Group-IB, Silence adı altında bilinen bir hacker grubu tarafından işlenen suçları ortaya çıkardı.
Rusya’daki bankalar bu grubun kurbanı oldu, fakat Group-IB’nin analiz uzmanları, grup tarafından gerçekleştirilen saldırıların izlerini dünyanın 25’ten fazla ülkesinde tespit ettiler. Group-IB tarafından yayınlanan Silence faaliyetlerine ilişkin birinci ayrıntılı raporda grubun kullandığı araçların, tekniklerin ve şemaların analizi yapılmıştır. Şirketin analiz uzmanları, Silence grubunun iki üyesinden en azından birinin siber güvenlik alanında faaliyet gösteren bir şirkette çalışıyor ya da daha önce çalışmış olduğuna ilişkin tahminleri doğruladılar. Şu an itibariyle Silence faaliyetleri sonucunda doğrulanmış zararın tutarı 52 milyon ruble.
Cobalt hacker grubunun aktiviteleri neredeyse sıfıra düştükten beri Rusya’daki ve uluslararası bankalar için en büyük tehdit Silence grubu oluşturmaya başladı. Yakın bir geçmişe kadar sadece siber güvenlik uzmanları tarafından bilinen Silence grubu, hızla ilerleyen bir mobil, küçük ve genç grubunun örneğidir. Silence grubu tarafından çalınan paranın tutarı bir yılda 5 kat büyüdü: 7 milyon rubleden 35 milyon rubleye kadar. Sadece doğrulanmış olaylarda Silence tarafından gerçekleştirilen saldırılar sonucunda oluşan zararın tutarı şu an itibariyle 52 milyon ruble olarak belirlenmekte.
İki yıldan uzun bir süre içerisinde Silence, onu bağımsız bir grup olarak tanımlanmasına izin veren hiç bir şekilde anılmamıştı. Group-IB tarafından yapılan adli değerlendirmeler sonucunda ortaya çıkarılan saldırıların kronolojisi ve doğası, işin başında suç işleyenlerin bankacılık sistemlerini hack etmek için yeterli becerilere sahip olmadığını ve ilk operasyonları sırasında kelimenin tam anlamıyla işi işbaşında öğrendiklerini gösterir. 2017 sonbaharından itibaren grup aktivitesinde belirgin bir artış görülmeye başladı. Belli ki, Silence başka suç işleyen grupların tecrübelerini sürekli analiz eder, yeni teknikleri ve değişik bankacılık sistemlerinden para çalma yöntemlerini uygulamaya çalışıyor. Bunlar arasında, Rusya Bankası Müşterisinin Otomatik İş Yeri, ATM’ler, kart işleme sistemleri.
Grubun aktivitesi Group-IB uzmanları tarafından ilk olarak 2016 yılında kaydedildi. O zaman saldırganlar parayı Rusya Bankası Müşterisinin Otomatik İş Yeri adlı Rusya’nın bankalararası havale sistemi üzerinden çıkarmaya çalışmışlar, fakat ödeme belgesi yanlış hazırlandığı için hırsızlık olayı engellenmişti. 2017 yılında Silence ATM’lere saldırmaya başladı. Group-IB uzmanları tarafından doğrulanan ilk saldırı olayından sonra hackerlar bir gece içinde ATM üzerinden toplam 7 milyon Ruble çıkartmayı başarmışlar. 2018 yılında grubun saldırısı bir aracı vasıtasıyla kart işleme sistemi üzerinden gerçekleştirilmişti: bu saldırıda grup bir partner firmayı bir ek bağlantı olarak kullanarak bu firmanın ATM’leri üzerinden bir hafta sonu içinde toplam 35 milyon ruble kazanabildi. Aynı yıl içinde, Nisan ayında, yani sadece iki ay sonra, grup eski plana geri dönüyor ve ATM’ler üzerinden para çalmaya devam ediyor. Bir gecede yaklaşık 10 mln Ruble çıkarmayı başarıyorlar. Şu anda bu olaylar grupla kesin olarak ilişkilendirilebilen olarlardır. Fakat Group-IB uzmanları, bu hackerların bankalar üzerinden başarılı olarak sonuçlandırdıkları saldırı sayısının kat kat fazla olduğundan eminler.
Durgun sular derin olur: Silence kimdir?
Silence, Rusça konuşan hakerlar olduğu komutlarının dilinden, saldırganların kullandıkları altyapının bulunduğu yerlerden ve suç işleyenlerin seçtikleri hedeflerden anlaşılmaktadır. Ayrıca, grubun isimlendirildiği Silence backdoor (arka kapı) komutlarının yazılış şekli latin alfabesi ile Rusça kelimelerin yazılışıdır. Hackerlar, Rusça konuşan hoster’leri kullanıyorlar. Grubun ana hedefleri Rusya, Ukrayna, Belarus, Azerbaycan, Polonya, Kazakistan gibi ülkelerde bulunmasına rağmen yemleme mesajları Orta ve Batı Avrupa’da, Afrika’da ve Asya’da bulunan bankaların elemanlarına da gönderilmişti.
