Bloga dön
Phishing Vaka Analizleri12 Haziran 20264 dk okumaOzan İsmail Çolhak

Milyon Dolarlık Kaleler Neden Tek Bir Linkle Çöker? (Bölüm 2)

Lazarus Group tek bir PDF kullanarak küresel bankaları nasıl hedef aldı — ve geleneksel güvenlik araçları bunu neden durduramadı.

OltalamaVaka AnaliziLazarus GroupPDF OltalamaPhiSharkYapay Zeka Güvenliği

Birkaç gün önce, Google ve Facebook'un 120 milyon doları nasıl dolandırıldığını — kurumsal e-posta filtrelerini atlatan sahte fatura linkleri üzerinden — ve PhiShark'ın ajan tabanlı yapay zekasının bunu nasıl önleyebileceğini konuşmuştuk.

Ancak siber cephe hattında, saldırganlar her zaman açık bir link göndererek doğrudan saldırıya geçmez. Bazen, o zehirli linki kurumsal hayatta hepimizin günde onlarca kez açtığı, tamamen zararsız ve güvenilir görünen bir dosyanın içine gizlerler: bir PDF.

Bu kez, dünyanın en tehlikeli tehdit gruplarından birini ve küresel finans kuruluşlarının nasıl özenle hazırlanmış oltalama belgeleriyle hedef alındığını inceliyoruz.

attachments.pdf: Lazarus Group'un Küresel Bankalara Karşı Oyun Kitabı

Modern tarihin en kötü şöhretli siber tehdit gruplarından biri, gözlemlenen en yıkıcı ve finansal motivasyonlu siber operasyonların bazılarından sorumlu olan Kuzey Kore bağlantılı Lazarus grubudur. Aynı saldırgan ekosistemi, Sony Pictures saldırısından uluslararası finans sistemlerini hedef alan büyük ölçekli banka soygunlarına kadar birçok büyük olayla ilişkilendirilmiştir.

Lazarus ve ilişkili Kuzey Kore tehdit aktörleri küresel bankaları hedef aldığında, işe güçlendirilmiş bir finans ağını doğrudan kırarak başlamadılar. Bir kez daha, en zayıf halkadan başladılar: insandan.

Banka çalışanları ve finans sektörü personeli, son derece ikna edici hedefli oltalama mesajlarıyla hedef alındı. Bu kampanyalar, iş teklifleri, maaş tabloları, işe alım materyalleri veya dahili finansal iletişimler gibi görünen profesyonel görünümlü belgeler kullandı. İlk bakışta bu dosyalar sıradan görünüyordu. Bir siber silah gibi durmuyorlardı. Yoğun bir çalışanın normal bir iş gününde kolayca açabileceği bir şey gibi görünüyorlardı.

Tehlikeli olan da tam olarak buydu.

Siber güvenlik açısından burada ne oldu? Bu neden önlenemedi?

Güvenlik duvarları, kurumsal e-posta filtreleri ve geleneksel güvenlik araçları gelen mesajı ve ekli dosyayı taradı. Çoğu durumda, bu sistemler bilinen oltalama kalıplarını, şüpheli dosya davranışlarını, tehlikeli betikleri veya daha önce tanımlanmış saldırı altyapısını arıyordu.

Ancak gerçek tehlike ilk katmanda görünür değildi.

PDF normal bir belge gibi görünüyordu. Metin, marka öğeleri, kısa bir talimat ve meşru bir doğrulama sürecinin parçası gibi görünen bir link içeriyordu. Çalışan şuna benzer bir mesaj gördü:

"Bu belge korumalıdır. Tam içeriği görüntülemek için lütfen kurumsal hesabınızla doğrulama yapın."

O anda, dosyanın kendisi artık son silah değildi. Bir teslim mekanizmasına dönüştü.

Gerçek saldırı, çalışan gömülü linke tıkladığında başladı.

Bu link, kurbanı güvenilir bir kurumsal veya bankacılık sistemini taklit etmek üzere tasarlanmış sahte bir giriş sayfasına yönlendirdi. Çalışan kimlik bilgilerini girdiğinde, saldırganlar bu erişimi kullanarak ağın derinliklerine ilerledi, hassas finans sistemlerini aradı ve sonunda uluslararası para transferleri için kullanılan altyapıya ulaştı.

Zararsız görünen bir belge, finansal bir felaketin başlangıcı böyle oldu.

Bu banka operasyonlarının sonucu devasa boyuttaydı. Kuzey Kore bağlantılı aktörler, banka ağlarını ele geçirerek ve sahte SWIFT mesajları göndererek dünya genelindeki bankalardan 1,2 milyar dolardan fazla çalmaya teşebbüs etmekle suçlandılar. Yalnızca Bangladeş Bankası soygununda, saldırganlar yaklaşık 1 milyar dolar transfer etmeye çalıştı ve operasyon tamamen durdurulmadan önce 81 milyon doları başarıyla çaldı.

Dışarıdan bakıldığında, bu bankalar kale gibi görünüyordu.

Etraflarında sıkı erişim kontrolleri, dahili prosedürler, finansal izleme sistemleri ve küresel bankacılık altyapısı vardı.

Ancak ilk çatlak SWIFT ağının içinde ortaya çıkmadı.

attachments.pdf gibi görünen bir dosyayı açan tek bir çalışanla başladı.

PhiShark Orada Olsaydı Ne Değişirdi?

Geleneksel ürünler statiktir. Bir dosyayı e-posta sunucusundan girerken denetler, bir kez tarar, "temiz" olarak etiketler ve orada bırakır. Dosya açıldıktan sonra ne olduğu genellikle görüş alanlarının dışındadır.

PhiShark'ın koruma mantığının tam olarak aydınlattığı kör nokta burasıdır.

Bir kullanıcı bu şüpheli PDF'i Tarayıcı Eklentimizin "Dosya Tara" bölümünden doğrudan yüklediği anda, PhiShark dosyayı yalnızca yüzeyde taramazdı. Belgenin içine gizlenmiş URL'yi çıkarır, ajan tabanlı yapay zeka analiz modüllerimizden geçirir ve son varış noktasının bir oltalama tuzağı olduğunu saniyeler içinde tespit ederdi.

PDF'in kendisi temiz görünse bile, PhiShark arkasındaki gerçek niyeti anlardı.

Çünkü modern oltalamada, kötü amaçlı olan her zaman dosyanın kendisi değildir.

Bazen, dosya yalnızca kapıdır.

Böylece saldırganların özenle hazırladığı oltalama tuzağı en başında etkisiz hale getirilirdi — çalışan kimlik bilgilerini girmeden, saldırganlar dahili sistemlere ulaşmadan ve tek bir sahte transfer talimatı gönderilmeden önce.

Milyonlarca dolarlık bir bankacılık felaketi, tek bir PDF'in içinde durdurulabilirdi.

Siber cephe hattı artık çok boyutlu. Geleneksel linklerden PDF'lere, ve şimdi fiziksel dünyadan dijital dünyaya doğru ilerliyor. Serimizin bir sonraki ve son bölümünde, geleneksel güvenlik araçlarını tamamen kör bırakan "QR Oltalama" yani "Quishing" saldırılarını ve PhiShark'ın ekosistem mimarisini konuşacağız.

Güvende kalın. Orijinal makaleyi blogumuzda okuyun ve PhiShark'ı deneyin veya PhiShark Tarayıcı Oltalama Koruması Eklentisini yükleyin.

Ha bu arada, son bölüm çok yakında geliyor — QR kodlar ilginçleşmek üzere. Takipte kalın. :D

Sevgiler, Ozan.