Mercek: Gelişmiş Saldırı Yöntemleri ile Tekrar Ortaya Çıkan FIN8 Siber Suç Örgütü

Siber suç dünyasında uzun süre ortalıkta gözükmeyen tehdit aktörlerinin sessizliğinin temel amaçlarından biri de dikkat çekmemek adına kendilerini gizlemek, bir diğer neden de teknoloji araçlarını tasfiye ederek siber güvenlik teknolojileri tarafından tespit edilme olasılığını düşürmek. Bu kapsamda uzun süre ortadan kaybolduktan sonra tekrar sahneye çıkan siber suç örgütlerinden biri de FIN8 oldu… Siber suç makinesi örgüt, yaklaşık 1,5 sene sonra geliştirilmiş bir arka kapı trojan saldırısı ile ortaya çıktı.

Güncellenmiş silahı ile ekran görüntüsü yakalama, proxy tunnelling, kimlik bilgisi hırsızlığı ve fileless execution saldırıları düzenleyebilen siber saldırı, ilk bulgulara göre son derece tehditkâr. Bu noktada aslında pek sık gündeme gelmeyen bazı siber saldırı terimlerinin tanımlarına değinmek yerinde olabilir; örneğin Proxy tunneling, bir ağ üzerinde kullanılan uygulama aracılığı ile birden çok makineye (muhtemelen botnet kullanarak) erişim sağlamayı amaç edinirken, fileless execution ise bir makinede halihazırda yüklü olan uygulama üzerinden saldırı gerçekleştirmeyi esas alıyor.

İlk kez 2016’da gündeme gelmişti…

İlk kez 2016 yılında eylemleri gün yüzüne çıkarılan FIN8; perakende, konaklama ve eğlence sektörlerine düzenlediği saldırılarla tanınıyordu.

Siber örgüt, saldırılarında spear-phishing (gelişmiş oltalama saldırıları) ve Punchtrack ile Badhatch gibi çeşitli saldırı araçlarını kullanması ile biliniyor. Punchtrack ve Badhatch, özetle POS cihazlarından kredi kartı bilgileri çalmayı amaç ediniyor.

Güvenlik uzmanları, FIN8 siber suç örgütünün eylemlerine ara verdiği uzun süreçlerde yöntem ve teknik kabiliyetini geliştirdiği, böylelikle saldırılardaki başarı oranını artırmayı hedeflediği yorumlarını paylaşıyor. Zira Badhatch kötü amaçlı yazılımı birçok güvenlik bariyerini atlama ve savunma teknikleri bulunduran, oldukça gelişmiş bir arka kapı trojanını temsil ediyor.

FIN8’in geliştirdiği trojan, aynı zamanda bilgisayar ağlarında kullanılan bir güvenlik protokolü olan TLS (Transport Layer Security) kullanarak Powershell komutlarını gizleyebiliyor. .NET Common Language Runtime (CLR) üzerine kurulan Powershell, çapraz platformlu görev otomaston ve yönetim çerçevesini temsil ediyor.

2019’a keşfedilen ve saldırı tamamlayıcı bir unsur olarak kullanılan Badhatch, siber korsanların kontrolündeki sunucudan alınan komutlar ile saldırı destekleyici işlev gösterebildiği gibi mevcut saldırı sürecine kötü amaçlı DLL de enjekte edebiliyor. Bununla birlikte bilgisayar sistemi hakkında bilgi toplayıp elde ettiği verileri sunucuya aktarabilme gibi özellikler taşıyor.

Öte yandan Nisan 2020’den bu yana arka kapı trojanın v2.12 ve 2.14 olmak üzere en az iki versiyonu bulunduğu tespit edildi. Güvenlik uzmanları, Badhatch’in en son versiyonunun kurulum sürecinde tespit edilmemek için sslp.io adı verilen yasal bir hizmete saldırdığını, aynı zamanda PowerShellp komutu indirmek için kullandığını, böylece Badhatch DLL içerne kodu harekete geçirdiğini ortaya çıkardı.

Direnç elde etme konusunda oldukça başarılı olan PowerShell script, sızdığı sistemde üst yönetim seviyelerine erişebilmek için kodun uygulanması için gönderilen tüm komutların SYSTEM kullanıcısında çalıştığından emin oluyor.

FIN8 tarafından geliştirilen bir ikinci ihlal yöntemi, kumanda ve kontrol (C2) sunucusu ile iletişimi yasal HTTP talepleri gibi göstermeyi temel alıyor.

Hangi sektörler, hangi ülkelere saldırılıyor? Güvenlik adına neler yapılabilir?

Güvenlik uzmanları tarafından yapılan araştırmalar, FIN8 tarafından geçtiğimiz yıl gerçekleştirilen saldırıların ağırlıklı olarak sigorta, perakende, teknoloji ve kimya sanayilerini hedef aldığına; suç örgütünün ABD, Kanada, Güney Afrika, Porto Riko, Panama ve İtalya’daki hedeflere yöneldiğine işaret ediyor.

FINl8 düzenli olarak araçlarını ve kullandığı yöntemleri, tespit edilmemek adına yeniliyor. Uzmanlar, işletmelerin muhtemel saldırılara maruz kalmaması için POS ağının çalışanlar ve müşteriler tarafından kullanılan ağdan ayrı tutulması gerektiği uyarısında bulunuyor. Aynı zamanda şüpheli e-postaların filtreleme sistemleri ile ayıklanması gerektiği bildiriliyor.