Rusya’nın en büyük finansal siber suç gruplarından birinin yakalanma öyküsü
Yazın başlarında Kaspersky Lab, Rusya’daki bazı banka ve şirketlerden büyük miktarlarda para çalan Lurk çetesine bağlı olan şüphelilerin yakalanmasına yardımcı olmuştu. Grup son yıllarda yakalanan en büyük finansal siber suç grubuydu. Yalnız bu Lurk grubunun dahil olduğu tek olay değildi. Lurk’un kötü amaçlı yazılımının arkasındaki BT altyapısı analiz edildiğinde görülüyordu ki yazılımı işletenler istismar donanımlarını diğer siber suçlular için geliştiriyor ve onlara satıyordu.
Angler adı verilen istismar donanımı, geniş çapta yazılımların hassas noktalarını istismar edip bilgisayarlara sessizce ekstra kötü amaçlı yazılım yükleyebilen kötü amaçlı programlardan oluşuyor.
Angler istismar donanımı bilgisayar korsanları için gizli (underground) pazarda yıllardır en önemli araçlardan biri oldu. Angler’ın ilk faaliyeti, kiralanmaya başlandığı 2013’ün son zamanlarına denk geliyor. Reklam destekli yazılımlardan kötü amaçlı yazılımlara kadar farklı türde kötü amaçlı yazılım üreten pek çok siber suçlu grup bu donanımdan faydalandı. Donanım özellikle, internette bulunan en tehlikeli ve aktif fidye yazılım tehditlerinden biri olan CryptXXX ransomware üreticileri tarafından aktif bir şekilde kullanıldı. Ek olarak TeslaCrypt ve diğerlerinin arkasındaki gruplar da bu donanımdan faydalandı. Angler aynı zamanda Neverquest banka trojanını üretmek için de kullanıldı. Bu Trojan neredeyse 100 farklı bankaya saldırma amaçlı oluşturulmuştu. Angler operasyonları Lurk grubu yakalandıktan hemen sonra sekteye uğramıştı.
Kaspersky Lab güvenlik uzmanları tarafından yapılan araştırmanın gösterdiği üzere, Angler istismar donanımı, Lurk grubuna kötü amaçlı banka yazılımlarının bilgisayarları hedeflemesini mümkün kılarak güvenilir ve etkili bir dağıtım kanalı temin etmek için üretildi. Oldukça kapalı bir grup olan Lurk, diğer grupların aksine altyapılarının bir kısmını dışardan temin etmek yerine, kendi altyapılarını kendileri kontrol etmeye çalıştılar. Fakat 2013’te çete için işler değişti ve para vermeye hazır olan herkes için donanımı ulaşılabilir kıldılar.
Bilgisayar Davaları Soruşturma Başkanı Ruslan Stoyanov şunları söylüyor: “Lurk çetesinin Angler’a erişimi açmasının sebebinin kısmen faturaları ödeme gerekliliğinden olduğunu düşünüyoruz. Angler’i kiralamaya başlamalarından önce ‘işlerinin’ (şirketleri siber şekilde soymak) karlılığı uzaktan bankacılık sistemi yazılımı geliştirenler tarafından uygulanan güvenlik önlemleri sebebiyle azalıyordu. Bu, korsanlar hırsızlık sürecini daha da zor hale getirdi. Fakat bundan önce Lurk hali hazırda devasa bir altyapı ağı ve çok sayıda çalışana sahipt, ve her şeyin de bir ücreti vardı. Bu sebeple işlerini genişletmeye karar verdiler ve kısmen başarılı da oldular. Lurk banka trojanı sadece Rus şirketlere zarar veriyor olsa da, Angler dünyadaki tüm kullanıcılara karşı yapılan saldırılarda kullanılıyor,”
Angler istismar donanımının geliştirilmesi ve desteklenmesi Lurk grubunun tek yan faaliyeti değildi. 5 yıldan fazla bir süredir grup, Uzaktan Banka Hizmetleri yazılımıyla otomatik para hırsızlığı için çok güçlü bir kötü amaçlı yazılım üretmekten, SIM kart takas dolandırıcılığı ve bankaların iç altyapılarına aşina olan uzman korsanları içeren gelişmiş hırsızlık şemalarına terfi etti.
Lurk grubunun bu zaman zarfındaki tüm işlemleri Kaspersky Lab güvenlik uzmanları tarafından takip edilip belgelendi.