PARA ARAŞTIRMA/ TAYGUN DELİOĞLU Siber suç faaliyeti için ihtiyaç duyulan altyapı ve kullanılan araçlar, siber suç ekosisteminin ana sabitleri. İnsanların bu oyundaki rolü ise doğrudan altyapı ve araçlara bağlı. Ancak ne oldu da siber suçlular, son beş yılda çalışma şekillerini değiştirdi? Hedeflerini neye göre seçiyorlar?
Bugünlerde hayal etmek zor olabilir, ancak sadece beş yıl önce bilgisayarınıza bir Truva atı bulaştırmak, bir haber sitesini ziyaret etmek kadar kolaydı. Aslında, Türkiye'de çok sayıda kötü amaçlı yazılım, haber platformları ve diğer meşru web siteleri aracılığıyla "doğrudan ön sayfadan" dağıtıldı. Artan tarayıcı güvenliği ile bu vektör üzerinden saldırılar, çok daha zor hale geldi. O zamanlar tarayıcılar güvenlik açıklarıyla doluydu, kötü kullanıcı deneyimi sunuyordu ve genellikle güvensizdi. Seçtikleri tarayıcılar değil, alışık oldukları tarayıcıları veya Internet Explorer gibi kuruluşlar tarafından belirlenen varsayılan tarayıcıları kullandı. Adobe Flash, Silverlight ve Java gibi eklentiler aracılığıyla yapılan saldırılar da kullanıcı cihazlarına bulaşmanın en kolay ve en sık kullanılan yollardan biriydi ve artık bunlar geçmişte kaldı.
2021 yılında tarayıcılar çok daha 'güvenli' oldu. Bazı tarayıcılar otomatik olarak, herhangi bir kullanıcı katılımı olmadan firma tarafından güncellendi. Ayrıca sayısız hata ödül programının geliştirilmesiyle karanlık ağda bir alıcı aramak yerine, keşfedilen güvenlik açıklarını geliştiricilerin kendilerine satmak daha kolay hale geldi. Bu aynı zamanda güvenlik açıkları için daha yüksek fiyatlara yol açtı. Sonuç olarak; bu tür araçlarla kurumsal kullanıcılardan ziyade düzenli kullanıcıları hedeflemek, çok pahalı hale geldi ve ticari olarak siber suçlulara uygun değil. Bu nedenle tarayıcı güvenlik açıkları ile saldırılar durma noktasına geldi.
GÜVENLİK AÇIKLARI PAZARI YENİLENDİ
Uygulamalar daha karmaşık, mimarileri daha iyi hale geldi. Bu da siber suçluların çalışma şeklini kökten değiştirdi. Çoğu zaman, siber suçlular bir günlük güvenlik açıklarından yararlandı, uygulama geliştiricilerin yakın zamanda kullanıma sunduğu yamalarını inceleyerek kapatılan güvenlik açıkları için açıklar yazdılar. Bununla birlikte, yazılım güncelleme süresi oldukça uzun olduğundan -hala öyledir- kullanıcılar, cihazlarını genellikle gecikmeli olarak güncelledi ve bu nedenle siber suçluların birkaç kurbana bulaşabileceği bir açık pencere bıraktılar. Sonuçta amaç, kullanıcıyı gizlice saldırganlar tarafından kontrol edilen bir sayfaya yönlendirmek ve bu sayfanın kullanıcının tarayıcısındaki güvenlik açıklarından birinden yararlanacak kodu içermesiydi.
Daha fazla kullanıcının virüs bulaştığından emin olmak için siber suçlu grupları, belirli kullanıcı grupları için istismar kitleri geliştirdi. Bunlar, kurbanların cihazlarına indirilen özel istismarlardı. İstismarı çalıştırdıktan sonra saldırganlar, genellikle virüslü cihaza indirilmek üzere belirli bir yük seçerdi. Yük genellikle bilgisayara uzaktan erişimle sonuçlanırdı. Cihaz virüs bulaştığında, siber suçlular için ne kadar çekici olduğuna göre değerlendirilirdi. Bundan sonra saldırganlar, virüslü cihazın ilgisini değerlendirecek belirli bir istismar yükleyecek ve ardından belirli bir kötü amaçlı yazılım yüklerdi. Tabii kurban gerçekten ilginçse.
