Etiket arşivi: izbirakanlar

Makale & Analiz

Bu casus yazılım bilgisayar yaktırır!

2 Yorum

Gamma International üzerine bir yazı yazmak için araştırma yapmaya başladıktan 10 dakika sonra bilgisayarı yakmak istedim. Bundan önce nedense makineye çamaşır suyu dökme fikri de aklıma geldi.

Bu duygularımı, Gamma International’ın ne kadar “başarılı” bir casus yazılım ürettiğini anlatmak adına itiraf ediyorum. Bakalım, siz de bu haberi okuduktan sonra benzer düşüncelere sahip olacak mısınız?

Devletlerin gözdesi bu yazılıma geçmeden önce Gamma International’dan bahsetmek yerinde olur. Gamma, esasında bir Alman-İngiliz şirketi. Şirketin başında eski bir asker olan Louthean Nelson bulunuyor. Şirketin varlığı dünyanın farklı yerlerindeki şirketler üzerinden devam ediyor. 2007’de kurulan bu şirketin İngiltere’deki girişiminin bir kısmı da Nelson’un babasına ait.

Almanya’daki şirket, Louthean Nelson’un şirket ile bir ilişkisi olmadığını ilan etti. Ancak Panama belgeleri ile Nelson’un burada bir şirketi olduğu ve Gamma’da ortaklığı olduğu ortaya çıkınca Alman şirket, Nelson’un varlığını kabul etmek zorunda kaldı. Yani, Gamma’nın ürettiği casus yazılım FinFisher’in bilgisayardaki ve cep telefonlarındaki varlığını tespit etmek ne kadar zor ise Nelson’un tam kimliğini, geçmişini ve nerelerde olduğunu tespit etmek o kadar zor.

İnternette yapılacak kısa bir araştırmada karşınıza Mısır ve Bahreyn’den tutun Güney Afrika ve Türkmenistan’a kadar olan bir coğrafyada FinFisher ile ilgili haberlerin varlığını görebilirsiniz. Hatta Almanya ve İngiltere yönetimlerinin FinFisher programını bazı ülkelere satılmasına yasak getirdiğini de…

Peki, FinFisher nasıl bir program? Ve neden bu kadar başarılı?

Gamma International, FinFisher adlı programını sadece devletlere ve güvenlik kurumlarına pazarlıyor. Bu pazarın en gelişmiş casus yazılımı olarak kabul edilen FinFisher bilgisayara, cep telefonlarına, tabletlere ve diğer elektronik ürünlerine bulaştırılabiliyor. Hatta bir internet kafeye bulaştırıldığında buradaki bütün bilgisayarları takip edebiliyor.

FinFisher, kendisini Windows güncellemesi veya bir e-posta eklentisi olarak gösteriyor. Bilgisayara bulaşmasının ardından her türlü işlemi ve klavyede hangi tuşa basıldığını bile takip edip merkeze gönderebiliyor. Skype görüşmelerinizi takip edip şifreleri görüşmelerinizi ve e-posta yazışmalarınızı takip edebiliyor. Bunların ötesinde bilgisayarın mikrofonunu veya kamerasını açıp kapatabiliyor. Sabit diskteki şifreleri dosyalara da ulaşabiliyor.  

KENDİNİ GİZLEMEK İÇİN TASARLANMIŞ

FinFisher kendisi bilgisayar veya cep telefonunda gizlemek için geliştirilmiş bir casus yazılım. Öncelikle, ESET gibi önde gelen anti-virüs şirketleri, FinFisher’i tespit etmenin zor olduğu itiraf etmiş durumda. ESET’in açıklamasına göre, bu program analiz edilmesine, hata ayıklamasına ve emülasyona dirençli. Kendini, bilgisayar içinde saklamak ve fark edilmemek için uğraş gösteriyor. Anti-virüs programlarının tespit etmesini engellemek için de kendisini virüs listesinden siliyor.

