 milyon arasında kullanıcının hesap bilgilerini ele geçirdiği tahmin ediliyor.
Android işletim sistemi üzerinden saldıran StrongPity çetesinin Türk hacker grubu olduğu iddia edildi.
Siber güvenlik şirketi ESET’in yaptığı bir araştırmaya göre Türk bir grup olduğu düşünülen StrongPity adlı grubun dar bir çevreden veri toplamak için sahte bir Android görüntülü sohbet uygulaması kullandığını ortaya çıkardı.
StrongPity, yetişkin görüntülü sohbet sitesi olan Shagle’ı taklit eden bir internet sitesini ve kullanıcıların telefon görüşmelerini, SMS mesajlarını ve düzinelerce mobil uygulamadan veri çalabilen bir uygulamasını oluşturarak kullanıcıları tuzağa düşürdü.
TELEGRAM’IN AÇIK KAYNAK KODUNU KULLANMIŞLAR
Slovakya merkezli siber güvenlik şirketi ESET’e göre StrongPity adlı grup, kötü niyetli uygulamayı, yabancılar kişiler arasında şifreli iletişim sağlayan Shagle adlı gerçek bir görüntülü sohbet hizmetini taklit eden bir internet sitesi aracılığıyla dağıttı.
Tamamen web tabanlı olan ve resmî bir uygulaması olmayan Shagle’ı taklit eden internet sitesi aracılığıyla dağıtılan sahte uygulama, StrongPity’nin arka kapı koduyla yeniden paketlenmiş mesajlaşma uygulaması Telegram’ın değiştirilmiş bir açık kaynak koduna dayanıyor.
Çeşitli casusluk yeteneklerine sahip olan sahte uygulama, kullanıcıların telefon görüşmelerini kaydedebiliyor, SMS mesajlarını ve kişi listelerini toplayabiliyor ve eğer kullanıcılar bu sahte uygulamada erişime izin verdiği takdirde Instagram, Twitter, Messenger ve Snapchat gibi diğer mobil uygulamalardan veri çalabiliyor.
StrongPity’nin bu sahte uygulamayla yaptığı bir diğer şey de Samsung cihazlardaki resmî güvenlik uygulamasını devre dışı bırakmaya çalışmak oldu.
KURBANLARIN KİM OLDUĞU BİLİNMİYOR
Kötü amaçlı uygulama Kasım 2021’de piyasaya sürülmesine rağmen ESET, kurbanlarından hiçbirini tespit edemedi. Araştırmacılar bunun nedeninin kampanyanın “çok dar hedefli” olması olduğunu öne sürdü.
ESET ayrıca potansiyel kurbanların taklitçi internet sitesine nasıl çekildiğini veya bu internet sitesini nasıl keşfettiğini de belirleyememesine rağmen her iki sitenin de ana sayfalarının neredeyse aynı göründüğünü ama taklitçi olanın ziyaretçileri görüntülü sohbet başlatmak yerine bir uygulama indirmeye yönlendirdiğini belirtti.
Google Play mağazasında hiçbir zaman kullanıma sunulmayan sahte uygulamayı kullanıcılar yalnızca doğrudan taklitçi internet sitesinden indirebildi.
Sahte Shagle uygulamasının artık aktif olmadığını belirten araştırmacıları bunun sebebinin, grubun ilk test amaçları için Telegram’dan örnek bir API kimliği kullanmış olduğu ama bu kimliğin Telegram tarafından devre dışı bırakılmış olduğunu söyledi.
Araştırmacılar raporlarında, “Uygulamanın yeni ve çalışan bir sürümü internet sitesi aracılığıyla hiç kullanıma sunulmadığından, StrongPity’nin kötü amaçlı yazılımı istediği hedeflere başarıyla dağıttığını gösterebilir.” ifadelerini kullandı.
