Dünya Çapındaki Bankaları Hedef Alan Yeni Saldırı Taktiği: FASTCash

Hidden Cobra adlı APT grubu dünya çapındaki bankalara vurgun yapmak için FASTCash adında yeni bir taktiği kullandı.

ABD İç Güvenlik Birimi Homeland Security, FBI ve Hazine Bakanlığı’nı Hidden Cobra APT grubunun “FASTCash” ismi verilen yeni bir taktiği kullandığı konusunda uyardı. Birleşik Devletler Acil Müdahale Ekibi (US-CERT) yayınladığı teknik raporda ilgili birimleri uyarmış ve Kuzey Koreli APT aktörü olan Hidden Cobra’nın(diğer adıyla Lazarus) kullandığı yeni taktiğin ayrıntılarından bahsetmiş.

Uzmanlara göre 2014-2015 yıllarında etkinlikleri artan Lazarus grubu saldırılarında genellikle çok gelişmiş zararlı yazılımları kullanıyor. 2009 yılından beri etkinliklerini sürdüren grup daha çok casusluk ve sabotaj faaliyetlerinde bulunuyor.

Dünya çapında yüzbinlerce kullanıcıyı etkileyen fidye yazılımı WannaCry, 2016 yılında yapılan SWIFT saldırılarının ve Sony Pictures firmasının hacklenmesininde sorumluları olarak bu grup görülüyor.

FASTCash saldırılarında kullanılan zararlı yazılımın 10 örneği hükümete bağlı uzmanlar tarafından incelendi. Uzmanlara göre saldırganların hedefi bu defa kolayca hileli işlemlerde bulunabilmek için “switch uygulama sunucuları” oldu. Saldırganların sunucuları uzaktan kontrol ederek hileli işlemlerine devam edebildiği “FASTCash” taktiğini kullanmayı sürdüreceği düşünülüyor.

Güvenilir kaynaklardan edinilen bilgilere göre, Kuzey Koreli APT aktörü olan HiddenCobra grubu bugüne kadar 10 Milyon dolar vurgun yapmış. 2018 yılında gerçekleşen başka bir olayda ise eş zamanlı olarak düzenlenen saldırıda 23 farklı ülkedeki ATM etkilenmiş.

Bahsi geçen Switch uygulama sunucusu, ana banka sistemiyle haberleşerek talep edilen işlemle ilgili kullanıcının hesap bilgilerini doğruluyor. Hidden Cobra grubuna mensup saldırganlar, switch uygulama sunucusuna gelen finansal talep mesajlarını bir şekilde durdurdu ve onları meşru görünen ama aslında hileli olan talep mesajlarıyla değiştirmeyi başardı.

Ayrıca uzmanlar switch uygulama sunucularında IBM Advanced Interactive eXecutive (AIX) isimli işletim sistemlerinin artık güncelleme ve destek verilmeyen sürümlerinin çalıştırıldığı konusuna dikkat çekti. Bu da çoğunlukla göz ardı ettiğimiz yazılım güncellemelerinin önemini bir kez daha gösteriyor.

Etki kaynağının bilinmemesi ile birlikte saldırganların AIX işletim sistemlerini istismar ettiğine dair kesin bir delil yok.

Yayınlanan raporun devamında, saldırının aktörlerinin switch uygulama sunucularında bankalar arası haberleşme için kullanılan ISO 8583 standardının kullanıldığından haberdar olduğu ve bunu kullanmış olabilecekleri tahmin ediliyor.

Hileli işlemler için, en az işlem gören ve sıfır bakiyeye sahip hesapların daha çok tercih edildiği görülüyor. FASTCash taktiği şimdiden Afrika ve Asyadaki bankaları hedef almış durumda. Birleşik Devletlerdeki yetkililer bu teknikten etkilenmiş başka ülkelerin olup olmadığı konusunda bir soruşturma yürütüyor.

Bu saldırının oltalama ve çalıştırılabilir Windows dosyaları (.exe) ile gerçekleştirildiğine inanılıyor.

Tüm bunlara nazaran böyle tehditlerden bir nebze de olsa korunabilmek için aşağıdakileri uygulamanız öneriliyor:

– Swift uygulama sunucularına iki aşamalı kimlik doğrulama özelliği kazandırılmalı

– Bilgisayarınızın ve diğer cihazlarınızın işletim sistemleri hep güncel tutulmalı

– Zararlı çalıştırılabilir dosyalara karşı antivirüs programları kullanılmalı

– Şüpheli görünen ve beklenmeyen e-postalardaki ekler açılmamalı ve bağlantılara tıklanmamalı

Hits: 226

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*