E-posta güvenlik firması Agari’den araştırmacılara göre, özellikle 46 ülkedeki büyük kuruluşlarda ve şirketlerde üst düzey yöneticileri hedefleyen Cosmic Lynx grubu, Temmuz 2019’dan bu yana 200’den fazla BEC saldırısı gerçekleştirdi.
BEC saldırıları, İş e-posta uzlaşma saldırıları olarak bilinen, ticari, hükümet ve kar amacı gütmeyen kuruluşlara, hedef kuruluşu olumsuz etkileyen belirli bir sonuca ulaşmak için e-posta sahtekarlığı kullanan bir siber suç türü. Bu yöntemi kullanan Cosmic Lynx adlı grup, birleşmeler ve satın almalarla ilişkili konularda dolandırıcılık yürütüp bunun karşılığında ise hedeflerinden milyonlarca dolar talep ediyor.
COSMİC LYNX NASIL BİR TAKTİK İZLİYOR ?
Cosmic Lynx hedefleri aldatmak için alışılmadık derecede temiz ve güvenilir görünen mesajlar hazırlar. Grup, şirketin CEO’su gibi davranarak hedef çalışanlara “dış hukuk müşaviri” ihtiyacı hakkında bir e-posta gönderir. E-posta, bir aciliyet duygusu yaratmak amacıyla geri dönüş süresinin kısıtlı olduğunu belirtir. Hedef çalışan e-postayı yanıtlarsa, gerçek bir avukatın kimliğine bürünen grup, avukatın e-posta hesabıyla işlemi tamamlamalarını ister. Daha sonra çalışandan, hukuk bürosuna bağlı olduğu ancak aslında grup tarafından kontrol edilen hesaplara para göndermesi istenir. Ödeme talepleri ise milyonlarca ABD dolarıdır.
Genelde BEC saldırganlarının daha düşük paralar peşinde koştuğunu söyleyen Agari araştırmacıları, Cosmic Lynx’in üst düzey yöneticileri ve milyon dolarları hedeflemesinin olağan dışı olduğuna dikkat çekiyor.
COSMİC LYNX STRATEJİK DAVRANIYOR
Cosmic Lynx ücretsiz hesaplar kullanmak yerine stratejik alan kodları kullanarak her bir BEC kampanyası için daha ikna edici e-posta hesapları oluşturuyor. Bununla birlikte grup, bu alan kodlarını korumayı çok iyi biliyor ve gerçek sahiplerinin izini sürmek neredeyse imkansız oluyor.
Batı Afrikalı dolandırıcılar, BEC kampanyalarını genellikle ücretsiz e-posta hesapları kullanarak kiralanmış veya ücretsiz bulut altyapısından yürütür. Ancak dolandırıcılar keylogger gibi kullanıma hazır hack araçlarını kullanarak ve sistemlerin arka kapılarını hedefleyerek daha fazla dallanıp budaklandılar. Kötü amaçlı yazılımlar burada büyük bir rol oynamadı. Kendi altyapınızı ve yazılımınızı geliştirmenize ihtiyacınız yoksa bu yol daha masrafsız. Bu da teknik becerilerini maliyet tasarrufuyla birleştiren Cosmic Lynx için iyi bir satış noktası.
COSMİC LYNX RUSYA İLE BAĞLANTILI MI ?
Agari’den araştırmacılar Cosmic Lynx grubunun RusYA asıllı olduğuna dair birkaç veri sundu. Bu verilerden bazıları mail saatlerinin genel olarak Moskova saatine göre gönderildiği ( saatlerin de manipüle edilebildiğini ekliyorlar), Trickbot ve Emotet gibi Ruslarla bağlantıları olan kötü amaçlı yazılımlarla bağlantılı olduğu, sahte Rus belgeleri satan web siteleriyle bağlantılı oldukları gibi veriler bu grubun Rus olduğuna dair şüpheleri güçlendiriyor.
Rus hükümeti ile hacker arasındaki ilişki genel olarak belirsiz olsa da Agari’den araştırmacılar Cosmic Lynx’in devlet destekli olduğuna dair herhangi bir ize rastlamadıklarını söylüyor.
‘BEC’ SALDIRILARI İLERİDE DAHA DA YOĞUNLAŞABİLİR
İş e-posta dolandırıcılığı, kötü amaçlı yazılım kullanılarak yapılan saldırılara oranla daha az teknik yatırım gerektirse de yine de teknik beceride uzmanlık gerektirir. Bu neden, çoğu hackerın bu yolu benimsememesini açıklayabilir. Ancak BEC saldırıları giderek arttıkça ve daha fazla para kazandırdıkça, bu saldırıların giderek daha cazip hale geleceği açıktır.
Güvenlik firması Digital Shadows’dan Alex Guirakhoo ‘’ Herkes başarılı bir e-posta dolandırıcılığında gerekli altyapıya veya bil-yap konusuna hakim değil. Bu tarz gruplar düşük seviyeli siber suçlu değiller. Bu gruplar çok fazla deneyime sahip organize gruplardır. Ve şurası açık ki saldırganların buna devam etmeleri için yeterli teşvik var’’ diyor.
