Gün geçmiyor ki dünya yeni ve ürkütücü sorunlarla güne uyanmasın. En son örnek Coronavirüs ve geldiği korkutucu düzey. Her küresel sorun çözüm arayışlarını ve bilimsel gelişmeleri beraberinde getiriyor. Bunun yanında bekleyiş ve arayış kötü niyetli amaçların da sahneye çıkmasını sağlıyor.

Siber güvenlik alanında bazı uzmanlar, büyük çapta siber saldırılar gerçekleştirmek için ve kötü niyetli amaçlarla Coronavirüs merkezli korkuların kullanılabileceği yönünde mesajlar vermekte. Independent merkezli haberlerde değerlendirilen konuların başında virüse duyulan korku ve siber alandaki gelişmeler dikkat çekici.  Güvenlik firması Proofpoint de, insanları kandırmak için Coronavirüse dayandırılan kötü amaçlı yazılım ve oltalama e-postalarının birçok ülkeye yayıldığını vurgulamakta. Tıpkı gerçek hayattaki virüs gibi! Şirket ayrıca, saldırganların kötü niyetli etkinlikler yürütmek için Coronavirüs ile ilgili sahte web siteleri oluşturmaya başladığını gözlemlemekte.

Bir blog yazısında Proofpoint’in istihbarat ekibi; “Küresel olaylar genellikle geniş bir tanım ve aciliyet kombinasyonunda dünyanın dikkatini çekiyor. Ancak maalesef tehditten ve korkudan faydalanan aktörlerin de araçları haline dönüşüyor.” ifadesiyle Coronavirüs gibi küresel gelişmelerin hep bir fırsata dönüşeceği yönünde gerçekçi bir tespit yapıyor.

Japonya’da TA542 hacker grubu tarafından yayılan mesajlarda, yüz maskeleri ve diğer önlemler ile ilgili önemli bir belgeyi okumak için posta ekinin açılması yönünde e-postalar gönderilmekte. Ekin açılması, banka bilgileri de dahil olmak üzere kişisel verileri çalabilen Emotet adlı kötü amaçlı bir yazılımı aktif hale getirmekte. Virüs bulaşmış cihaz daha sonra başka saldırılar için de kullanılabilmektedir.

Emotet daha önce aktivist Greta Thunberg ile ilgili kampanyalarda, Noel veya Cadılar Bayramı hakkında ayrıntılar içeren dönemsel e-postalarda kullanılıyordu. Mimecast istihbarat direktörü Francis Gaffney bu e-postalar ile ilgili; “Siber alanda kötü amaçlı faaliyette bulunanlar e-posta üzerinden kimlik avına yönelik kampanyalar yürütmekte ve küresel olaylardan yararlanmaktadır. Bu fırsatçılar, altyapı ve savunma sistemlerindeki güvenlik açıklarını belirlemekte ve daha sonra saldırı yöntemlerini geliştirmektedir.” ifadelerini kullanmıştır. Francis Gaffney, küresel anlamda karışıklık dönemlerinin, toplumların korkuları üzerinden tehlikeli eklere tıklanarak hedeflere ulaşılmasında siber suçlular için önemli bir fırsat haline geldiği uyarısında bulunmuştur. Proofpoint, TA542’yi saldırılarını geliştirmeye devam edecek olan “üst düzey aktör grubu” olarak nitelendirmiş ve kullanıcıları güncel olaylarla ilgili istenmeyen e-postalar konusunda özellikle dikkatli olmaya davet etmiştir.

MASKEYİ SİBER SALDIRIYA ALET ETMEK

Benzer uyarıların önemsenmesi gerekmektedir. Emotet’in arkasındaki grup TA542 iyi organize olmakta ve eklerin açılmasını takip etmek, etkinliklerini artırmak için son Coronavirüs salgınını ve iklim değişikliği tartışmalarından yararlanmaktadır. Proofpoint araştırmacıları şu anda sadece Japonca içerikli e-posta saldırılarını izlemekte. Greta Thunberg temalı kampanyalara ilişkin e-postalar coğrafi dağılım olarak oldukça genişlemiş durumda. Avustralya, Avusturya, Barbados, Almanya, Hong Kong, Japonya, Malezya, Singapur, İspanya, İsviçre, Birleşik Arap Emirlikleri ve Amerika Birleşik Devletleri gibi birçok ülkede hedeflere ulaşılmaya çalışılmakta.

TA542’nin aynı anda birden çok kampanya yürütebilen bir grup olması etkinliğini artırmaktadır. Emotet’in altyapısı da bu etkinliğe ihtiyaç duymakta ve ulaşılan hedeflerde işe yarayıp yaramadığına dair ölçümler de gerçekleştirmektedir.

Coronavirüs temalı Japonca e-postalarda “Kyoto Valiliği Yamashiro Minami Halk Sağlığı Merkezi” ve “Kyoto Valiliği Yardım ve Bağış Vakfı” gibi gönderen kimlikleriyle hedeflere güvenilir bir kaynak izlenimi verilmekte. Aşağıda bu e-postaların bir örneği olarak Japonca ve İngilizce çevirisine yer verilmiştir.

 

Görüldüğü üzere TA542, virüs hakkında semptomlar ve alınacak önlemler hakkında bilgiler ekleyerek e-postaları daha inandırıcı hale getirmeye çalışmaktadır. Diğer Emotet kampanyalarında olduğu gibi, benzer e-postaların birçoğunda kötü amaçlı makrolar içeren bir Microsoft Word belgesi bulunmaktadır. Belge açıldığında ve kullanıcı makroları etkinleştirdiğinde, Emotet yüklenmektedir.

 

Greta Thunberg temalı e-postalar, aynı konu satırları ve ek adlarına benzer şekilde Aralık 2019’da yayılan e-postalarla benzerlik göstermektedir. İklim değişikliği gibi konulara daha fazla odaklanılarak hedefin dikkati çekilmek istenmektedir. Bu e-postaların bazıları dikkat çekiciliği artırmak için Greta Thunberg temalı ücretsiz tişörtler, pantolonlar, kalemler, posterler ve kupalar vaad etmektedir. Son kampanyanın bir örneği şu şekildedir.

 

Proofpoint araştırmacıları, saldırganların Coronavirüs temalı URL’leri ve web sitelerini de aktive ettiğini gözlemlemekte. Bu örneklerden bir tanesini şu şekilde paylaşmaktalar.

Benzer şekilde Coronavirüs ile enfekte hastaların ölümü üzerine Kaspersky güvenlik analistleri de hackerların küresel gelişmeleri fırsata dönüştürdüğü vurgusu yapmıştır. Analizlerde bu tür küresel sorunlarda artan siber tehditlerin geleceğinden korkulmaktadır. Virüste olduğu gibi arama motorlarında sıkça sorgulanan bu sorunlar kötü amaçlı kampanyalar başlatmak için bir anahtar kelime olarak kullanılmaktadır.

Genellikle gündem olan haberler, popüler kişiler ve etkinlik adları dijital dünyada hackerlar tarafından siber dolandırıcılık ve saldırılar başlatmak için kullanılır hale gelmiştir. Kaspersky araştırmacıları da artık insanların acı çektiği konuları fırsata dönüştürmek isteyen kişilerin, grupların tetikte olduğunu ve salgın gibi hayatı tehdit eden gelişmelerin bir araç haline geldiğini vurgulamaktadır. Coronavirüs ya da bilgisayar virüsleri, gerçek ve sanal ortamda tedavisi ve takibi zor, gelecekte hangi yöne evrilecekleri yönünde tahminleri zorlayan bir süreçle bizleri başbaşa bırakmaktadır.