Bu tür tarayıcı saldırılarının artık geçerli olmadığı ve yürütülmesi kolay olmadığı için, bir dizi farklı oyuncu artık talep görmüyordu. Bu; istismar içeren belirli sayfalara trafiği satın alma ve yönlendirme konusunda uzmanlaşmış grupları, istismar paketleri geliştiren ve satan grupları, belirli cihazlara erişim satın alan grupları -ikincisi, şimdi farklı oyunculara satmalarına rağmen hala var- içeriyordu. Tabii ki, istemci tarafı yazılımlarındaki güvenlik açıkları kaldı. Şu anda tarayıcılarda değil, PDF veya Word gibi çeşitli belge türlerinde, genellikle e-posta yoluyla dağıtılan Makrolu seçenekler. Yine de bu değişiklik, saldırıları ve enfeksiyon sürecini daha çok zorlaştırıyor. Tarayıcı enfeksiyonlarından farklı olarak; bir PDF veya Word'de gizlenmiş kötü amaçlı bir dosyayı dağıtırken saldırgan, kurbandan geri bildirim alamaz veya hedefin kullandığı cihaz hakkında ek bilgi alamaz. Tarayıcılar ise otomatik olarak hangi yazılım ve eklenti sürümlerine sahip olduklarını bildirir. Bu şekilde, saldırganların kimlik avı e-postaları yoluyla kötü amaçlı dosyaları dağıtmaya geçmesiyle, kullanıcının yazılımının sürümünü veya saldırının ne kadar ilerlediğini izlemek daha zor hale geldi. Bunun da ötesinde, e-posta sunucularındaki ve Word gibi uygulamalardaki güvenlik mekanizmaları da bir bulaşmayı zorlaştırdı. Çünkü kötü amaçlı dosyalar içeren birçok e-posta, hedefe ulaşmadan önce ele geçirilmezken, kullanıcılar uygulamaların içinde potansiyel olarak 'tehlikeli ekler' hakkında düzenli uyarılar alırlar.
BULUTLAR SUÇLARI KOLAYLAŞTIRDI
İletişim ve veri depolama için altyapıya ihtiyaç var. Kuruluşlar yeni Bilişim Teknolojileri (BT) hizmetlerinin benimsenmesinde ilerledikçe, aynı trendleri ve değişiklikleri takip eden siber suçlular da ilerliyor. Daha önceden, siber suçlular sunucuları kiralardı, çoğu zaman kendi adları altında olmasa da oldukça meşru bir şekilde göz önündeydi. 2016'da, şüpheli etkinliklere bağlı sunuculara yönelik şikayetleri yok saymak daha kolaydı. O zamanlar bazı kuruluşlar, kullanıcı şikayetlerini yok sayan kurşun geçirmez sunucular sunuyordu. Ancak zaman geçtikçe, yerel yetkililerin siber suçlara daha fazla ilgi göstermesinin bir sonucu olarak bu tür sunucuları yönetmek daha zor ve daha az karlı hale geldi. Siber suçlular, ayrıca araştırmacıları gözden kaçırmak ve ana C&C merkezini izlemeyi zorlaştırmak için geçiş sunucuları olarak kullanmak için kuruluşların sunucularına saldırırdı. Bazen siber çeteler, örneğin kurbanlardan alınan veriler gibi bazı bilgileri tehlikeye attıkları sunucularda depolar; verilerin çeşitli platformlara yayıldığı bu tür bir yapıyı yönetmek için özel personel gerektirirdi.
Bulut sunucularının benimsenmesi, siber suçlular için hayatı kolaylaştırdı. Şimdi, birden fazla şikayet bir hesabın askıya alınmasıyla sonuçlanıyorsa, verileri yeni bir sunucuya taşımak; iki dakikalık bir iş. Bu, aynı zamanda ekiplerin sunucuyu yönetmek için artık özel bir ekibe ihtiyaç duymadığı anlamına geliyor.
