Hacking, tek kişilik bir suç fırsatı olmaktan çıkarak, suç kartelleri ve para aklayıcılar tarafından desteklenen karmaşık bir malware pazarına dönüştü.
Yıllar önce tipik bir hacking senaryosu, halka açık IP adreslerini arayan yalnız bir saldırgan veya belki gecenin ilerleyen saatlerinde çalışan birkaç kişiyi içeriyordu. Onlar bir tanesini bulduklarında reklam servislerini (Web sunucusu, SQL sunucusu vs.) numaralandırdı, birden fazla zayıf noktayı kullanarak içeri girdi ve ardından ihlal ettikleri firmanın verilerini derinlemesine araştırdı. Sıklıkla onların amacı keşifti. Eğer illegal bir şey yaptılarsa, bu tipik olarak suç fırsatının anlık kararla değerlendirilmesiydi.
Tipik bir hacking senaryosunu tanımlarken, bu günlerde hacker’ın çok daha öncesinden, saldırının arkasındaki organizasyonla başlamalısınız. Bugün hacking’in tümü suç; malware için açık arttırma pazarları, suç kartelleri, kiralık botnet’ler ve siber savaş çıldırmış durumda.
İşte günümüz IT güvenlik profesyonellerinin yüzleştiği en büyük dokuz tehdit.
Tehdit No. 1: Siber suç kartelleri
Her ne kadar yalnız suçlu beyinler halen var olsa da, bu günlerde en kötü niyetli hacking saldırıları organize olmuş gruplardan geliyor. Bunları çoğu profesyonel.
İlaç, kumar, fuhuş ve gasp işlerini yürüten geleneksel organize suç grupları online para hırsızlığına el attı fakat rekabet çok büyük olduğundan bu, mafyalar tarafından değil bilhassa siber suça yönelmiş birden fazla çok büyük profesyonel suçlular tarafından yönetiliyor.
En başarılı organize siber suç kartellerinin çoğu, büyük üye holding gruplarına liderlik yapan işletmeler; çoğunlukla yasal pazarlama hiyerarşileri altında. Aslında günümüz siber suçlularının muhtemelen bir Avon veya Mary Kay müşteri temsilcisiyle çok ortak yönü var.
Birkaç üyenin dahil olduğu küçük gruplar halen hack yapıyor ama ekseriyetle IT güvenlik profesyonelleri büyük işletmelere karşı saldırgan davranışlar sergiliyor. Tam zamanlı çalışanları, İK departmanlarını, proje yönetim takımlarını ve takım liderlerini düşünün. Ve bunun tümü suça yönelik; ekranda komik mesajlar veya diğer genç işi antikalar yok. Çoğu açıkta çalışıyor ve hatta bazılarının (Russian Business Network gibi) kendi Wikipedia girdileri dahi var. Eski zamanları aratan gelişmeler, değil mi?
İş gücünün özelleşmesi ve bölümü bu organizasyonların kalbinde yatıyor. Tek bir beyin veya bir iç halka, topluluğu yürütür. Çavuşlar veya altbölümler bir elleri malware’ların üretiminde farklı alanlarda özelleşmiştir. Bir diğeri pazarlamaya adanmışken, öteki dağıtım kanalını oluşturup yönetir. Bir başkası da botnet’lerin oluşturulmasından ve ardından onların kötülere kiralanmasından sorumludur.
Siber suç firmaların ve insanların paralarıyla fikri mülkiyetlerini yağmalayan çok seviyeli, servis yönelimli bir endüstri halini almışken popüler IT güvenlik uygulamalarının günümüz malware’larına karşı işe yaramaması boşuna değil.
Tehdit No. 2: Küçük dolandırıcılar – ve onları destekleyen para aklayıcılar
Tüm siber suç organizasyonları kartel veya büyük işletmeler değil. Bazıları bir tek şeyin peşinde olan (para) basit girişimci doğasında.
Bu kötü niyetli küçük operasyonlar kimlikleri ve parolaları çalabilir veya bunları elde etmek için kötü yönlendirmelere neden olabilir. Nihayetinde onlar para istiyor. Kredi kartı dolandırıcılığı yapıyor, banka hesaplarını boşaltıyor ve kazançlarını para katırları, elektronik nakit dağıtımı, e-banka veya bir tür para aklama türüyle yerel para birimini dönüştürüyorlar.
Para aklayıcıları bulmak güç değil. İllegal olarak yağmalanmış kazançlardan büyük bir dilim almak için birbiriyle yarışan yüzlerce yapı var. Aslında, Internet suçlarını desteklemek için yalvaran insanların rekabeti sizi şaşırtabilir. Onlar “soru sorulmaz”, yasal kavuşturmanın uzak olduğu “kurşun geçirmez” ülke diye reklam yapıyorlar. Ayrıca genel ilan panoları, yazılım uzmanları, 7/24 telefon desteği, açık arttırma forumları, memnun müşteri referansları, antimalware’dan korunma becerileri ve daha iyi online suçlular olmaları için diğerlerine yardımcı olan tüm servisleri sunuyor. Bu grupların çoğu her yıl milyonlarca dolar kazanıyor.
Bu grupların çoğu ve onların arkasındaki insanlar geçtiğimiz birkaç yıl içinde belirlendi (ve tutuklandı). Onların sosyal medya profilleri büyük evler, pahalı arabalar ve maaile yurtdışı tatili yapan mutlu insanları gösteriyor. Onlar diğer insanlardan para çalmadan dolayı az da olsa suçluluk hissetseler de bunu göstermezler. Komşularına ve arkadaşlarına “Internet pazarlama işi” yaptıklarını söyleyen barbekü partilerini düşünün. Kullanıcıları onlardan korumak için her şeyi yapan IT güvenlik profesyonellerini afallatacak biçimde, her zaman kazandıkları milyonlar için sosyal mühendislik yaparlar.