GRUP UYGULAMAYI GÜNCELLERSE TEHLİKEYE YOL AÇABİLİR
Her iki uygulama da Telegram kimliğini kullandığı için Android’de bir arada bulunamayacağını söyleyen araştırmacılar, Telegram’ın hâlihazırda yüklü olduğu potansiyel kurbanların cihazlarına sahte Shagle uygulamasını yüklemenin imkânsız olduğunu belirtti.
ESET araştırmacılarına göre bu durum ya StrongPity’nin daha önce potansiyel kurbanlarıyla iletişim kurduğunu ve onları Telegram’ı cihazlarından kaldırmaya ikna ettiğini ya da kampanyanın Telegram’ın kullanılmadığı ülkelere odaklandığını gösteriyor.
Uyarıda da bulunan araştırmacılar uygulama şu anda kullanılamıyor olsa da StrongPity’nin uygulamayı güncellemeye karar vermesi hâlinde bu durumun her an değişebileceğini vurguladı.
KÖTÜ AMAÇLI ANDROİD UYGULAMASI GEÇMİŞLERİ VAR
StrongPity’nin kullanıcıları gözetlemek için Android kötü amaçlı yazılım kullanma geçmişi bulunuyor.
Grup geçtiğimiz yıl Suriye e-devlet Android uygulamasının kötü niyetli bir versiyonunu yaratmıştı. Trend Micro tarafından yapılan araştırmaya göre bu uygulama, kişi listelerini çalabiliyor ve kurbanının cihazından dosya toplayabiliyordu.
ESET’e göre bir önceki kampanyaya kıyasla yeni StrongPity arka kapısı daha geniş casusluk özelliklerine sahip. StrongPity’nin hangi ülke tarafından desteklendiği belli olmasa da bazı güvenlik araştırmacıları bunun muhtemelen bir Türk grubu olduğunu söyledi.
StrongPity 2012’den beri aktif ve genellikle belirli kullanıcılar tarafından kullanılan yasal yazılımlara arka kapılar ekleyerek aynı taktikleri izliyor.
StrongPity’nin zararlı yazılımları şimdiye dek İtalya, Belçika, Cezayir ve Fransa’da binlerce sisteme bulaştığı biliniyor.
Geçtiğimiz Kasım ayında yapay zeka araştırma şirketi OpenAI tarafından kullanıma açılan ve herkesin konuştuğu yapay zeka sohbet robotu CHATGPT siber suçluların elinde büyük bir tehdit aracı haline gelebilir mi?
Kurucuları arasında Elon Musk’ın da yer aldığı OpenAI, Kasım 2022’nin sonunda Büyük Dil Modeli (LLM) için yeni arayüz olan ChatGPT’yi yayımladı. Bu girişimin ardından yapay zekaya ve olası kullanımlarına yönelik muazzam bir ilgi meydana geldi. Ancak bununla birlikte, ChatGPT’nin siber tehdit ortamına da katkısı olduğu düşünülüyor, zira kod oluşturmanın daha az yetenekli tehdit aktörlerinin zahmetsizce siber saldırılar başlatmasına yardımcı olabileceği ortaya çıktı.
ChatGPT’nin ikna edici bir kimlik avı e-postası oluşturmaktan, İngilizce komutları kabul edebilen bir ters kabuk çalıştırmaya kadar tam bir bulaşma akışını nasıl başarıyla gerçekleştirdiğini anlatan Check Point Research’ün (CPR), bu kez bunun sadece varsayımsal bir tehdit mi olduğu yoksa OpenAI teknolojilerini kötü niyetli amaçlar için kullanan tehdit aktörlerinin hali hazırda olup olmadığını sorgulayan bir yazı yayınladı.
CPR’ın bir takım büyük yeraltı bilgisayar korsanlığı topluluğu üzerinde yaptığı analiz, siber suçluların kötü niyetli araçlar geliştirmek için hali hazırda OpenAI’yi kullandıklarını gösteriyor. Bazı vakalar OpenAI kullanan birçok siber suçlunun hiçbir geliştirme becerisine sahip olmadığını da açıkça gösteriyor. Yapılan analiz daha sofistike tehdit aktörlerinin yapay zeka tabanlı araçları kötü amaçlı kullanma yöntemlerini geliştirmelerinin an meselesi olduğuna da işaret ediyor.
