Kriptopara Madencileri Sizi Kullanıyor Olabilir

“Siber suçlular verilerinizin peşinde” dediğimi duymuşsunuzdur mutlaka. Veriler saldırganlar açısından kolayca paraya çevrilebilen veya ifşa edilmesi halinde kuruluşlarımıza en büyük zararı verebilecek varlıklar olduğu için birilerinin iştahını açması çok normal. Siber suçluların veriler dışında bilgi teknoloji kaynaklarımızı kendi amaçlarına hizmet etmek için kullandıkları bazı durumlar olabiliyor. Bilgi teknolojisi kaynaklarımızın istismar edildiği saldırılara, yıllardır gündemimizde olan DDoS’a bir yenisi eklendi; kriptopara madenciliği.

Bildiğiniz gibi kuruluşumuzun internet bant genişliği ve DNS sunucuları başka hedeflere yönelik hizmet dışı bırakma (DoS/DDoS) saldırılarında kullanılabilmektedir. Son aylarda karşılaştığımız bazı olaylarda ise siber suçluların kuruluşlara ait işlemci gücünü kriptopara madenciliğinde kullandıklarını görüyoruz. Kamu ve özel sektörde son 6 ayda 10’dan fazla olaya bizzat şahit oldum. Suçlu veya zararlı yazılım, ele geçirdiği bir sistem üzerinde kriptopara madenciliği yapmak için kullanılan bir yazılım yükleyip sistemin işlemci kaynaklarını bu amaçla sömürmektedir. Bunu yaparken dosyaları bozmadığı, veri ifşa etmediği için de bunu tespit etmek oldukça zor oluyor. Olaylardan birinde kriptopara madenciliği yapan yazılım sadece kuruluş içerisinde kullanılan bir uygulama sunucusuna bulaşmıştı ve durum kullanıcıların “sistem yavaşladı” şikayetleri üzerine ortaya çıkmıştı. Bu olay türünde saldırı zinciri oldukça basit bir şekilde kurgulanıyor. Siber suçlu veya zararlı yazılım internete açık bir sunucu üzerindeki açıktan faydalanarak sunucuyu ele geçiriyor ve buraya kriptopara madenciliği yapan bir yazılım yüklüyor. Çalışmaya başlayan yazılım üzerinde kurulduğu sistemin işlemcisinin önemli bir kısmını sömürmeye başlıyor.

Bunun biraz farklı bir versiyonu Şubat ayında gündeme gelmişti ve o olayda kurbanın tarayıcısı kriptopara madenciliği için kullanılıyordu. Dizi izlemek için girdiğiniz bir site, siz Peaky Blinders’ın son bölümünü seyrederken bilgisayarınızın kaynaklarını Monero veya benzeri bir kriptopara biriminin madenciliğini yapmak için kullanabilir. Bunu yapabilecek sitenin nerede karşınıza çıkabileceği de belli olmuyor, torrent aramak için kullanılan sitelerden otomobil üreticilerinin sitelerine kadar geniş bir yelpazede bu davranış görülmektedir. Bir Japon otomobil üreticisinin elbette sizin bilgisayarınızın üreteceği kriptoparaya ihtiyacı yoktur, bu olayların önemli bir kısmında saldırganların siteye bu işi yapacak zararlı kod parçacığını eklediği görülmektedir.

Sadece bilgisayarınız değil, cep telefonunuz da kriptopara madenciliği için, sizden habersiz biçimde kullanılabilir. Geçtiğimiz senenin sonlarına doğru 5 milyondan fazla indirilmiş bir kaç Android uygulamasında da benzer davranışlar gözlemlenmişti. Kurumsal veya bireysel fark etmeksizin hepimizi hedef olarak gören bu saldırganları tehdit olarak görüp gerekli tedbirlerin alınması çok önemlidir.

Peki neler yapabiliriz?

İnternete açık sistemlerinizin zafiyetlerini takip edin
İnternete açık sistemlerinizde bulunan kritik açıklar veya basit parola kullanımı gibi açıklar bu suçlu türünün başlıca saldırı vektörüdür. Bu nedenle internete açık sistemlerinizde düzenli olarak zafiyet taraması yapmak ve zayıf parola kullanımı veya basit kurulum hatalarından kaçınmak oldukça önemlidir. Web sayfanızın olduğu sunucuya bulaşsa bile zararlı yazılım, web sayfanızda “h@cked by H@ckerZ” türü bir değişiklik yapmayacağı için farketmeniz zaman alabilir.

Sistemlerinizin işlemci tüketimi takip edin
Sistemlerinizin genel durumunu izlemek için kullandığınız merkezi bir sistem varsa (örn: Nagios, Solarwinds veya ManageEngine) sunucularınızın CPU kullanımını takip etmenizde fayda var.

Hangi uygulamanın ne kadar işlemci gücü kullandığına bakın
Windows sistemler üzerinde görev yönetici ile hangi uygulamanın ne kadar işlemci gücü tükettiğine bakabilirsiniz. Chrome veya adını duymadığınız bir .exe işlemcinin %70’ini kullanıyorsa bilgisayarınızda kriptopara madenciliği yapılıyor olabilir.

Hangi uygulamanın ne kadar kaynak tükettiğine bakın
Mobil cihazınızın markasına veya modeline bağlı olarak hangi uygulamanın bataryanın ne kadarını tükettiğini görebilirsiniz. Çok aktif kullanmadığınız bir uygulamanın son 24 saatte bataryanızın önemli bir kısmını kullandığını görürseniz telefonunuz üzerinde madencilik işleminin devam ettiğinin göstergesi olabilir.