19 Temmuz Cuma günü yaşanan CrowdStrike olayından ders çıkarmak ve toparlanmak için dünya çapında çabalar sürerken, siber suçlular ve dolandırıcılar tahmin edilebileceği gibi söylemin kenarlarında gizleniyor, CrowdStrike’ın markasıyla ilişkilendirilen yeni oluşturulmuş kötü amaçlı alan adlarının desteğiyle, şüphesiz kurbanları seçiyorlar.
Web güvenliği uzmanı Akamai, araştırmacılarının 180’den fazla bu tür alan adı tespit ettiğini, gerçek sayının muhtemelen daha yüksek olduğunu ve bunlardan birinin ilişkili anahtar kelimeler açısından ilk 200.000 site arasında yer aldığını söyledi.
Bu web sitelerinin hedef aldığı sektörlerin başında hayır kurumları, kâr amacı gütmeyen kuruluşlar ve eğitim sağlayıcıları geliyor. Bu iki sektör de kötü niyetli kişiler tarafından genellikle daha fazla hedef alınıyor çünkü bunların uygun siber güvenlik eğitimi veya savunma önlemlerini uygulama veya çoğu durumda bunları karşılama olasılıkları daha düşük.
Akamai’den Tricia Howard, şirketin internet sitesinde yaptığı açıklamada, haber değeri taşıyan olaylarda sıklıkla görüldüğü gibi, tehdit aktörlerinin durumu ve CrowdStrike olayının kapsamını ve etkisini hemen istismar etmeye çalıştıklarını, milyonlarca Windows cihazının mavi renge dönmesine ve birçoğunun BT veya güvenlik alanında deneyimi olmayan şaşkın kullanıcıların, bulabilecekleri her yerde cevap aramaya yönelmesine yol açtığını ve bunun da onları sosyal mühendislik açısından büyük riske soktuğunu söyledi.
Akamai ekipleri, CrowdStrike olay dolandırıcılıkları ve diğer istismarlar için kullanılan en kötü amaçlı etki alanlarını belirlemek amacıyla küresel uç ağından alınan veri yığınlarını analiz etti. Bu saldırılar arasında silme ve bilgi çalma amaçlı kötü amaçlı yazılımların dağıtımı ve uzaktan erişim Truva atları (RAT’ler) da yer alıyor.
En yaygın kullanılan alan adlarının hepsi CrowdStrike’ın markasını bir dereceye kadar kullandı ve birçoğu olayla ilgili bilgi veya çözüm sunduğunu iddia etti. Bunlara crowdstrike-bsod.com, crowdstrikefix.com, crowdstrike-helpdesk.com, microsoftcrowdstrike.com ve crowdstrikeupdate.com gibi alan adları dahildir.
Gözlemlenen bir alan adının, Computer Weekly’nin ana şirketi TechTarget’ın sahibi olduğu ve işlettiği WhatIs ailesindeki web sitelerini, whatiscrowdstrike.com’u kullanarak istismar ettiği bile görüldü.
Howard’a göre, Akamai’nin ortaya çıkardığı alan adlarının çoğu .com üst düzey alan adını (TLD) taşıyor, bu da onlara ince bir otorite sağlıyor ve bilgi arayan kişiler tarafından sıklıkla kullanılan helpdesk veya update gibi yaygın anahtar sözcükleri kullanıyor. Bu şekilde, destekçileri örneğin teknik veya yasal destek sunuyormuş gibi davranarak meşruiyetlerini taklit edebiliyorlar.
“Kesintiden etkilendiyseniz ve bilgi arıyorsanız, CrowdStrike veya Microsoft gibi güvenilir kaynaklara danışmanızı öneririz. Diğer yayın organları daha güncel bilgilere sahip gibi görünse de, bu bilgiler doğru olmayabilir veya daha kötüsü, sitenin kötü niyetli bir amacı olabilir,” diye yazdı Howard.
“Her cihaz düzeltilene kadar bu sorunla ilişkili daha fazla kimlik avı girişimi görmemiz muhtemeldir. Sosyal medyada basit bir gezinme, bir saldırgana hangi markaların en yoğun duyguları yarattığı ve hangilerinin kötü niyetli kazanç için taklit edilmeye hazır olduğu konusunda bir fikir verebilir.
