Trace Id is missing

Siber suçluların güvenlik araçlarını kötüye kullanmasını engelleme

Paylaş
Turuncu bir arka plan üzerindeki çeşitli simgeler.

Microsoft Dijital Suçlar Birimi (DCU), siber güvenlik yazılım şirketi Fortra™ ve Sağlık Bilgileri Paylaşım ve Analiz Merkezi (Health-ISAC), daha önce aralarında fidye yazılımlarının da olduğu çeşitli kötü amaçlı yazılımları dağıtmak için siber suçlular tarafından kullanılmış olan Cobalt Strike’ın kırılmış eski sürümlerinin yanı sıra kötüye kullanılan Microsoft yazılımlarını kullanılamaz hale getirmek için teknik ve yasal işlemler başlattı. DCU’nun geçmişteki çalışma tarzından farklı olan bu modelde hem daha geniş bir kapsam, hem de daha karmaşık bir operasyon söz konusu. Bir kötü amaçlı yazılım ailesinin komuta ve kontrol sürecini kesintiye uğratmak yerine bu sefer Fortra’yla el ele verip Cobalt Strike’ın yasa dışı, eski sürümlerini siber suçluların elinden almak için ortadan kaldırma çalışmaları yürütüyoruz.

Cobalt Strike’ın dünyanın dört bir yanında barındırılan eski kırık sürümlerinin izini sürebilmek için kararlılığımızı korumamız gerekiyor. Bu adım, Fortra’nın güvenlik araçlarının meşru amaçlarla kullanılmasını sağlamak açısından önemli. Benzer şekilde, Microsoft da kendi ürün ve hizmetlerinin meşru amaçlarla kullanılmasına önem veriyor. Ayrıca, Fortra’nın bu adım için bizimle iş birliğini tercih etmesini, DCU’nun son on yılda siber suçlarla mücadelede gösterdiği çabaların takdiri olarak görüyoruz. El ele vererek siber suçluların yasa dışı dağıtım yöntemlerinin peşine düşmekte kararlıyız.

Fortra tarafından sağlanan Cobalt Strike, kötü amaçla yararlanma olaylarından sonra saldırgan simülasyonu için kullanılan meşru ve popüler bir araçtır. Zaman zaman yazılımın eski sürümleri suçlular tarafından değiştirilerek kötüye kullanılıyor. “Kırık” denen bu yasa dışı kopyalar, Costa Rica Hükumeti ile İrlanda Sağlık Hizmetleri İdaresi’ne yönelik saldırılarda olduğu gibi ciddi yıkımla sonuçlanan saldırılar başlatmak için kullanılıyor. Microsoft yazılım geliştirme setleri ve API’leri, gerek kötü amaçlı yazılım kodu yazılırken gerekse de kurbanları hedef almak ve yanlış yönlendirmek için suçluların kötü amaçlı yazılım dağıtım altyapılarında kötüye kullanılıyor.

Kırık Cobalt Strike kopyalarıyla ilişkili ya da bunlar tarafından dağıtılan fidye yazılımı ailelerinin, dünya çapında 19’dan fazla ülkedeki sağlık kuruluşlarını hedefleyen 68’den fazla fidye yazılımı saldırısıyla bağlantılı olduğu ortaya çıktı. Bu saldırılar sonucunda hastane sistemlerinin kurtarılarak onarılması için milyonlarca dolarlık masrafa ek olarak teşhis, görüntüleme ve laboratuvar sonuçlarının gecikmesi, tıbbi prosedürlerin iptal edilmesi ve kemoterapi tedavilerinin aksaması dahil kritik hasta bakım hizmetlerinde pek çok kesinti oluştu.

Kırık Cobalt Strike kopyası bulaştırılan bilgisayarların küresel dağılımı
Kırık Cobalt Strike kopyası bulaştırılan bilgisayarların küresel dağılımını gösteren Microsoft verileri.