FinFisher’in Word dokümanı üzerinden kurbanların bilgisayarlarına bulaştığı ortaya çıkınca Microsoft, uzun uğraşlar sonucunda Windows çalıştıran bilgisayarların ve Office365’in bu virüsü tespit edebildiğini ilan etti.

Bu başarısına rağmen Microsoft, FinFisher’in ne kadar başarılı olduğunu da paylaşmaktan geri durmadı. Şirket uzmanları, FinFisher’in analiz karşıtı korumasının onu “farklı bir kötü amaçlı yazılım kategorisine” koyduğunu itiraf ederken Gamma’nın bu programın bulaştığı ortamda gizli kalması için çok uğraş verdiğini de belirtti.

Microsoft uzmanlarına göre, FinFisher’in analiz edilmesini engellemek için altı katlı bir koruma var. Her bir katmanı teker teker geçmek gerekiyor. Bu özelliği yüzünden programı, normal bir şekilde incelemek neredeyse imkânsız. Mesela, virüs, sanal makineye yüklenip buradaki varlığının incelenmesine karşı bile donanımlı.  

Finfisher’i bilgisayar veya cep telefonunuzda tespit etseniz bile silmeniz de imkânsız. Bununla birlikte bu virüsü güvenli bir şekilde üstesinden gelmenin bir yolu ise yok.

GAMMA’YA 2014 DARBESİ: Maymunlar da ağaçtan düşer

Japonların bir atasözü vardır: Maymunlar da ağaçtan düşer. Bu kadar başarılı bir casus yazılım programına sahip Gamma’yı bir grup hacker, 2014 yılında hackleyip 40 GB’lik bir bilgi almayı başardı. Ele geçirilen bilgiler arasında müşteri bilgileri, kılavuz ve broşürler, fiyat listesi, kodlar ve gizli şirketlerin isimleri yer alıyordu.

Belgelerin birinde FinFisher’in başarı gösterdiği 35 anti-virüs programının ismi vardı. Bununla birlikte hangi ülkede ne kadar kullanıldığı da belirtiliyordu.

Bu ülkeler arasında yer alan Mısır ve Bahreyn’in ismi 2011’deki Arap Baharı olayları sırasında gündeme geldi. Hüsnü Mübarek’in istifası ardından kontrolü bir süreliğine eline alan muhaliflerin, Kahire hükümeti ile Gamma International arasındaki anlaşmayı buldukları rapor edildi.

FinFisher programı, 2012 yılında Bahreynli bir siyasi aktivistin bilgisayarında da ortaya çıktı. Muhalif aktivistin e-postasındaki bir eklentide FinFisher’i içeren kodlar bulundu. Gamma International, Bahreyn yönetimi ile bir anlaşması olmadığını açıkladı. Ancak 2014’te ortaya çıkan ülke listesinde Bahreyn’in de adı olduğu ortaya çıktı. Bir Amerikalı, Etiyopya hükümetinin bu casus yazılımı kendi bilgisayarına yükleyip onu takip ettiği gerekçesiyle 2014 yılında mahkemeye başvurdu. Güney Afrika ve Makedonya’da da bu programla ilgili haberler ortaya çıktı.

Programın Türkiye ile bağlantılı ortaya çıkması ise CHP Genel Başkanı Kemal Kılıçdaroğlu’nun Adalet Yürüyüşü sırasına denk geldi. CHP’lilere göre, Adalet Yürüyüşü’ne ilişkin sahte bir internet sitesi kurulup buraya girenlere bu casus yazılım bir şekilde bulaştırıldı. CHP yönetimi, bununla ilgili bir suç duyurusunda da bulundu. Türk hükümet ise satın alınan veya gayriresmi bir şekilde alınıp kullanılan bir program olmadığını açıkladı.

FinFisher’in marifetleri çok. Bu yazıyı hazırlarken nedense bilgisayarın gereğinden çok kasıldığını ve donar gibi olduğunu da belirtmem gerekiyor. Neyse ki cihazı yenileme zamanı geldi. Bu bilgisayardaki kaleme aldığım son yazılardan biri bu olabilir.