INFOSTEALER’IN OLUŞTURULMASI YA DA KÖTÜ AMAÇLI YAZILIMIN FAYDALARI
29 Aralık 2022’de, popüler bir yeraltı bilgisayar korsanlığı forumunda “ChatGPT – Kötü Amaçlı Yazılımın Faydaları” adlı bir başlık atılmış. Başlığı atan kullanıcı, araştırmalarda ve yaygın kötü amaçlı yazılımlarla ilgili yazılarda açıklanan kötü amaçlı yazılım türlerini ve tekniklerini yeniden oluşturmak için ChatGPT ile deneyler yaptığını belirtiyor. Örnek olarak, yaygın dosya türlerini arayan, bunları Temp klasörünün içindeki rastgele bir klasöre kopyalayan, ZIP’leyen (sıkıştıran) ve kodlanmış bir FTP sunucusuna yükleyen Python tabanlı bir hırsızın kodunu paylaşıyor.
“CHATGPT KULLANARAK NASIL BİLGİ HIRSIZI OLUŞTURULUYOR?”
Komut dosyası üzerinde yapılan analiz, siber suçlunun iddialarını doğruluyor. Gerçekten de sistemde 12 yaygın dosya türünü (MS Office belgeleri, PDF’ler ve resimler gibi) arayan temel bir hırsızlık aracı söz konusu. İlgilenilen herhangi bir dosyanın bulunması halinde, siber suçlu kötü amaçlı yazılım dosyalarını geçici bir dizine kopyalıyor, sıkıştırıyor ve web üzerinden gönderiyor. Tehdit aktörünün dosyaları şifreleme veya güvenli bir şekilde gönderme zahmetine girmediğini belirtmek gerekiyor. Bu da dosyaların 3. tarafların da eline geçebileceğini gösteriyor.
Aynı tehdit aktörünün ChatGPT kullanarak oluşturduğu ikinci örnek, basit bir Java parçacığı. Çok yaygın bir SSH ve telnet istemcisi olan PuTTY’yi indiriyor ve Powershell kullanarak sistemde gizlice çalıştırıyor. Bu komut dosyası elbette yaygın kötü amaçlı yazılım aileleri de dahil olmak üzere herhangi bir programı indirmek ve çalıştırmak için değiştirilebiliyor.
FİDYE YAZILIMINA DÖNÜŞEBİLİR
21 Aralık 2022’de USDoD adlı bir tehdit aktörü, oluşturduğu ilk komut dosyası olduğunu vurguladığı bir Python komut dosyası yayınladı. Başka bir siber suçlu, kodun tarzının OpenAI koduna benzediği yorumunu yaptığında USDoD, OpenAI’nin kendisine “betiği güzel bir kapsamla bitirmesi için yardım eli” uzattığını doğruluyor.
CPR’nin betik üzerinde yaptığı analiz, bunun kriptografik işlemler gerçekleştiren bir Python betiği olduğunu doğruluyor. Betik ilk bakışta zararsız görünse de çeşitli farklı işlevler uyguluyor:
Betiğin ilk kısmı, dosyaları imzalarken kullanılan bir kriptografik anahtar (özellikle eliptik eğri kriptografisi ve ed25519 eğrisini kullanıyor) üretiyor.
Betiğin ikinci kısmı, sistemdeki dosyaları Blowfish ve Twofish algoritmalarını aynı anda hibrit modda kullanarak şifrelemek için sabit kodlanmış bir parola kullanan işlevler içeriyor. Bu fonksiyonlar kullanıcının belirli bir dizindeki tüm dosyaları ya da bir dosya listesini şifrelemesini sağlıyor. Betik ayrıca RSA anahtarlarını kullanıyor, PEM formatında saklanan sertifikaları, MAC imzalamayı ve karmaları karşılaştırmak için blake2 karma işlevini kullanıyor.