New York Doğu Bölgesi ABD Bölge Mahkemesi, 31 Mart 2023’te Microsoft, Fortra ve Health-ISAC tarafından suçluların saldırılarda kullandığı kötü amaçlı altyapıların kesintiye uğratılmasına izin veren bir karar verdi. Bu karar sayesinde ilgili İnternet servis sağlayıcılarını (İSS) ve bilgisayar acil durum hazırlık ekiplerini (CERT) bilgilendirip onların yardımıyla altyapıları çevrimdışı bırakabiliyoruz. Böylelikle, kurbanların ele geçirilmiş bilgisayarlarıyla suçlular arasındaki bağlantı kopuyor.

Fortra ile Microsoft’un araştırmaları kapsamında tespit, analiz, telemetri ve tersine mühendislik çalışmaları yürütülürken; Health-ISAC, Fortra Siber Tehdit Analizi Ekibi ve Microsoft Tehdit Analizi ekibi dahil olmak üzere küresel iş ortağı ağımızdan hukuki iddialarımızı güçlendirecek ek veri ve içgörüler topladık. Giriştiğimiz eylemin yegane amacı, Cobalt Strike’ın eski kırık kopyalarını ve güvenliği ihlal edilmiş Microsoft yazılımlarını kesintiye uğratmak.

Diğer yandan Microsoft, geniş bir yelpazeye yayılan pek çok farklı siber suçta yararlanılan güvenlik araçlarının kötüye kullanımını hedef alarak kötü amaçlı yazılımları ve ulus devlet operasyonlarını kesintiye uğratmayı başarmış bir hukuki yöntemin çerçevesini genişletiyor. Eski ve kırık Cobalt Strike kopyalarının kesintiye uğratılması, bu yasa dışı sürümlerden para kazanılmasını ciddi ölçüde zorlaştırıp siber saldırı amaçlı kullanımını yavaşlatarak suçluları taktiklerini değerlendirmeye ve değiştirmeye zorlayacak. Bu girişim aynı zamanda Microsoft ve Fortra’ya ait yazılım kodlarının değiştirilerek kötü amaçlarla kullanılmasına karşı telif hakkı taleplerini de kapsıyor.

Fortra, yazılımlarının kötüye kullanımını önlemek için müşterilerin sıkı ön incelemelerden geçirilmesi dahil pek çok somut adım attı. Ne var ki suçluların Cobalt Strike gibi güvenlik yazılımlarının eski sürümlerini çaldığı ve makinelere arka kapıdan erişim elde etmek ya da kötü amaçlı yazılım dağıtmak için bunların kırık kopyalarını oluşturduğu biliniyor. Fidye yazılımı operatörlerinin, hizmet olarak fidye yazılımı denebilecek iş modeli kapsamında, kırık Cobalt Strike kopyaları ve amacı dışında kullandıkları Microsoft yazılımlarıyla Conti, LockBit gibi fidye yazılımları dağıttığını gözlemledik.

Bu aktörler, güvenliği ihlal edilmiş ağlara fidye yazılımlarını daha hızlı dağıtmak için kırık yazılım kopyaları kullanıyor. Bir saldırının akışının gösterildiği aşağıdaki diyagramda, ilk erişimi elde etmek için kullanılan hedefli kimlik avı ve kötü amaçlı istenmeyen postaların yanı sıra Microsoft ve Fortra gibi şirketlerden çalınan kodların kötüye kullanımı dahil olmak üzere çeşitli etken faktörler vurgulanmıştır.

Tehdit aktörü saldırı akış diyagramı
DEV-0243 adlı tehdit aktörü tarafından gerçekleştirilen örnek saldırı akışı.
Microsoft Dijital Savunma
Öne Çıkanlar

Microsoft Dijital Savunma Raporu 2023: Siber dayanıklılığın tesisi

Microsoft Dijital Savunma Raporu’nun son sayısı, gelişen tehdit ortamını inceliyor ve siber saldırılara karşı dayanıklılık kazanma yolculuğumuzda karşımıza çıkan fırsat ve zorluklardan bahsediyor.
Daha fazla bilgi edinin

Bu yasa dışı operasyonları gerçekleştirenlerin kimlikleri şu an net olarak bilinmiyor olsa da Çin, Amerika Birleşik Devletleri ve Rusya dahil olmak üzere dünyanın farklı yerlerinde kötü amaçlı altyapılar olduğunu tespit ettik. Finansal çıkar peşindeki siber suçlulara ek olarak Rusya, Çin, Vietnam ve İran gibi yabancı hükumetlerin çıkarlarına hizmet etmek için kırık yazılım kopyaları kullanan tehdit aktörleri de gözlemlendi.