Ancak yeni bilgisayar çare olacak mı? Son haberlere göre, bazı internet sağlayıcıların, hedeflerindeki kullanıcılara bu casus yazılımı kolayca yükleyebiliyor. Bilgisayarı değiştirsem de çözüm olmayacak gibi duruyor…

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Küresel, Makale & Analiz

Üç kafadarın sahtekârlıktaki inovatif girişimleri interneti sarstı

Yorum yapın

Bir Amerikalı, İsveçli ile Hintlinin yolu Ukrayna’da kesişmesiyle başkent Kiev’de kurdukları Innovative Marketing Ukraine şirketi, internet tarihinde eşine az rastlanır bir sahtekârlık macerasının merkezinde yer aldı.

Şirketin hikâyesi aralarında müzik parçalarının da olduğu telif hakkına sahip ürünleri yasa dışı yollardan piyasaya sürerek başladı. Bu yoldan bir miktar para kazanan 3 internet silahşörü, gelirlerini artırmak için daha “inovatif” bir yol seçerek, Symantec ve McAfee gibi anti-virüs yazılımlarını farklı sürümlerini satma işine girdi.

Anti-virüs pazarının büyümeye başladığı 2000’lerin başında kimsenin ismini duymadığı bir şirketin kendi ürünlerini taklit etmesine müsaade etmeyen anti-virüs devleri Innovative Marketing Ukraine’e sıkı bir baskı uygulayarak 2003 yılında piyasa dışına itti. Şirketin tam olarak ne zaman kurulduğu bilinmiyor ancak 2003 şirketin isminin medyaya yansıdığı tarih.

Anti-virüs işinin tadı damaklarında kalmış olmalı ki üç ortak gözlerini karartıp bu sefer “Computershield” adını verdikleri kendi anti-virüs yazılımlarını geliştirip yeniden pazarda kendilerine yer bulmaya çalıştı. Bu program aslında etkili bir koruma sağlamamasına rağmen 2004 yılındaki MyDoom adlı e-mail virüsü milyonlarca bilgisayarı etkileyince, şirket yürüttüğü agresif reklam kampanyası ile ayda bir milyon dolardan fazla kâr elde etti. Fakat işin bir de perde arkası boyutu vardı.

HACKER AĞI KURMUŞLAR

Bu geliri ceplerine atan üçlü, bir program daha yazıp adware işine girdi. Bir hacker ağı oluşturan şirket, bu programı bilgisayara yükleyen hackerlere kâr payı vermeye başladı. Hackerler, açılır pencerelerde reklam gösteren bu programı üzerinden sahte anti-virüs programı Computershield’ı da bilgisayarlara yükledi.

Innovative Marketing bu strateji ile iyi bir çıkış elde etti. Şirket yetkilileri, internetteki sohbet odalarında bir araya geldikleri bu hackerlere yasa dışı programı aktarırken Western Union ve PayPal gibi mekanizmalar üzerinden de ödemeleri yaptı.

Hackerler yasal internet sitelerini ele geçirerek veya sahte internet siteleri kurarak programı yayarken bir yandan da Facebook ve Twitter gibi sosyal medya sitelerini kullandılar.

Hatta New York Times gazetesinin internet sitesinde bu programı satan dağıtıcının reklamı yayınlandı. Farklı bir isim altında yayınlanan bu reklam yüzünden sayısı tam olarak bilinmeyen kullanıcılar etkilendi.

Bu sözde anti-virüs programının ana özelliği [bu anti-virüs programının WinAntiVirus ve DriveCleaner gibi farklı isimler altında satılanları da var], bilgisayara yüklenmesinin ardından yaptığı tarama ile cihaza bazı virüslerin bulaştığı uyarısını yapıp, ardından programın 50 veya 80 Amerikan doları ile satın alınması üzerine bu virüslerin ortadan kaybolması.