ARTIK EKİPLERE ALINMIYORLAR
Belki de en korkutucu eğilim, siber suçluların yeni etkili kötü amaçlı yazılımlara erişmesinin ne kadar kolay hale geldiğidir; örneğin Pegasus yazılımı gibi… Kötü amaçlı yazılımlara büyük fonlar ve kaynaklar yatırmaya devam ederken, siber suçlular artık kendi kötü amaçlı yazılımlarını veya açıklardan yararlanmalarını geliştirmeyi içermeyen daha kolay ve daha az maliyetli yolu seçiyor. Açık kaynaklı kötü amaçlı yazılımlar, Dark Web'de giderek daha sık ortaya çıkıyor. Siber çetelerin kaynak kodlarını ücretsiz olarak halka açması, bir trend haline geldi ve yeni oyuncuların siber suç faaliyetlerine başlamasını oldukça kolaylaştırdı. Bir bankacılık Truva atı olan Cerberus'un geliştiricileri, kötü amaçlı yazılımlarının kaynak kodunu Ekim 2020'de yayınlarken, aynı adı taşıyan kötü şöhretli fidye yazılımının geliştiricisi Babuk, fidye yazılımı kodunu Eylül 2021'in başlarında yayınladı. Daha da kötüsü, sızma testi araçlarının ve hizmetlerinin geliştirilmesiyle birlikte karanlık pazar, yeni kötü amaçlı araçların yükselişini gördü. Bu araçlar, müşterilerin güvenlik altyapısını ve başarılı ağ penetrasyon potansiyelini değerlendirmek gibi meşru hizmetler için geliştirilir ve kullanılır. Bunlar yalnızca meşru amaçlar için kullanacak olan özenle seçilmiş bir müşteri tabanına satılmak içindir. Yine de kaçınılmaz olarak bu araçlar, sonunda siber suçluların eline geçer. En dikkate değer örneklerden biri, yeniden derlenmiş bir versiyonu Kasım 2020'de sızdırılan ve şu anda hem siber suçlular hem de APT grupları tarafından aktif olarak kullanılan siber suçluların favorisi CobaltStrike'dır.
Üstüne üstlük, siber suçlular, programların uzaktan yürütülmesine izin veren PSexec gibi sistem yöneticilerine yardımcı olması amaçlanan meşru hizmetlerden yararlanır. Anlaşılır bir şekilde, bu tür araçlar pandemiden ve bunun sonucunda uzaktan çalışmadaki artıştan bu yana popüleritesini artırdı. Bu günlerde siber suçluların ne tür araçlar kullandığını anlamak için pentest cihazlarının piyasada ne tür araçlar kullandığını ve sunduğunu görmek yeterli. Kötü amaçlı yazılım geliştirme pazarı olgunluk aşamasına ulaştı. Bilgi bolluğu göz önüne alındığında, bir siber suç operasyonu başlatmak, hiç olmadığı kadar kolay. Aynı zamanda şirketlere saldırmak daha kolay hale geldi. Koruma sistemleri hareketsiz durmaz; farkındalık artıyor, ancak yeterli değil.
SİBER ÇETELER KÜÇÜLDÜ
Artan güvenlik açığı maliyetleri, bulut sunucularına geçiş, halihazırda geliştirilmiş gelişmiş saldırı araçlarının erişilebilirliği gibi yapısal değişimler; siber çetelerin küçülmesine neden oldu.
Saldırı zinciri, birçok rolün dış kaynaklı olması ve ekiplerin daha çevik hale gelmesiyle optimize ediliyor. Bulut hizmetleri yönetimi kolay bir iş olduğundan, fiziksel ağlarla ilgilenen sistem yöneticilerine artık ihtiyaç yok. Siber suçlu çeteleri de kendi kötü amaçlı yazılımlarını geliştirmeyi esasen durdurdu. Daha önce, büyük siber suçlu grupları kendi kötü amaçlı yazılımlarına yatırım yapsaydı ve kötü amaçlı yazılımın farklı bölümlerinde; örneğin istemci ve sunucu tarafı, çalışacak en az iki geliştiricide personel olsaydı, günümüzde yalnızca bir operatöre ihtiyaçları var. Geliştiricilere ihtiyaç yoksa, testçiler de gerekli değildir. Farklı güvenlik açıklarına yönelik açıklardan yararlanmaları içeren uzun saldırı zinciri de daraldı ve bu nedenle istemci tarafına odaklanan açıklardan yararlanma yazılımcıları devre dışı bırakıldı. Kötü amaçlı siteler için trafik satın almak, satın alma verilerine, farklı kuruluşlara, hesap bilgilerine vb. erişime dönüştü. Bu hizmetler de dış kaynaklıdır. Sonuç olarak, 2021'de başarılı bir operasyon için bir siber çetenin yönetime, kötü amaçlı yazılım operatörlerine, ağ erişimi sağlama uzmanlarına ve çalınan fonları çekip nakde çevirmekle ilgilenen finans uzmanlarına ihtiyacı var.
2016-2017 yıllarında hapse atılan ve becerilerinin artık talep edilmediği bir dünyaya salınacak olan siber suçlulara ne olacağını henüz bilmiyoruz. Dürüst bir yola razı olup olmayacaklarını söylemek zor, ancak değilse, mevcut karanlık siber pazarda onlar için boş yer yok.