“Bu bir saldırganın işidir ve bunu hatırlamak önemlidir. Kötü niyetli kampanya operasyonları tıpkı meşru şirketlerde yaptığımız gibi işler: kurbanlar onların ‘müşterileridir’ ve bu gönderide sunulan çeşitli taktikler, müşterilerine ne kadar ‘bağlı’ olduklarını gösterir. Portföylerini etkili bir şekilde çeşitlendirerek bankada paralarının kalmasını sağlamayı bilirler,” dedi.
Dayanıklı ve ikna edici altyapı
Bu noktayı vurgulamak ve bireylerin standart bir web aramasının gürültüsü arasında şüpheli web sitelerini seçmesinin ne kadar zor olabileceğini göstermek için Howard, bu tür kimlik avı kampanyalarının genellikle, bazı durumlarda bir kuruluşta bulunan becerilerle rekabet edebilecek becerilere sahip “profesyoneller” tarafından yönetilen, son derece dayanıklı bir altyapı gösterdiğini açıkladı.
Dolandırıcı sitelerin çoğu, insanların güvenli alanlarda görmeye alışık olduğu SSL doğrulaması gibi oldukça standart önlemler de içerecektir. Diğerleri bir noktada gerçek CrowdStrike web sitesine bile yönlendirebilir.
En karmaşık kampanyalar, yerleşik yedekleme ve karartma mekanizmalarına bile sahip olacak ve destekçileri, bunların görünümünü hızla değiştirebilecekler.
Ek olarak, Akamai ekibi CrowdStrike’ı istismar eden gözlemlenen alan adlarından en az birinin büyük bir kimlik avı ağının parçası olduğuna inanıyor. Crowdstrikeclaim.com olarak izlenen bu site, araştırmacılara yalnızca CrowdStrike’ı değil, gerçek hayatta toplu dava davalarına karışmış gerçek bir New York hukuk firmasını istismar etmesiyle dikkat çekti.
Alan adı, bir zamanlar pandemi sırasında ABD hükümetinin yardım programlarından faydalanan kötü amaçlı bir site olan covid19-business-help.qualified-case.com’a bağlantı veren kötü amaçlı olduğu bilinen gömülü bir Facebook kimliği içeriyordu. Bu web sitesi de 40’a kadar başka kötü amaçlı siteye bağlantı veren başka bir gömülü Facebook kimliği içeriyordu.
Phish’i azaltmak
Kendilerini CrowdStrike bağlantılı bir sayfada bulan sıradan bireyler için Akamai’nin tavsiyesi, kötü niyetin bir dizi göstergesini kontrol etmeleridir. Bu, HTTPS üzerinden erişirken sertifikayı ve alan adı yayıncısını aramayı; kredi kartı bilgileri gibi hassas bilgiler isteyen tüm alan adlarından kaçınmayı; yardım teklif ettiğini iddia eden tüm e-postaları görmezden gelmeyi ve silmeyi içerebilir. Ancak en etkili çözüm, yalnızca CrowdStrike’ın kendisinden gelen tavsiyeleri ve düzeltme adımlarını takip etmektir.
Güvenlik uzmanları ve BT yöneticileri, bilinen ve ilgili tehlike göstergelerini (IoC’ler) engellemek (Akamai’nin listesi şu anda GitHub’da mevcuttur) ve yanal hareket boşluğu analizi veya düşman taklidi gerçekleştirmek gibi ek adımlar da atabilirler.
Howard, finansal amaçlı siber suçluların fidye yazılımı bırakmak için her fırsatı değerlendireceğini belirterek, CrowdStrike olayının sıfır günlük bir güvenlik açığıyla bağlantılı olmamasına rağmen, potansiyel kurbanlarının siber yığınında CrowdStrike gibi hangi teknolojiyi kullandığını artık bilen bir saldırgan için hâlâ potansiyel yollar olduğunu belirtti.
“Bu, Falcon ürününde gelecekte bir CVE keşfedilmesi durumunda önemli hale gelebilir. Saldırganlar giderek daha karmaşık hale geliyor ve sahip oldukları teknoloji yığını bulmacasının her bir ek parçası, bu bulmacanın çözülmesini kolaylaştırıyor,” diye uyardı.