Microsoft, Fortra ve Health-ISAC olarak ekosistemin güvenliğini artırma çalışmalarımıza ara vermeden devam etmekle kalmıyor; FBI Siber Birimi, Ulusal Siber Soruşturma Müşterek Görev Kuvveti (NCIJTF) ve Europol’e bağlı Avrupa Siber Suç Merkezi (EC3) ile temas halinde çalışıyoruz. Attığımız adımlar suç faaliyetlerini doğrudan etkileyecek olsa da suçluların kaldıkları yerden devam etmenin bir yolunu bulmaya çalışacağından eminiz. Bu girişimin sorunu kökten çözmeyeceğinin farkındayız. Microsoft, Fortra ve Health-ISAC olarak iş ortaklarımızla birlikte sürdürmekte olduğumuz hukuki ve teknik çalışmalar aracılığıyla kırık Cobalt Strike kopyalarının kullanımı dahil olmak üzere başka suç faaliyetlerini de takibe alarak kesintiye uğratma girişimlerimize devam edeceğiz.

Yazılımlarının ve kırık Cobalt Strike kopyalarının yasa dışı kullanımıyla mücadele etmek için ciddi boyutlarda bilgi işlem ve insan kaynağı ayıran Fortra, müşterilerin yazılım lisanslarının risk altında olup olmadığını tespit etmesine yardımcı oluyor. Cobalt Strike lisansı satın alan meşru güvenlik kurumları Fortra tarafından ön incelemeye tabi tutuluyor ve hem kullanım kısıtlamalarına hem de ihracat denetimlerine uymaları zorunlu kılınıyor. Fortra, aktif bir biçimde sosyal medya ve dosya paylaşım siteleriyle birlikte çalışarak bu web ortamlarında tespit edilen kırık Cobalt Strike kopyalarının kaldırılmasını sağlıyor. Suçluların tekniklerini değiştirmesi karşısında Fortra da Cobalt Strike yazılımındaki güvenlik denetimlerini değiştirerek eski Cobalt Strike sürümlerini kırmak için kullanılan yöntemleri işe yaramaz hale getiriyor.

2008’den beri olduğu gibi Microsoft DCU ekibi olarak, dünya çapında bu yasaların yürürlükte olduğu sayısız ülkedeki müşterilerimizi korumak adına hukuk davaları yoluyla kötü amaçlı yazılımların yayılmasına engel olma yönündeki çabalarımızı devam ettireceğiz. Ayrıca, kurbanları tespit ederek sorunlarını düzeltmek için İSS ve CERT’lerle iş birliğini sürdüreceğiz.

İlgili makaleler

Kendinizi fidye yazılımlarına karşı korumanın üç yolu

Modern fidye yazılımı savunması, algılama önlemlerini ayarlamaktan çok daha fazlası gerektirir. Fidye yazılımlarına karşı ağınızı güçlendirmenin en iyi üç yolunu hemen keşfedin.
Daha fazla bilgi edinin

Hizmet olarak fidye yazılımı: Endüstrileşmiş siber suçların yeni yüzü

Siber suç dünyasının en yeni iş modeli olarak insanlar tarafından yürütülen saldırılar, sahip oldukları olanaklardan bağımsız olarak suçluların elini güçlendiriyor.
Daha fazla bilgi edinin

Siber suçlar ve fidye yazılımıyla mücadele uzmanı Nick Carr ile perde arkası

Microsoft Tehdit Analizi Merkezi Siber Suç Analizi Ekibi Lideri Nick Carr, fidye yazılımı trendlerine değinerek Microsoft’un müşterilerini fidye yazılımına karşı korumak için uyguladığı yöntemleri açıklıyor ve bu durumdan etkilenen kurumların neler yapabileceğini anlatıyor.
Daha fazla bilgi edinin

Microsoft’u takip edin