Siber Suç Çetesinden Kredi Kartı Bilgilerini Çalmaya Yönelik Yeni Taktikler

İlk olarak Ocak 2016’da ortaya çıkan FIN8 adlı siber suç çetesi, satış noktası (POS) sistemlerine kötü amaçlı yazılım ile saldırarak kredi kartı bilgileri çalmaya odaklanıyor. Çalınan bilgiler, karanlık web’de (dark web) satılıyor. Saldırıların genel yapısı incelendiğinde perakende ve konaklama sektörlerinin ana hedef olduğu görülüyor.

İki yıl boyunca gözlerden uzak kalan FIN8, Haziran ayı itibarıyla tekrar kendini gösterdi. Siber suç örgütü, kaldığı yerden eylemlerine devam ediyor. Siber saldırı stratejilerini güçlendirmek için kötü amaçlı araçlar geliştirip uygulayan FIN8’in bugüne kadar yüzlerce firmayı mağdur ettiği tahmin ediliyor.

FIN8 saldırılarındaki son yenilik siber güvenlik şirketi Gigamon tarafından analiz edildi. Şirket, FIN8’in yeni saldırılarında daha önceden açıklanmamış olan Badhatch adlı kötü amaçlı bir yazılımın kullanıldığını kaydetti.

Gizlice hedef alınan ağları ifşa etmek için yüklenen Badhatch, aynı zamanda POS cihazlarından geçirilen kredi kartlarının verilerini çalan PoSlurp gibi kötü amaçlı ek yazılımlar da yüklüyor.

Kötü amaçlı yazılımı tersine mühendislik yöntemiyle analiz eden güvenlik uzmanları, Badhatch’in FIN8 tarafından kullanılan diğer arka kapı uygulamaları ile uyumlu olduğunu ortaya çıkardı. ZDNet’e açıklama yapan Gigamon yöneticisi Justin Warner, Badhatch’in geçmişte kullanılan siber suç araçları ile uyumlu çalıştığını ve uzaktan erişim ve kontrol için ek özellikler kazandırdığını ifade etti.

Badhatch saldırılarının FIN8 tarafından geçmişte düzenlenen PunchBuggy/PowerSniff gibi phishing (oltalama) e-postaları aracılığıyla düzenlenen saldırılarda kullanıldığı tahmin ediliyor. E-postalarda yer alan Microsoft Word dokümanı, açıldığı takdirde arka kapı yükleyen PowerShell komutları içeriyordu.

FIN8’in eski kötü amaçlı yazılımları gibi zararlı komutların saldırganlar tarafından özel olarak kodlandığı anlaşılıyor. Badhatch, PowerSniff ile benzerlikler içerdiği gibi ek özelliklere de sahip. Bunlar arasında farklı bir komut, kontrol iletişim protokolü ve sürece komut ekleme özelliği bulunuyor.

Öte yandan PowerSniff’in aksine Badhatch sandbox tespitini önlemek için kendine özgü önlemler içermiyor. Bunun sebebi, yazılımın zaten sızıntı yapıldıktan sonra kullanılmak için hazırlanması ve sonrasında FIN8’in otomasyon sandbox’ı engellemek için fazladan kontrole sahip olması.

Sürekli aynı aracı kullanmıyorlar…

Güvenlik uzmanları, Badhatch gibi yeni bir kötü amaçlı yazılımın ortaya çıkmasının FIN8’in siber suçlardaki kararlılığını yansıttığını belirtti. Warner, FIN8’in araçlarında görülen gelişimi “Grubun dinamik bir yapıya sahip olduğunu gösteriyor, ayrıca finansal amaçla motive olan diğer siber suç örgütleri gibi sürekli aynı aracı kullanmıyorlar” şeklinde değerlendirdi. Warner, nihayetinde FIN8 ve diğer siber suç örgütlerinin olabildiğince fazla para kazanmaya çalıştıklarını sözlerine ekledi.

FIN8 ve diğer finansal çıkarla hareket eden siber suçlular için basit satış noktalarına yapılan kötü amaçlı yazılım saldırıları birçok durumda kazançlı bir fırsat çünkü yamaması zor olan eski yazılımlar üzerinde çalışıyorlar.