EyePyramid: Amatör şansı

Kaspersky Daily’de zararlı yazılımlardan bahsederken – ki bunu çok sık yapıyoruz – genellikle elimizdeki verilere göre insanlara en çok zarar veren türlerden bahsediyoruz. CryptXXX, TeslaCrypt ve benzeri birkaç yazılım milyonlarca insanı mağdur etti. Birkaç kişiye bulaşmış zararlı yazılımlar insanların o kadar ilgisini çekmez. Tahmin edebileceğiniz gibi bu şekilde birçok zararlı yazılım var ve hepsi için ayrı ayrı blog yazıları yazamayız.

Kaspersky Daily’de zararlı yazılımlardan bahsederken – ki bunu çok sık yapıyoruz – genellikle elimizdeki verilere göre insanlara en çok zarar veren türlerden bahsediyoruz. CryptXXX, TeslaCrypt ve benzeri birkaç yazılım milyonlarca insanı mağdur etti. Birkaç kişiye bulaşmış zararlı yazılımlar insanların o kadar ilgisini çekmez. Tahmin edebileceğiniz gibi bu şekilde birçok zararlı yazılım var ve hepsi için ayrı ayrı blog yazıları yazamayız.

Ama her kuralın bir istisnası vardır. Bugün EyePyramid (GözPiramidi) ismindeki zararlı yazılımdan bahsedeceğiz. Hayır, ismini biz vermedik; yazılımcıları verdi. EyePyramid’den bahsedecek olma sebebimiz, bu yazılımın diğerlerinden biraz daha farklı olması, garip bir hikayeye sahip olması.

İtalyan ailesinin casusluk işi

EyePyramid’in temelde bir aile işi. Bu zararlı yazılım 45 yaşındaki nükleer mühendis İtalyan Giulio Occhionero tarafından yazıldı. O ve 48 yaşındaki kız kardeşi Francesca Maria Occhionero bu zararlı yazılımı internete dağıttılar. Beraber Westland Investments adındaki küçük bir yatırım firmasında çalışıyorlardı.

İtalyan polisinin geçtiğimiz günlerde yayınladığı rapor göre, EyePyramid oltalama yöntemi ile dağıtıldı ve çoğunlukla İtalyan hükümet mensuplarının yanı sıra masonlar, hukuk firmaları, danışmanlık servisleri, üniversiteler ve hatta Vatikan kardinallerini hedef aldı.

Niye? Bir defa yüklendikten sonra zararlı yazılım, yaratıcılarına mağdurun bilgisayarındaki kaynaklara erişim izni veriyor. SC Magazine’e göre, bu iş daha karlı yatırım yapmak için bilgi toplamak amacıyla yapıldı. Zararlı yazılımlar uzmanların aracıdır. Ve ben şahsen yatırımlar ile kardinaller arasındaki bağlantıyı kuramadım. Ama görünen o ki, suçlulara göre bir bağlantı var.

Polis raporu, yüksek profilli kurbanları hedef alan EyePyramid hakkında detaylı bilgiler içermiyordu. Ancak yönetim ve kontrol sunucularında bulunan e-mail adresleri GReAT ekibimizin ilgisini çekti ver araştırmaya başladılar.

Çaylak siber suçlu

Polisin verilerini kullanarak uzmanlarımız EyePyramid’in 44 farklı versiyonunu buldular. Bu da hikayeyi anlamamıza epey yardımcı oldu. Bazı medya kuruluşları EyePyramid’in son derece karmaşık olduğunu iddia ediyor. Hayır değil. Hatta gayet basit. Suçlu ikili zararlı yazılımın çalıştırılabilir uzantısını gizlemek için birden fazla boşluk kullanmak gibi kör yöntemler kullanmış. Basit bir yöntem ancak işe yaramış.

Anlaşılan o ki Occhionerolar suç hayatlarına çok önceden başlamışlar – bulabildiğimiz en eski zararlı yazılım örneklerine göre 2010. İtalya polisine göre bu ikili 2008’den beri aktif olabilir.

Her ikisi de siber suç alanında amatör oldukları için, iyi bir operasyonal güvenlik sağlayamadılar. Dahası, güvenlik konusunu hiç önemsemediler. Kurbanları hakkında cep telefonunda görüştüler (ki kolluk kuvvetleri tarafından kolayca dinlenebiliyor), WhatsApp’ı da aynı konuları konuşmak için kullandılar (geçtiğimiz yıla kadar WhatsApp’ın da uçtan uca şifreleme özelliği yoktu), hatta bazı işlerinde şirketlerinin IP adresinin izlerini dahi bıraktılar.

Ama yine de, en az üç yıldır hatta belki sekiz yıldan fazla bir süredir, 16,000 kurbanı hedef aldılar ve kurbanların bilgisayarlarına 100’den fazla kez girmeyi başardılar. Elde ettikleri onlarca gigabyte very ile yatırımlarını güçlendirdiler.

Masal bitti

10 Ocak’ta Giulio ve Francesca Maria Occhionero FBI tarafından tutuklandı, bu amatör zararlı yazılımının da devri bitti.

Uzun vadede şaşırtıcı görünebilir ancak bu zararlı yazılımın sırrı sadelikte yatıyor. Tamamen araştırmak için çok sıkıcı gözünüyordu ve Kaspersky Security Network sadece 92 bulaşma denemesi tespit etmişti. Ki bu sayı da fidye yazılımlarının deneme sayılarının yanında okyanusta bir damla gibi duruyor. Bu arada son olarak, suçlular hapiste.

İpuçları