Botconf’ta açıkça kötü amaçlı yazılımlar ve botnet’ler hakkında konuşuyoruz. Ancak siber suç bununla sınırlı değil ve Nantes’ta düzenlenen 2022 edisyonunda siber suç ekosistemlerini ele alan sunumlara da yer verildi.
Kötü niyetli aktörlerin artan profesyonelleşmesi ve uzmanlaşmasıyla karşı karşıya kalındığında, kötü amaçlı yazılımların teknik analizi artık siber suç faaliyetlerini açıklamak için yeterli değil.
Ve hizmetlerin sanal sosyalleşme yerleri olarak incelenmesi, kötü niyetli aktörlerin faaliyetlerine başka bir ışık tutuyor.
Elit Forum Efsanesini Ortadan Kaldırmak
bu bu serideki ilk ders Merkezi İsviçre’de bulunan Ekonomik Suçla Mücadele Enstitüsü (ILCE) ile Montreal Üniversitesi arasındaki akademik bir işbirliğinin sonucudur. Gol? ILCE’den Luca Brunoni, “Siber suçluları kendi sahalarında incelemek” diye özetliyor. Ve bazı sert mitlerin gerçekler tarafından doğrulanıp doğrulanmadığını kontrol edin.
Bunu başarmak için kriminoloji araştırmacısı David Décary Hétu iki forumu analiz etme görevini üstlendi. Tüm gelenlerin erişebileceği bir ilk ve daha “seçilen” davetler için bir başkası. “Amaç, bu iki tür forum arasındaki farkları anlamak, özellikle siber suçluların seçkinlerini bir araya getiren özel forum efsanesinin gerçekliğini doğrulamaktı” diye açıklıyor. Efsanenin uzun sürmediği açıktır: “Düşündüğünün aksine, yeni kötü amaçlı yazılımlar için satış tekliflerinin iki tür forumda büyük ölçüde eşdeğer olduğunu gördük. İki platform arasında sunulan kötü amaçlı yazılımın kalitesi açısından çok az fark var,” diye özetliyor David Décary Hétu.
Dikkate değer tek fark, daha gizli forumlara dayanan siber suçluların “genel” forumların aksine itibarlarını oluşturmak için daha fazla zaman harcamalarıdır. Bir fark muhtemelen, meşhur Raidforum’ları sona erdiren son baskının kanıtladığı gibi, en önde gelen platformların daha kolay yıkılması gerçeğiyle bağlantılı.
Araştırmacılar, araştırma konusunun henüz emekleme aşamasında olduğunu ve çalışılan forumların sayısının yeterince temsil edici olmadığını fark ederse, proje devam eder. Ve ilk sonuçlarını desteklemek için yeni forumları analiz edebilmeyi umuyorlar. David Décary Hétu sahnede seviniyor: “Bazı özel forumlara girebilmek için etik konseyimden yalan söylemek için izin bile aldım.”
BotShops’tan Botconf’a
Botconf sahnesinde incelenen başka bir ekosistem: BotShop’unki. Genesis yasadışı pazar yeri gibi. Bu siteler, çalınan kimlik bilgilerinin ötesinde, bilgi çalan kötü amaçlı yazılımlar tarafından ele geçirilen bilgisayarlar için kullanılan bir terim olan “botlara” erişim satar. Nispeten küçük bir meblağ karşılığında, bir kişi çevrimiçi olarak kolayca bir kişinin kimliğine bürünebilir. Bu sektördeki en iyi bilinen pazar yerlerinden biri olan Genesis ile daha önce ilgilenseydik, çevrimiçi olarak başka rakipler de var: Rusya pazarı, Amigos, 2Easy, vb. Her site, siber suçluların ihtiyaçlarına göre uyarlanmış kendi fiyat ve hizmet yelpazesine sahiptir.
Flashpoint’ten Bryan Oliver ve Austin Turecek sahnede “Bu tekliflerin asıl ilgi alanı, virüslü makinede sundukları kalıcılıktır” diyor. Gerçekten de, güvenliği ihlal edilmiş bir parola kolayca iptal edilebilir. Ancak bilgi çalma yazılımı bulaşmış bir makinede bu pek işe yaramaz: Genesis gibi platformlar, alıcıya kurban tarafından bir şifre güncellemesi yapıldığını ve yeni şifrenin kötü amaçlı yazılım tarafından kurtarıldığını bildirmek için arayüzleri dikkatlice tasarladı.
Para çalmak veya erişim
BotShops, parolanın ötesinde, bir kullanıcıyı tanımlamak için kullanılan tüm bilgileri çalabilir: tarayıcısının sürümü, tarama geçmişi, kullanılan işletim sistemi vb.
