Bir Rus şirketi; Kaspersky Lab’dan kurumsal hesabından 130.000 dolar tutarında paranın neredeyse çalınmak üzere olduğu bir olayı araştırmasını istedi. Şirketin temsilcileri bu olayın arkasında bir zararlı yazılımın olduğundan şüphe ediyordu.
Siber suçlular, devletin vergi dairesinden gelen bir mesaj izlenimi veren zararlı bir eklenti içeren bir e-posta göndererek şirketin bilgisayarlarına virüs bulaştırmışlardı. Kurumsal ağ içinde muhasebe bilgisayarına erişim sağlamak için kullanıcılar, yasal bir programın değiştirilmiş bir sürümünü kullandı. Parayı çalmak içinse zararlı yazılım programı kullanıldı. Bu yazılım, kaynak kodu halka açık olan bankacılık Trojanı Carberp öğelerini içeriyordu. Siber suçlular C&C sunucularını yapılandırırken bir hata yapmış ve Kaspersky Lab uzmanlarının virüs bulaşan diğer bilgisayarların IP adreslerini keşfetmesine ve tehditle yüz yüze olan diğer kişileri uyarmasına olanak tanımıştı.
Finans odaklı siber suçlular tarafından hedeflenen şirkete hizmet veren banka, 130.000 $ çekme denemesini engelledi. Bununla birlikte siber suçlular, bankada herhangi bir alarmı tetiklemeyecek kadar küçük ve müşterinin muhasebesinden ek onay gerektirmeyen 8.000 $ tutarında bir ödemeyi başarıyla gerçekleştirdiler.
Açıklardan Yararlanma Amaçlı Kod
Kaspersky Lab’ın Global Acil Durum Yanıtlama Ekibi (GERT), saldırıya uğrayan kurumdan saldırıya uğrayan bilgisayarın sabit diskinin bir görüntüsünü elde etti. Bunun üzerinde çalıştılar ve kısa sürede devlet vergi dairesi adına gönderilen şüpheli bir e-posta mesajını tespit eder etmez kurumdan bazı belgeleri sağlamalarını istediler. Gerekli belgelerin bir listesi ekli bir Word belgesiyle gönderildi. Belgede, açıklardan yararlanma amaçlı kod CVE-2012-0158 bulunuyordu; Bu kod belge açıldığında etkinleşiyor ve kurban bilgisayara başka bir zararlı yazılım programı indiriyordu.
Virüs bulaşan bilgisayarın sabit diskinde GERT uzmanları, bilgisayarlara uzaktan erişmek için tasarlanmış yasal bir programın değiştirilmiş bir sürümünü tespit etti. Bu programlar muhasebeciler veya sistem yöneticileri tarafından yaygın olarak kullanılır. Ancak programın kurban bilgisayarda tespit edilen bu sürümü, virüs bulaşmış sistemde kendi varlığını gizleyecek şekilde değiştirilmişti: Windows Görev Çubuğunda simgesi gizlenmiş, ayarlarının depolandığı kayıt anahtarı değiştirilmiş ve GUI ekranı devre dışı bırakılmıştı. Kaspersky Lab ürünleri bu programı ‘Backdoor.Win32.RMS’ kararı ile engelledi.
Ancak bu, kurban bilgisayarda tespit edilen yegane zararlı yazılım programı değildi. Sonraki araştırmalar, siber suçluların kurban bilgisayara uzaktan Sanal Ağ Bilgi İşlem (VNC) erişimi sağlamak için kullandıkları Backdoor.Win32.RMS arka kapı kodunun yardımıyla kurban bilgisayara bir diğer arka kapı kodunun (Backdoor.Win32.Agent) indirildiğini gösterdi. İlginç bir biçimde Backdoor.Win32.Agent kodunun içinde bankacılık Trojanı Carberp’in öğeleri tespit edildi. Carberp’in kaynak kodu bu yıl içinde yayınlanmıştı.
Backdoor.Win32.RMS kodunun yardımıyla siber suçlular, Trojan Backdoor.Win32.Agent kodunu kurban bilgisayara indirdi. Backdoor.Win32.Agent kodu ile bilgisayarın kontrolünü ele geçirebildiler. Böylece siber suçlular, uzak banka sisteminde yasa dışı bir ödeme emri oluşturdu ve banka tarafından güvenli görünen muhasebe bilgisayarının IP adresiyle bu emri onayladı. Ancak siber suçlular muhasebe tarafından işlemi gerçekleştirmek için kullanılan şifreleri ele geçirmeyi nasıl başarmıştı? Uzmanlar araştırmalarına devam etti ve bir diğer zararlı yazılım programı tespit etti; Trojan-Spy.Win32.Delf. Bu program, klavyeden girilen verileri ele geçiren tuş kaydediciydi. Bu yolla siber suçlular, muhasebe şifresini çaldı ve yasa dışı işlemi gerçekleştirdi.
Yeni kurbanlar
Araştırma sona ererken uzmanlar, bir diğer ilgi çekici gerçeğin farkına vardı: saldırıda kullanılan tüm zararlı yazılım programları, IP adresleri aynı alt ağa ait olan C&C sunucularından yönetiliyordu. Bu alt ağı kullanan siber suçlular, Kaspersky Lab uzmanlarının Trojan-Spy.Win32.Delf tarafından etkilenen diğer bilgisayarların adreslerini bulmalarını sağlayan bir hata yaptılar. Bu bilgisayarların çoğunlukla küçük ve orta ölçekli işletmelerin bilgisayarı olduğu görüldü. Kaspersky Lab derhal virüs bulaşan bilgisayarların sahipleriyle temasa geçti ve onları tehdit hakkında uyardı.