Yukarıda bahsedilen tüm kodlar elbette iyi niyetli kullanılabilir. Ancak, bu komut dosyası herhangi bir kullanıcı etkileşimi olmadan birinin makinesini tamamen şifrelemek için de kolayca değiştirilebiliyor. Örneğin, komut dosyası ve sözdizimi sorunları giderilirse kodu fidye yazılımına dönüştürme potansiyeli bulunuyor.
Bir geliştirici olmadığı ve sınırlı teknik becerilere sahip olduğu anlaşılan UsDoD buna rağmen yeraltı topluluğunun çok aktif ve saygın bir üyesi. UsDoD, güvenliği ihlal edilmiş şirketlere ve çalınmış veri tabanlarına erişim satmayı da içeren çeşitli yasadışı faaliyetlerde bulunmakta. USDoD’nin yakın zamanda paylaştığı önemli bir çalıntı veri tabanının sızdırılmış InfraGard veri tabanı olduğu iddia ediliyor.
ChatGPT’nin dolandırıcılık faaliyetlerinde kullanılmasına ilişkin bir başka örnek de 2022 yılbaşı gecesi yayınlanmış ve farklı türde bir siber suç faaliyetini ortaya koymuş. İlk iki örnek daha çok ChatGPT’nin kötü amaçlı yazılım odaklı kullanımına odaklanırken, bu örnek “Dark Web Marketplaces komut dosyaları oluşturmak için ChatGPT’yi kötüye kullanma” başlıklı bir tartışmayı gösteriyor. Bu başlık altında siber suçlu, ChatGPT kullanarak bir Dark Web pazaryeri oluşturmanın ne kadar kolay olduğuna işaret ediyor.
Pazar yerinin yeraltı yasadışı ekonomisindeki ana rolü, çalıntı hesaplar veya ödeme kartları, kötü amaçlı yazılımlar ve hatta uyuşturucu ve mühimmat gibi yasadışı veya çalıntı malların otomatik ticareti için tüm ödemelerin kripto para birimleriyle yapıldığı bir platform sağlamak. ChatGPT’nin bu amaçlarla nasıl kullanılacağını göstermek için siber suçlu, Dark Web piyasası ödeme sisteminin bir parçası olarak güncel kripto para birimi (Monero, Bitcoin ve Etherium) fiyatlarını almak için üçüncü taraf API kullanan bir kod parçası yayınlıyor.
2023’ün başında, bazı siber tehdit aktörleri, ChatGPT’nin dolandırıcılık planları için nasıl kullanılacağına odaklanan ek yeraltı forumlarında tartışmalar başlattı. Bunların çoğunun, başka bir OpenAI teknolojisi (DALLE2) ile rastgele sanat eserleri üretmeye ve bunları Etsy gibi meşru platformları kullanarak çevrimiçi satmaya odaklandığı görülüyor. Başka bir örnekte, tehdit aktörü belirli bir konu için nasıl e-kitap veya kısa bölüm oluşturulacağını (ChatGPT kullanarak) açıkladığı ve bu içeriği çevrimiçi olarak sattığı görülüyor.
ChatGPT yeteneklerinin Dark Web katılımcıları için yeni favori araç haline gelip gelmeyeceğine karar vermek için henüz çok erken. Bununla birlikte, siber suçlu topluluğu bu yeni teknolojiye şimdiden büyük bir ilgi göstermiş durumda.
Rusça konuşan amatör siber tehdit aktörlerinin 50 milyon üzerindeki parolayı çaldıkları ve Türkiye’den de 2,5 milyon hesabın bilgilerini ele geçirdikleri ortaya çıktı.
Siber tehdit istihbaratı firması Group-IB, konuya ilişkin bugün yayımlayacağı raporda yer alan bilgileri Siber Bülten’le paylaştı.
Telegram gruplarının analizlerini yer aldığı rapora göre hesap ele geçirme operasyonu 111 ülkeyi etkiledi.