Aslında programın bahsettiği virüsler hiç var olmadığı gibi programın “temizlendi” uyarısı da sahte. Daha da kötüsü, bilgisayardaki diğer yasal anti-virüs programlarını kaldırıp bilgisayarları saldırılara tamamen açık hale getirmesi. Şirketin sadece 2008 yılında 180 milyon dolarlık satış yaptığı düşünülürse ne kadar geniş çapta bir etkiye sahip olduğu daha iyi anlaşılabilir.

Tüm bu zararlı faaliyetlerle yetinmeyen şirket bir de müşterilerinin kredi kartı bilgilerini dark web’de satışa çıkardı.

Innovative Marketing için sonun başlangıcı bu kredi kartlarında sorun yaşaması ile başladı. Çok sayıda kullanıcı, program için yaptıkları ödemelerin ardından programın işe yaramadığını görüp paralarını kredi kartı şirketlerinden geri almaya başlayınca firma, Amerika’da kredi kartı sürecini yönetecek şirket bulamadı.Bunun ardından Kanada ve Bahreyn’e yöneldi. Ancak Bahreyn gibi küçük bir Arap ülkesi için çok fazla işlem hacmi ortaya çıkınca şirket, Bahreyn’den yasak yedi ve beş ay boyunca kredi kartları ile işlem yapamadı.

SAHTE ÜRÜN İÇİN ÇAĞRI MERKEZİ

Uzun uğraşlar sonucunda Singapur’da bir şirket ile anlaşıp bu beş aylık birikimi eriten Innovative Marketing bir yandan da diğer ülkelerde tabela şirketler kurarak perde arkasında kalmaya çalıştı..

Kullanıcı memnuniyetine de önem veren şirket, ABD’de çağrı merkezleri kurup kullanıcılardan gelen şikâyetleri çözmeye çalıştı. Hatta bir araştırmaya göre, bu çağrı merkezine gelen şikâyetlerin büyük bir oranda “çözüldüğü” de ortaya çıktı.

Yine de bin kadar kişinin ABD Federal Ticaret Komisyonu’na başvurması ile başlayan soruşturma şirketi içinden çıkmayacağı bir sürecin başlangıcı oldu. Komisyonun araştırmaları sırasında en büyük yardım, McAffee’nin Almanya ofisindeki çalışan araştırmacı Dirk Kollberg’ten geldi.

Innovative Marketing’in sunucularına giren Kollberg, sahte anti-virüs programları ürettiğini ve bunların kullanıcının izni olmadan reklamlar indirdiğini fark etti. Ayrıca Ukrayna merkezli şirketin sunucularının şifre ile korunmadığını gördü. Kollberg’in araştırması ve bunun sonuçları Federal Ticaret Komisyonu’nun dosyasında önemli bir yer teşkil etti.

EN BÜYÜK SAHTEKÂRLIK

İsveçli ve Hintli ortakların nerede olduğu bilinmezken Amerikalı ortak adalet karşısına çıktı. Şirketin kapısını da kilit vuruldu. Amerika’da bir mahkeme, şirketi 163 milyon dolar ödemeye mahkûm etti.

Ticaret Komisyonu’nda soruşturmayı yöneten Ethan Arenson, “Komisyonun peşine düştüğü en büyük internet tabanlı dolandırıcılık dosyalarından biri bu oldu. Innovative Marketing sahte programların en büyük oyuncusuydu,” dedi.

Bu olay sonrası Kiev yönetimi de harekete geçip siber suçlara karşı bir birim kurdu. Şirket, 2009 itibariyle Ukrayna’daki faaliyetlerine son verdi. Ancak Ukrayna İçişleri Bakanlığı, bu şirketin başka bir merkezden faaliyetlerine devam edebileceğine dikkat çekti.

Şirketin kapatılması basına ‘siber suçlara karşı ilk büyük zafer’ olarak lanse edilirken, Time dergisine bilgi veren Kollberg, “Milyonlarca dolar kazandığın bir işin varsa, neden bırakıp gidesin?” diye konuşarak zaferin eksik olabileceği uyarısında bulundu.

Siber Bülten abone listesine kaydolmak için formu doldurunuz