Tehdit No. 3: Hacktivist’ler
Eski zamanlarda kahramanlık övünmeleri yaygınken, günümüzde siber suçlular radara görünmeden uçuyor; sayıları giderek artan hacktivistler hariç.
Bu günlerde IT güvenlik profesyonelleri meşhur Anoymous grubu gibi kendilerini politik aktivizme adamış bireylerle mücadele etmek zorunda kalıyor. Politik olarak motive edilmiş hacker’lar hacking’in doğduğu ilk günden bu yana var oldu. Büyük değişim artık aşikar bir biçimde giderek daha fazla yapılmaları ve toplum bunu politik aktivizmin kabul görmüş bir yapısı olarak dikkate alıyor.
Politik hacking grupları sıklıkla iletişim halinde; anonim veya değil hedeflerini ve hacking araçlarını halka açık forumlarda duyuruyorlar. Zamanla daha fazla üye kazanıyorlar, halk desteğini almak için medyaya şikâyetlerini bildiriyorlar ve illegal davranışları sebebiyle tutuklanmaları halinde şaşırmış gibi davranıyorlar. Onların niyeti kurbanlarını mümkün olduğunca rahatsız etmek ve olumsuz medya dikkati sağlamak. Bu ister müşteri bilgilerini hack’lemekle, DDoS saldırılarıyla veya sadece kurban firmaya sadece fazladan sıkıntıya sebep vererek olabilir.
Çoğunlukla politik hacktivism kurbanlarına parasal bir sıkıntı yaratma niyeti taşır. Bu şekilde kurbanın davranışlarını değiştirmek hedeflenir. Bu savaşta bireyler dolaylı yoldan zarar görebilir ve hacktivist’in politik nedeni ne olursa olsun, niyet ve metodoloji suçludur.
Tehdit No. 4: Fikri mülkiyet hırsızlığı ve kurumsal casusluk
Hacktivist’lerle uğraşma ihtimali düşük olsa da, çoğu IT profesyoneli işletmelerden sadece fikri mülkiyetleri çalmak ya da doğrudan kurumsal casusluk yapmak için var olan kötü niyetli büyük hacker gruplarıyla mücadele etmek zorundadır. Buradaki operasyonların metodu bir firmanın IT varlıkları içerisine sızmak, tüm parolaları çalmak ve zaman içerisinde gigabyte’larca gizli bilgiyi çalmaktır: patentler, yeni ürün fikirleri, askeri sırlar, mali bilgiler, iş planlar vs. Onların niyeti finansal kazanım için müşterilerine aktarmak üzere değerli bilgileri bulmaktır. Yine onlar sızdıkları firma ağı içerisinde mümkün olduğunca gizli kalma amacı güderler.
Ganimetlerini toplamak için önemli e-postalara kulak kabartırlar, veritabanlarını istila ederler. O kadar fazla bilgi toplarlar ki kendi kötü niyetli arama motorlarını ve sorgu araçlarını geliştirmeye başlarlar. Böylece daha ilginç fikri mülkiyetleri ayrıştırabilirler.
Bu tür bir saldırgan APT (gelişmiş kalıcı tehdit) veya DHA (kararlı insan düşman) olarak bilinir. Bu tür kampanyalardan etkilenmemiş büyük firma sayısı çok azdır.
Tehdit No. 5: Malware tacirleri
Siber suçun arkasında hangi niyet veya grup olursa olsun, birilerinin malware’i üretmesi gerekir. Geçmişte, tek bir programcı kendi kullanımı veya belki satmak için malware yapabilirdi. Bugün tamamen malware yazmaya adanmış takım ve firmalar mevcut. Onlar belirli güvenlik savunmalarını aşmak, belirli müşterilere saldırmak ve belirli amaçları yerine getirmek üzere malware üretiyor. Ve bunlar açık arttırma forumlarındaki açık pazarlar üzerinde satılıyor.
Sıklıkla malware safhalı ve bileşenli yapıdadır. Küçük bir program kurban bilgisayarına ilk sızmadan sorumludur ve bir kez bilgisayar yeniden başlatıldıktan sonra dahi güvenli bir biçimde yaşadığından emin olduktan sonra, daha fazla talimat için “ana” Web sunucusuyla bağlantı kurar. Genellikle bu küçük sonda programı ana sunucuyu arayan DNS sorguları gönderir; kendisi sıklıkla geçici olarak ana sunucu gibi davranan ele geçirilmiş bir bilgisayardır. Bu DNS sorguları kötü niyetli bulaşmanın olduğu kurban bilgisayarları olan DNS sunucularına gönderilir. DNS sunucuları bilgisayardan bilgisayara geçer; aynı ana Web sunucularında olduğu gibi.
Bir kez bağlantı kurulduktan sonra DNS ve ana sunucu sıklıkla sonda iştemcisini diğer DNS ve ana sunuculara yönlendirir. Bu şekilde sonda istemcisi tekrar tekrar (onlarca kez) yeni bulaşmış bilgisayarlara yönlendirilir; sonda programı son talimatları alana ve daha kalıcı kötü niyetli program kurulana dek.
Neticede, günümüz malware yazarlarının kullandığı sistem IT güvenlik profesyonellerinin onların mamullerine karşı savunmasını oldukça güçleştiriyor.
