Groupe-IB tarafından yakın zamanda açıklanan ortak bir rapora göre, Fransızca konuşan bir grup siber suçlu, birkaç yıllık faaliyette en az on bir milyon dolarlık bir ganimet biriktirdi; bu, aslında 30 milyon dolardan fazla olabilecek kötü niyetli bir ekleme. Şu anda Singapur merkezli Rus kökenli siber güvenlik şirketi ve Fransız telefon operatörünün olay müdahale merkezi Cert-Orange.
??SİBERSEC
tarafından ortak bir rapor @OrangeCertCC ve @GroupIB_GIB Fransızca konuşan çete OPERA1ER’den, ağırlıklı olarak Afrika’da bulunan bankalara, finansal hizmetlere ve telekomünikasyon şirketlerine yönelik 30’dan fazla başarılı saldırıyı inceliyor.https://t.co/oWoEFkg0D3 pic.twitter.com/nS2LC83zWY
— FOX Projesi (@FOXProject) 4 Kasım 2022
0 gün kullanılmadı
Analistler, sonuç olarak, bunun “yalnızca rafta bulunan araçlarla donatılmış siber suçluların verebileceği hasarı” gösterdiğini belirtiyor. Suç grubunun cephaneliği, bu nedenle, birkaç yıl önce keşfedilen güvenlik açıklarını kullanarak, bu açıklanmayan kusurları herhangi bir 0-gün içermiyordu. Bununla birlikte, “suçluların işini karmaşıklaştırma etkisi” yaratabilecek “altyapıyı güncellemek ve güvenlik yamalarını yüklemek için yeterli” bir süre olduğunu belirtiyorlar.
Swift şirketine veya Opera1er’e göre, çete Groupe-IB ve Cert-Orange’dan analistler tarafından lakap takıldığı için “Common Raven”ın 30 hedefli saldırının arkasında olduğundan şüpheleniliyor. Siber suçlular, Arjantin, Paraguay, Bangladeş veya Uganda’ya nadiren yapılan saldırılar dışında, neredeyse yalnızca Batı Afrika’da bulunan yapılara, bankalara veya telekomünikasyon operatörlerine saldırdı. Groupe-IB ve Cert-Orange’a göre, bu bilgisayar saldırıları, suçluların ödeme ve çevrimiçi bankacılık sistemlerini tehlikeye atmasına izin verdi. İki durumda, dünyadaki farklı bankalar arasında para transferlerini kolaylaştırmak için tasarlanan bu bankalararası ağ olan Swift ağ geçitlerine erişebildiler.
2016’dan kalma grubun izleri
Opera1er 2019’da Cert-Orange ve Groupe-IB’nin dikkatini çekerken, suç çetesi 2016’da başlatıldı ve en eski kayıtlı alan adı o yıl oluşturuldu. Siber suçlular, kötü niyetli ekler içeren veya güvenliği ihlal edilmiş Google Drive sayfalarına, Discord sunucularına veya yasal web sitelerine yönlendirilen, çoğunlukla Fransızca yazılmış ayrıntılı kimlik avı e-postalarıyla kurbanlarına saldırdı.
Bir kez ayrıcalıklı erişime sahip olan siber suçlular, belirli bilgisayarların kontrolünü ele geçirmek veya sanal bir özel ağ ile bilgi sistemine bağlanmak için AnyDesk gibi uzaktan erişim araçlarını kullandı. Suçlular daha sonra büyük miktarda para içeren hesapları hedef aldı. Yağma, daha sonra ATM’lerden çekilmeden önce katır hesaplarına aktarıldı.
Bu nedenle analistler, örneğin neredeyse bir gecede çalınan fonları çekmek için bir saldırıda kullanılan 400’den fazla katırdan oluşan bir ağ rapor ediyor. Bir bilgisayar baskınının hazırlanmasının altı ila on iki aylık bir hazırlık gerektirmesi durumunda, katır alım aşamasının bir ila üç ay sürmesi gerektiğini tahmin ediyorlar. Groupe-IB ve Cert-Orange’dan analistlere göre, ya saldırıların işareti “son derece karmaşık, organize, koordineli ve çok uzun bir süre boyunca planlanmış”.