2016 yılı, dünya bankalarının birbiri ardına hack'lendiğini gördü. Aynı zamanda, normal kullanıcıların cihazlarına virüs bulaştığı ve mallarının çalındığı bir dönemdi. Zaman geçtikçe ve finans kurumlarını hedef alan büyük çeteler pusuya düşürüldükçe siber suçlular, diğer sektörlere geçerek hem büyük hem de küçük işletmelere saldırdı. Ancak 2018'e gelindiğinde, ağların içinden finansal operasyonlar yürütmek için fidye yazılımları, hırsızlar veya uzaktan erişim araçlarıyla kuruluşları; hedeflemenin çok daha karlı olduğunu fark ettiler. 2020 yılında Türkiye'de finans kuruluşlarına açılan davalarda düşüşe tanık olduk. Bankacılık yazılımını içeren olaylar, hemen hemen sahneyi terk etti. Yeni yerel finansal güvenlik düzenlemeleri ve gelişmiş bankacılık güvenliği konusu, bunun nedenleri arasındaydı.
BATIYA YÖNELDİLER
Ancak en önemlisi siber suçlular, batıdaki hedeflere yöneldi. Fidye saldırıları epey arttı. Uluslararası şirketler için fidye talepleri; 700 bin dolardan başlıyor 7 milyon dolara kadar çıkabiliyor. Ortalama olarak, fidye yazılımı operatörleri 50-100 bin dolar arasında değişen miktarda fidye alıyor.
İngilizcenin yaygın kullanımı, aynı zamanda şirketleri, saldırılara karşı daha duyarlı hale getiriyor. Aynı zamanda, Batı'ya geçiş, Türk şirketlerinin artık ülke içinden saldırıya uğramadığı anlamına gelmiyor. Kimlik avı e-postalarını ve belgelerini ana dillerinde hazırlamak, çok daha kolaydır. Türk şirketlerine saldırırken Türkçe konuşan bilgisayar korsanlarının tek avantajı budur. Bununla birlikte bu tür hedef seçimi, siber suçlular için daha yüksek riskler içerir; bunların keşfedilme ve tutuklanma olasılığı daha yüksektir.
TELEFON DOLANDIRICILIĞINDA RÖNESANS
Endüstri açısından siber suçlular, artık finansal kurumlarla sınırlı değil. Botnet'lerin ortaya çıkışı, bir ağ erişimi pazarı oluşturdu. Her tür endüstriden şirketler, belirli bir hedefleme olmaksızın kırılıyor ve bunlara erişim daha sonra Dark Web'de satılıyor. Pandemi, şirketlerin altyapılarının çoğunu çevrimiçi ortama taşıması ve uzaktan çalışanlara açmasıyla daha geniş bir saldırı yolunu ortaya çıkardı. Fidye yazılımı operatörleri, başlangıçta en kolay girilen ve bir miktar kâr elde eden şirketleri tercih eder. Bir başka büyük odak noktası, kripto para birimine sahip olan veya onu işleten kuruluşlar ve kullanıcılar. Kripto borsaları, kripto cüzdanlar ve diğerleri, hedefler arasında bulunuyor.
Bazı eğilimler ve saldırılar tamamen yerel. Örneğin, 2019'dan bu yana 'vishing-sesli kimlik avı' yani telefon dolandırıcılığı, biraz şaşırtıcı bir rönesans yaşadı.
GÖLGEYE TAŞINDILAR
Dark Web pazaryerlerinin dünyası da değişti. Gerçekten de siber suçluların buluşabileceği ve hizmetlerini sunabileceği birkaç popüler platform halen olsa da ciddi oyuncular giderek daha fazla gölgeye taşınıyor. Bunun en iyi örneği olarak, faaliyetlerine artan ilgi nedeniyle popüler Dark Web platformlarından ihraç edilen fidye yazılımı operatörleri gösteriliyor. Şimdi, özel olarak iletişim kurma eğilimindeler. Siber suçlular forumlar aracılığıyla değil, doğrudan bağlantı kurduklarından, güvenli habercilerin mevcudiyeti de bir rol oynadı. 'Zero Day' güvenlik açıkları gibi gerçekten değerli güvenlik açıkları nadir olduğundan ve doğrudan belirli müşterilere satılırken, diğer güvenlik açıkları bu konularda uzmanlaşmış ajanslara satıldığından; artık karanlık ağda, güvenlik açıklarını veya açıklardan yararlanmayı görülmüyor. Yine de Dark Web ağında, birçok hizmet talep edilmeye devam ediyor ve onlar için teklifler hala fazla çaba sarf etmeden bulunabiliyor.