Siber suçluların yılın ilk 7 ayında 890 binin üzerinde cihaza sızarak 50 milyonun üzerinde parolayı ele geçirdikleri ortaya çıktı. Tespit edilen tüm grupların Rusça konuşulan Telegram grupları üzerinden Türkiye, ABD, Brezilya, Hindistan, Almanya ve Endonezya’daki çok sayıda kullanıcıyı hedef aldığı belirlendi.
TÜRKİYE EN ÇOK SALDIRILAN CİHAZ SAYISINDA İLK 10’DA
Saldırıya uğrayan cihaz sayısı dünya genelinde 900 bin’e yaklaşırken Türkiye’ye 8. sırada yer aldı.
Türkiye’de 2022’nin ilk 7 ayında 28,148 cihaz saldırıdan etkilenirken çalınan parola sayısı 2 milyon 473 bin 920 oldu. Toplam 2715 kredi kartı bilgisi ve 2883 kripto para cüzdanı bilgisi elde edildi.
Geçen yılın Mart-Aralık döneminde aynı tehdit aktörleri 11814 cihaza saldırmış, 619 bin 176 parola, 951 kredi kartı bilgisi ve 486 kripto para cüzdanına ait bilgileri ele geçirmişti.
ÇALINAN PAROLA SAYISI 4 KATINA ÇIKTI
Söz konusu istatistik, 2021 yılının Mart-Aralık dönemine çalınan parola sayısının 4 katına çıktığını gösteriyor. Saldırılardan etkilenen cihaz sayısı ise iki kattan fazla arttı.
Firmanın Dijital Risk Koruma Ekibi, bilgi çalan yazılımları kullanan 34 grubun, özellikle oyun platformu Steam, Epic Games, Roblox, alışveriş sitesi Amazon ve PayPal ödeme sistemlerinde bulunan hesapları hedef aldığını tespit etti. Tehdit aktörleri kullanıcıların ödeme kayıtlarını ve kripto cüzdan bilgilerini elde etti.
Rapora göre hackerlar çoğunlukla Racoon ve Redline Infostealer yazılımlarını tercih etti.
Telegram gruplarının 2021 yılının son 10 yılına göre analizinde siber tehdit aktörleri 27 milyon 875 bin 879 adet parola çaldığı, 56 bin 779 satır ödeme bilgisi ele geçirdiği ve 35 bin 701 kripto para cüzdanı bilgisini elde ettiği ortaya çıkmıştı.
2022 yılının ilk 7 ayında ise tehdit aktörleri 50 milyon 352 bin 518 parola, 103 bin 150 kredi kartı bilgisi, 113,204 kripto para cüzdanına ait bilgileri çaldı. Groupe-IB uzmanlarına göre çalınan verilerin ve kredi kartı bilgilerini pazar değeri 5,8 milyon doları buluyor.
Group-IB’nin Dijital Risk Korunma Ekibi Sorumlusu Sharef Hlal, “Tehdit aktörleri işlemleri tamamen otomatik olarak gerçekleştiriyor. Saldırganın tek görevi Telegram botunda bilgi çalan zararlı yazılım dosyası oluşturmak ve trafiği ona yönlendirmek. Bu yüzden amatör hackerların ileri düzeyde teknik bilgiye sahip olmasına gerek yok. Ama bilgisayarlarına zararlı yazılım bulaşan kurbanlar için sonuçlar felaket olabilir.” değerlendirmesinde bulundu.
Çalınan verilerden kaynaklanan potansiyel riskleri en aza indirmek için, kullanıcıların şüpheli kaynaklardan yazılım indirmekten kaçınmaları gerekiyor. Kurulum yapmak için sanal cihazlar ve alternatif işletim sistemleri kullanmak uzmanların tavsiye ettiği çözümler arasında yer alıyor. Ayrıca kullanıcıların parolaları internet tarayıcılarında kaydetmekten kaçınmaları ve tarayıcı çerezlerini düzenli olarak temizlemeleri tavsiye ediliyor.
