Araştırmacıların artık Greasy Opal olarak takip ettiği ve görünüşte meşru bir işletme gibi faaliyet gösteren bir geliştirici, hesap güvenliği çözümlerini atlatan ve büyük ölçekte bot destekli CAPTCHA çözümüne olanak tanıyan bir araçla siber suç hizmeti sektörünü körüklüyor.
Greasy Opal, yaklaşık yirmi yıldır faaliyet göstermektedir ve araçlarını müşterilerin hedefleme ihtiyaçlarına göre uyarlamaktadır. Yazılımı, hükümetleri ve çeşitli teknoloji şirketlerini ve hizmetlerini (örneğin Amazon, Apple, Steam, Joomla, Facebook, WhatsApp, Vkontakte) hedeflemek için kullanılmıştır.
Greasy Opal’ın müşterileri arasında, Scattered Spider da dahil olmak üzere çeşitli tehdit aktörlerine satmak üzere yaklaşık 750 milyon Microsoft hesabı oluşturan Vietnam merkezli Storm-1152 adlı siber suç grubu da bulunuyor.
Bilgili geliştirici
Bot tespit çözümleri sunan bir dolandırıcılık önleme şirketi olan Arkose Labs’daki araştırmacılar, Greasy Opal’ın araçlarının yıllardır çeşitli kötü niyetli kişiler tarafından kullanıldığını gözlemlediler ve şimdi de saldırganın faaliyetlerine dair bir bakış sağlıyorlar.
Aktörün en azından 2016’dan beri CAPTCHA atlama aracını temiz web’de pazarlamak için bir web sitesi kurduğu anlaşılıyor ancak BleepingComputer, bunun 2008’den beri kullanımda olduğunu ve o dönemde Microsoft’un Hotmail (bugünkü adıyla Outlook) için CAPTCHA kontrollerini kırabilecek kapasitede olduğunu buldu.
Ayrıca aktörün “dünyanın en iyi captcha çözücüsü” olarak adlandırdığı araç, birçok önemli yinelemeden geçti ve yeni CAPTCHA türlerine uyum sağlamak için düzenli olarak güncelleniyor.
Arkose Labs’ın raporunda, aracın çok etkili olduğu ve genel olarak metin CAPTCHA’larını yüksek doğrulukla çözmek ve diğer belirli popüler metin CAPTCHA’ları için daha odaklı araçlar sağlamak amacıyla makine öğrenimi modelleriyle birleştirilmiş gelişmiş optik karakter tanıma (OCR) teknolojisine dayandığı belirtiliyor.
Arkose Labs CEO’su Kevin Gosschalk, BleepingComputer’a yaptığı açıklamada, Greasy Opal’ın metin tabanlı CAPTCHA’ları analiz etmek ve yorumlamak için en son teknoloji OCR teknolojisini muhtemelen şirket içinde geliştirdiğini söyledi.
Greasy Opal, CAPTCHA çözücüsü için iki sürüm sunuyor; daha yavaş ve daha az doğruluğa sahip ücretsiz sürüm ve geliştiricisinin %90-100 görüntü tanımlama doğruluğu sağladığını ve nesneleri bir saniyeden kısa sürede tanıyabildiğini söylediği ücretli sürüm.
Para kazanmak ve vergi ödemek
Araştırmacılara göre oyuncunun motivasyonu tamamen finansal ve müşterilerinin kim olduğuyla ilgilenmiyor, yeter ki ürüne para ödesinler.
“[…] saldırganlar Greasy Opal’ın araç setini 70 ABD dolarına satın alabilir. Müşteriler ek 100 ABD doları karşılığında beta sürümünü edinmek için yükseltme yapabilirler. Sürümden bağımsız olarak Greasy Opal, müşterilerin abonelik ücreti olarak ayda ek 10 ABD doları ödemesini gerektirir” – Arkose Labs
Tüm araçları bir araya getiren en pahalı paketin fiyatı 190 dolar artı aylık 10 dolarlık abonelik ücreti. Bu, izin verilen sınırlı sayıda kuruluma rağmen sundukları için oldukça düşük bir fiyat.
Ayrıca 300 dolara mal olan ve biraz daha fazla sayıda kuruluma izin veren bir işletme sürümü paketi de var. Aylık ücret bunun için de geçerlidir.
Araştırmacılar, araçları yüzlerce saldırganın kullandığını göz önünde bulundurarak Greasy Opal’ın geçen yıl en az 1,7 milyon dolar gelir elde ettiğini tahmin ediyor.
Saldırılara doğrudan dahil olmasa da aktör, araçlarının yasadışı faaliyetler için kullanıldığının farkındadır ancak işletmeye vergi ödeyerek meşru bir imaj sürdürmektedir.
Müşterilerin CAPTCHA ihtiyaçlarına göre
Greasy Opal’in internet sitesinde yer alan çelişkili bilgilere rağmen (bir yerde işletmenin 2007 yılında, başka bir yerde ise 2005 yılında kurulduğu belirtiliyor), bazı aletlerin yaklaşık 20 yıllık bir geçmişi olduğu kesin.
Arkose Labs, saldırganın Çek Cumhuriyeti’nden faaliyet gösterdiğini, siber suç faaliyetlerine yönelik operasyonlara ayrım gözetmeksizin spam gönderme, sosyal ağlarda içerik tanıtma ve kara SEO gibi içerikleri büyük ölçekte yaymak için kullanılan araçlar sağladığını düşünüyor.
Microsoft’un Storm-1152’nin faaliyetlerini, şirketin etki alanlarından birkaçını ele geçirerek sekteye uğratmasının ardından Arkose Labs, Greasy Opal tarafından geliştirilen ve saldırılarda kullanılan yazılımları analiz edebildi.
Yazılımların bir kısmı pazarlama amaçlı yardımcı programlar olarak algılansa da araştırmacılar CAPTCHA çözücünün belirli kuruluşları hedef almak üzere geliştirildiğini tespit ettiler.
Hedeflerden bazıları Rusya’daki kamu ve hükümet hizmetleri (Devlet Trafiği, Moskova Birleşik Navigasyon ve Bilgi Sistemi, Vergi Dairesi, Federal İcra Memuru, Elektronik Pasaport), Brezilya’daki (Altyapı Bakanlığı) ve ABD’deki (Dışişleri Bakanlığı Konsolosluk İşleri Bürosu) kamu hizmetleridir.
Greasy Opal’ın CAPTCHA çözücüsünün odaklandığı teknoloji sektöründeki daha önemli kuruluşlar arasında Amazon, Apple, Steam, Joomla, Facebook, WhatsApp, GMX, Vkontakte, Yandex ve World of Tanks yer alıyor.
Gosschalk, Greasy Opal’ı yalnızca para kazanmakla ilgilenen “çok zeki, düşük etik değerlere sahip” bir yazılım geliştiricisi olarak tanımladı.
Saldırıları kendisi gerçekleştirmese bile Greasy Opal’in siber suçluların tedarik zincirindeki rolü önemlidir çünkü düşük becerili tehdit aktörlerinin dünyanın dört bir yanındaki işletmelere yönelik büyük saldırıları otomatikleştirmesini bilerek sağlamaktadır.