BİLGİLER DAHA ERİŞİLEBİLİR
Birkaç yıl önce dijital pazar, siber suçlular tarafından test ediliyordu; kullanıcılara ve kuruluşlara saldırmanın radikal biçimde yeni yolları düzenli olarak geliştiriliyordu. Şimdi 2021'de siber suç dünyasının olgunlaştığı bir noktaya geldik. Siber güvenlik de öyle. Sadece birkaç yıl önce kuruluşlar çevrimiçi ortamda karşılaştıkları tehlikeler konusunda çok az bilgiye sahipti. Şimdi, kötü şöhretli ve yıkıcı saldırı dalgalarından sonra insanlar daha temkinli hale geldi ve kuruluşlar potansiyel siber riskleri fark edip bunları azaltmak için yatırım yapıyor. Ancak, yine de dikkat!..
Bilgiler daha erişilebilir hale geldi ve buna kötü amaçlı yazılımlar da dahil. Kötü amaçlı araçlar, çevrimiçi olarak bol miktarda mevcut. İster sızdırılmış olsun, ister artık yok olan siber çeteler tarafından geliştirilen kötü niyetli kötü amaçlı yazılımların kaynak kodu yayınlanmış olsun, isterse kuruluşlar tarafından 'pentest' için kullanılan yasal araçlar olsun... Bu erişilebilirlik, siber suçlulara fayda sağlar, çünkü artık sıfırdan kötü amaçlı yazılım yazmak için zaman ve kaynak harcamak zorunda kalmazlar.
Bildiğimiz siber çeteler gitti. Siber suçtaki insanlar birbirlerine gitgide daha az bağlılar ve artık uzun yıllar süren istikrarlı gruplar da yok denecek kadar az. Hacker grupları, çeşitli hizmetler sunan küçük işletmeler gibi çalışır. Artık kötü amaçlı yazılım yazmaları veya fiziksel sunucularla ilgilenmeleri gerekmiyor. Türkiye'de siber suçlar da sınırları aştı. Dijital dünya geleneksel sınırlardan yoksun olduğundan, potansiyel hedeflerin sınırlamaları siber suçluların konuştuğu dil tarafından belirlenir; bu nedenle, dünyanın İngilizce konuşulan kısmı her zaman çekici kalacaktır.
SİBER SUÇLULARIN KULLANDIĞI TEMEL HİZMETLER
Hazır Hesaplar:
Bulut gibi çevrimiçi hizmetleri kullanmak, siber suçluların e-postalarına ve telefon numaralarına sahip olmasını gerektirir ve bariz nedenlerden dolayı kendi hesaplarını oluşturmak yeterince güvenli değildir. Örneğin, Türkiye'de ön ödemeli SIM kartlar yasa dışıdır, tüm kullanıcılar SIM kartlarını kimliklerine kaydettirmelidir. Bu nedenle, telefon numaralarıyla birlikte gelen e-postalar her zaman talep görmektedir.
Girişlere erişim:
Normal telefon + e-posta kombinasyonunun yanı sıra siber suçlular, oyun ve akış hesaplarından bankacılık ve diğer hizmetlere kadar her tür hesap için çalıntı kimlik bilgileri sunar. Bu kimlik bilgileri, dolandırıcılıktan para çekmeye kadar çok çeşitli faaliyetler için kullanılabilir.
Kuruluşlara erişim:
Belki de en çekici teklif türü. Çoğu operatör, yalnızca botnet'ler aracılığıyla veya 'One Day' güvenlik açıklarından yararlanarak ağlara toplu olarak bulaşma konusunda uzmanlaşmıştır. Bir şirket ağına erişim elde ettikten sonra, şirketin çekiciliğini değerlendirir ve daha sonra şirketin verilerini toplamak veya şifrelemek için çalışan diğer siber suçlulara erişim satarlar.
DDoS saldırıları:
DDoS saldırılarına karşı koruma güçlenmiş olsa da hala talep görüyor.
Kişisel veriler:
Dark Web'de bulunan kişisel verilerin miktarı artmaya ve çeşitlenmeye devam ediyor. Veri türleri, kart veya kimlik verilerinden tıbbi bilgiler veya bankacılık hesaplarına tam erişim gibi daha nadir türlere taşındı. Bu verinin fiyatı, ürün başına 0,5 dolardan başlar. Dark Web'de bulunan veri türlerini, 17 Ekim tarihli sayımızda "veri borsası çok canlı" konusunda ele almıştık.