Bu nedenle, kötü niyetli bir İnternet kullanıcısı, mağaza tarafından sağlanan bir eklentiyi kullanarak, çevrimiçi olarak birinin kimliğini kolayca çalabilir ve hizmet sağlayıcılar tarafından uygulanabilecek güvenlik kontrollerini atlayarak onun kimliğine bürünebilir. “Toplamda, Genesis tarafından sağlanan eklenti, 36’dan fazla parametreyi taklit etmeyi mümkün kılıyor. Modern bilgi hırsızlığı yazılımı, çevrimiçi olarak bu sahte kimlikleri oluşturabilmek amacıyla çok çeşitli çalıntı bilgi türleri sunuyor” diye açıklıyor iki araştırmacı.
Bu yeni ekosistem, hem banka hesaplarını veya kripto varlık cüzdanlarını boşaltarak hem de sosyal ağ kullanıcılarının hesaplarını ele geçirerek para çalmanın kolay bir yolunu temsil ediyor. Son olarak, bu erişimler bir şirket ağına ağ geçidi olarak da kullanılabilir: Bu, Haziran 2021’de Electronics Arts şirketinden bilgisayar korsanları tarafından kullanılmış gibi görünen yöntemdir. Hackerlardan birinin Vice gazetecilerine yaptığı açıklamalara göreilk erişimin, saldırıya uğrayan kullanıcının şifrelerini sıfırlamak için şirketin BT destek kanallarına erişim sağlamak da dahil olmak üzere, Genesis Marketplace’teki saldırganlar tarafından satın alındığı iddia edildi.
Taraklamanın dalgalı ekosistemi
Son konferans ve tartışılan son ekosistem, “taraklama” sitelerininki. Bu, banka kartı verilerinin çalınması ve kullanılması konusunda uzmanlaşmış siber suç faaliyetlerine verilen addır. Blueliv’den araştırmacılar Lidia Lopez ve Beatriz Pimenta’nın açıkladığı gibi, bu ekosistemin ilk analizleri, büyük bir çalıntı kart satış sitesi olan Joker’in zulasının gönüllü olarak kapatılmasının ardından başladı. Sahnede, “Bu aktörün bıraktığı yeri hangi yeni aktörlerin alacağını anlamak için bu ekosistemi incelemeye çalıştık” diyorlar.
Küçük taraklama dünyası birkaç yolla beslenir: bu, fiziksel “skıyıcılar” – ATM’lere bağlanmak ve bankacılık verilerini çalmak için tasarlanmış cihazlar – e-ticaret sitelerinde eşdeğerlerinin kullanımına kadar değişebilir – Magecart tipi saldırılar. Son olarak, BotShops tarafından kullanılanla karşılaştırılabilir bilgi çalan kötü amaçlı yazılımların kullanımı da hala geçerlidir.
Blueliv araştırmacıları, önemli bir aktörün ortadan kaybolmasının yarattığı boşluktan yararlanmaya çalışan, bazıları mavnayı cezbetmek için ücretsiz banka kartı verisi yığınları sunmaktan çekinmeyen özel site ve forumların birkaç örneğini sahnede detaylandırdı.
Ancak bu topluluğu karakterize eden, her şeyden önce aktörlerinin değişken karakteridir. “Bu pazar yerlerinden birinin kapatılmasının en yaygın nedeni fonla ayrılan yöneticilerdir. Araştırmacılar, bu tür bir dolandırıcılıkta para kaybettiklerinden şikayet eden birçok kullanıcının yorumunu kaydettik” dedi. Bu ekosistemde her türlü dolandırıcılığın gelişmesini de destekleyen kronik bir istikrarsızlık, birçok site, özellikle “yazım hatası” saldırılarını çoğaltarak, bilinen ve yakın zamanda kapatılan pazar yerlerini taklit etmeyi amaçlıyor.
Bir adım önde olun
Siber uzayda jandarmanın kutbu olan yeni Comcybergend’de etkinliğin organizatörü ve jandarma genel müdürü Eric Freyssinet’in belirttiği gibi, bu ekosistemlerin incelenmesi gelecek için bir meydan okuma olacaktır. “Karşılaştığımız ana zorluklardan biri, bu yeni suç türünün son derece dinamik, sürekli gelişen doğasıdır” diye açıklıyor. “Bu gelişmelerin hızı, soruşturmalar için gereken süre ile her zaman uyumlu değil. Bir kurbanın bize anlattığı şey, üç ay sonra tamamen değişmiş olabilir. Bu gelişmeleri öngörmemiz gerekiyor: Gelecekteki suçların düzenlendiği yerleri, siber suçluların nelere hazırlandığını anlayın ve inceleyin, aksi takdirde çok geç olacak. »