AKBANK, bir süredir konuşulan siber saldırılara hedef olduğu yönünde ki haberleri bugün yaptığı bir açıklama ile doğruladı. AKBANK, yaptığı açıklamaya göre; “uluslararası bir şebekenin kendilerini hedef aldığını ve azami zararın $4M olduğunu” ifade ederek, olası zararın bankanın sigorta şirketi olan Bankers Blanket tarafından karşılanarak müşterileri etkileyecek bir zarar ve güven riskinin olmadığını, saldırının bankanın finansal tablolarını etkileyecek önemli bir etkisi olmadığını belirtti.

Aslında AKBANK’ın açıklamada bahsettiği uluslararası şebeke, güvenlik uzmanlarının hiç de yabancı olmadığı Carbanak-bağlantılı bir şebeke. Aynı grup, daha önce başta Rusya olmak üzere Amerika, Almanya, Çin, Ukrayna ve Bangladeş gibi ülkeleri de hedef almıştı. Şimdi bu hedeflerin arasına maalesef Türkiye de eklendi.

Peki saldırı nasıl gerçekleşiyor? Aslında şebekenin önceki hedeflerinde kullandığı taktik ve teknikler, Türkiye’de kullandıkları ile birebir aynı. Saldırganlar hedefledikleri kurumlara, zararlı yazılımları bulaştırabilmek için MS Office Makrolarını kullanıyor.

 

Makro çalıştıktan sonra hedef alınan sistem üzerine zararlı yazılımlar indiriliyor ve PowerShell+WMI betikleri çalıştırılıyor. Mevcut makro ve indirilen PowerShell betiklerinin tamamı saldırganlar tarafından karmaşıklaştırılarak, kurumların antivirüs vb. sistemleri atlatılmıştır.

 

 

Saldırganlar, sistemleri ele geçirdikten sonra SWIFT verilerine müdahale etmeye, Kredi Kartı verilerini toplamaya yarayan araçların yanı sıra sistemde kalıcı olmak adına arka kapı yazılımları da bulaştırmıştır. Aynı zamanda saldırganların hedefleri arasında ATM, POS verileri de yer alıyor.

 

Bu gibi saldırıları geleneksel güvenlik çözümlerinin engelleyemediği, yaşanan olay ve tecrübelerle sabit. Aynı şekilde bu ve benzeri atakları engellemeye yönelik geliştirilen ve “Next-Generation” olarak lanse edilen endpoint güvenlik çözümlerinin ise, Türkiye’deki temsilcileri ve satış ekipleri tarafından konfigürasyonunun doğru ve efektif yapılamaması, kurumları ciddi  anlamda riske atıyor.

 

Mevcut ekran görüntüsü Türkiye’deki bankaları hedef alan şebekenin, Rusya’da bir bankaya düzenledikleri saldırıda, ilk aşamadaki enfeksiyon için kullandıkları Office Word dosyasına aittir.

TRAPMINE, herhangi bir imza ve güncelleme gerektirmeden bu ve benzeri saldırılara karşı tam bir koruma sağlamaktadır.