Silence grubu sadece iki kişiden oluşur: birincisi geliştirici, ikincisi ise operatör. Kaynaklarının sınırlı olması, saldırılarını seçici bir şekilde yaptıklarını açıklar. Her hırsızlık olayı için onlar en az 3 ay hazırlık yaparlar ki bu süre Anunak, Buhtrap, MoneyTaker ve Cobalt gibi grupların hazırlık süresinden en az üç kat daha fazladır. Geliştirici, yüksek vasıflı tersine mühendislik uzmanının becerilerine sahip olup saldırılar için araçları geliştirir, karmaşık exploitlerin ve programların modifikasyonunu yapar. Fakat işlemlerde bir çok hata yapar ki bunlar bir virüs uzmanı veya tersine mühendislik uzmanı için standart hatalardır. Bu kişi, program nasıl yazıldığını biliyor, ama doğru programlamayı bilmiyor. Grubun ikinci üyesi ise operatördür. Bu kişi, sızma testlerinin nasıl yapıldığını çok iyi biliyor ve bunun sayesinde bankacılık altyapısı içinde çok rahar hareket edebiliyor. Banka içinde koruma altında bulunan sistemlere erişmek için geliştirilen araçları kullanan ve hırsızlık sürecini başlatan kişi bu kişidir.
Silence tarafından kullanılan araçlar ve yöntemler
Hedefli saldırılarda uzmanlaşan grupların çoğu gibi Silence de kimlik avı kullanır. Başlangıçta, grup toplu e-mail göndermek için hack edilmiş sunucuları ve güvenliği ihlal edilmiş kullanıcı hesaplarını kullanıyordu. Daha sonra grup kimlik avı için domain açmaya başladı. Bu domainler için kendilerin imzaladığı sertifikalar geliştirilmişti. Silence tarafından oluşturulan kimlik avı mesajlar çok düzgün bir şekilde hazırlanmıştır. Çoğu zaman bu mesajlar banka elemanları adına yazılır. Grup, kimlik avı amaçlı toplu e-mail gönderimleri için Rusya ve Hollanda’daki sunucuları kullanır. Ayrıca Silence komut merkezleri için sunucuları kiralamak amacıyla Ukrayna’da bulunan bir hosterin hizmetlerinden yararlanır. Bir kaç sunucu ise Mayıs 2018’de Europol tarafından altyapısı bloke edilen MaxiDed’den kiralanmış.
Siber saldırganların, ilk operasyonlarında ödünç alınan Kikothac backdoor kullanmaları, grubun herhangi bir ön hazırlık yapmadan çalışmaya başladığını gösterir. Bunlar güçlerini test etmek için ilk girişimleriydi. Daha sonra grubun geliştiricisi kart işleme sistemlerine ve ATM’lere yapılacak saldırılar için kendine has bir araç setini geliştirdi. Bu araç seti, Silence – altyapı saldırısı için bir yazılım çerçevesi, Atmosphere – ATM saldırısı için yazılım seti, Farse – virüslü bir bilgisayardan şifreleri almak için yardımcı program ve Cleaner – uzak bağlantı loglarını silmek için bir araç gibi araçlardan oluşur.
“Silence, siber saldırganlık kavramını büyük bir ölçüde alt üst ediyor: saldırıların doğasından, kullanılan araçlardan ve taktiklerden ve de grubun üyelerinden anlaşıldığı gibi bu saldırılar, sızma testleri ve tersine mühendislik gibi yasal işlerde halen çalışan veya en yakın geçmişte çalışmış olan insanlar tarafından gerçekleştirilmiştir, – diye anlatıyor Group-IB’nin teknik müdürü ve siber istihbarat kolunun yöneticisi Dmitriy Volkov. – Onlar diğer siber saldırganların faaliyetlerini çok dikkatli bir şekilde inceliyorlar, antivirüs ve Threat Intelligence firmaların raporlarını inceliyorlar, fakat bu onların bir çok hata yapmalarını ve direk saldırı sırasında eksiklerini öğrenip tamamlamalarını engellemiyor. Silence tarafından kullanılan bir takım araçlar yasaldır, diğerleri ise başka grupların tecrübelerine dayanarak kendilerce geliştirilmiş. Silence faaliyetlerini incelediğimizde, bir whitehat’ın blackhat’a dönüşme sürecini izlediğimizi anlıyoruz. İnternet ve özellikle onun gizli kısmı, bu tür metamorfozlar için bir çok fırsat açar. 5-7 yıl öncesine göre bugünlerde bir siber saldırgan olmak çok daha kolay oldu; bir sunucu kiralanabilir, mevcut exploit’ler değiştirilebilir, yasal programlar kullanılabilir. Bütün bunlar, adli bilişim eksperlerin işini büyük bir ölçüde zorlaştırır, ama bir hacker olma yoluna girmeyi çok kolaylaştırır”.