2019’dan bu yana, Fransızca konuşan bilgisayar korsanlarından oluşan OPERA1ER grubu, Latin Amerika, Asya ve Afrika’da bulunan çeşitli banka ve telekomünikasyon şirketlerine karşı 30’dan fazla siber saldırıyı başarıyla gerçekleştirdi. Tüm bu saldırılar sayesinde siber suçlular dört yılda 30 milyon dolardan fazla çalmayı başardı.
Çoklu hedefli siber saldırılar sayesinde 4 yılda 30 milyon euro çalındı
Binaen Rapor Siber güvenlik konusunda uzmanlaşmış bir şirket olan Group-IB’den uzmanlar, OPERA1ER kurbanlarını kesmek için aynı teknikleri kullanma alışkanlığına sahiptir ve bu da grubun işlediği suçların çoğunun tespit edilmesini mümkün kılmıştır. Hackerlar, 2019’dan bu yana kesin olarak 11 milyon dolar çalmayı başardı, ancak araştırmacılar iddia ediyor ” Gerçek miktarın 30 milyon doların üzerinde olduğuna inanılıyor, çünkü bu saldırılardan etkilenen bazı şirketler para kaybettiklerini kamuya açıklamadı “.
Bankalar, finans kurumları, telekomünikasyon konusunda uzmanlaşmış şirketler, bunlar OPERA1ER’in siber suçlularının hedef aldığı üç organizasyon kategorisidir. Tüm bu şirketler en az on beş farklı ülkeyi kapsamaktadır: Arjantin, Bangladeş, Benin, Burkina Faso, Kamerun, Fildişi Sahili, Gabon, Mali, Nijer, Nijerya, Uganda, Paraguay, Senegal, Sierra Leone ve Togo.
OPERA1ER korsanlarının çalışma tarzı nedir?
Siber suçlular, amaçlarına ulaşmak için bir şirketin çalışanlarına hedefli e-postalar göndererek saldırılarına başlar. Bu e-postalar, onları bir güvenlik güncellemesi olduğu bahanesiyle kötü amaçlı yazılım çalıştırmaya teşvik eder. Çalışan, kötü amaçlı yazılımı çalıştırarak, aslında bir kullanıcının klavyesinde yazdığı tüm kelimeleri hatırlayan bir araç olan bir keylogger indiriyor. Bilgisayar korsanları, çalışan giriş bilgilerini bu şekilde ustaca toplar.
Bu tanımlayıcılar ile dolandırıcılar, hesaplara sızar ve daha sonra aynı şekilde tuzağa düşürmeye çalıştıkları şirketin iç ağının yöneticilerinin e-posta adreslerine dolandırıcı bir e-posta göndererek erişim sağlarlar. Böylece ağa erişim kazanırlar ve bankalar ve diğer finans kurumları tarafından müşterilerinin işlemlerinin ayrıntılarını göndermek veya almak için kullanılan SWIFT mesajlaşma servislerine erişim sahibi olurlar.
Ayrıca, bilgisayar korsanları, genellikle üç ila on iki ay arasında, ağa mümkün olduğunca uzun süre bağlı kalmak için Cobalt Strike veya Metsploit gibi araçları kullanmaktan çekinmezler. Mümkün olduğu kadar ihtiyatlı olmak için, sahip oldukları banka bilgilerini bir ATM kullanarak nakit olarak çekmeden önce sahip oldukları hesaplara kademeli olarak transfer etmek için kullanırlar.
Yıllar içinde rafine edilmiş bir çalışma tarzı
” Saldırının çok karmaşık, organize, koordineli ve uzun bir süre boyunca planlı olduğu açıktı. “, bu siber saldırıları gerçekleştirmek için herhangi bir kötü amaçlı yazılım geliştirilmediğini doğrulayan uzmanları belirtin. Grup 2016’dan beri var olmasına rağmen, bu teknik sadece 2019’dan beri geliştirilmiş gibi görünüyor ve birkaç şirket iki kez saldırıya uğradı. Suçlular izlerini örtmek için, gerçek konumlarından çok uzakta, dünyanın diğer tarafında bulunan başka bir IP adresi almalarına izin veren VPN’ler kullandılar.
Bu nedenle bilgisayar korsanlarının, bir bankanın veya bir finans kuruluşunun bireylerin veya profesyonel müşterilerinin bankacılık bilgilerini kurtaracak şekilde hareket ettiği görülmektedir. OPERA1ER, o anın en yaygın siber suç tekniği olan fidye yazılımının aksine, bu bilgileri asla yeniden satmak veya ifşa etmek amacıyla toplamamış gibi görünüyor.