Kötü Niyetli Kripto Para Madencilerine Dikkat
Kötü niyetli kripto para madencileri şimdi de yüksek işlemci gücüne sahip şirket bilgisayarlarına musallat oldu. Şirketiniz siz farkında olmadan kripto para üretiminde kullanılıyor olabilir. İşyerindeki zombilere dikkat edin…
İçeriğe Ait Başlıklar
Kripto kalpazan olabilirsiniz
TOPLAM 1512 adet sanal para biriminin oluşturduğu kripto para hacmi bugün itibariyle 450 milyar dolar seviyesinde. Yılsonuna kadar bu pazarın 1 trilyon dolara ulaşması bekleniyor. 2017’den 2018’e kadar dijital paraların toplam değeri yüzde 1000’den fazla artış gösterdi. Bu ani patlama, dijital para pastasından büyük bir dilim almak isteyen kripto para madencilerini yeni tünellere yöneltti. Çünkü dijital para birimlerinin değeri arttıkça, kripto para madenciliği de daha zorlu hale geldi. Madenciler dijital para üretebilmek için artık daha fazla bilgisayar gücüne ihtiyaç duyuyor. Eskiden bir madenci evdeki bilgisayarını kullanarak iyi miktarda kripto para üretebiliyorken, bugün gelinen noktada madencilik için çok sayıda cihaz gerekiyor.
Hal böyleyken madencilik için gelişmiş şirket sistemleri, evlerdeki düşük kapasiteli bilgisayarlardan daha cazip görülüyor. Hırslı madenciler şirket bilgisayarlarına veya kişisel cihazlara sızarak, onları birer ‘zombi’ madenci haline getiriyor. Çoğu zaman şirketler veya kişiler sistemlerinin yavaşladığını fark etse de, kripto para üreticisi birer zombi haline getirildiklerini anlamıyor. Şirket bilgisayarlarına musallat olan kötü niyetli madenciler, uzun süre şirketin bilgisayar gücünü ve kişisel cihazların işlemci gücünü kullanarak para üretimi yapmaya devam edebiliyor.
Dijital para madenciliği nedir?
Dijital para için madencilik yapmak altın için madencilik yapmak gibidir. İşe koyulur ve emek verirsiniz. Yalnız alışıldık, fiziki işçilik yerine paranızı zamanınız ve bilgisayar işlemlerinde göstereceğiniz gücünüzle kazanırsınız. Madenciler olarak adlandırılan bu kesim, dijital paranın dağıtılmış, merkezi olmayan muhasebe sistemini düzeltir ve sistemin güvenli kalmasına yardımcı olur. Dijital para sisteminde her işlem olduğunda bunu kaydeden, bir nevi dijital hesap defteri olarak düşünebilecek bir blockchain vardır.
Madenciler blok zincirine eklenen yeni bankacılık işlemleri yapmalarına ya da para işlemlerini onaylamalarına imkan veren bir özel yazılım indirerek zincirin büyümesine yardımcı olur. Daha sonra, zincire bir blok işlem eklemek için bir matematiksel bulmacayı çözmek zorunda kalırlar. Bunun karşılığında, dijital paralar ve işlem ücreti kazanırlar.
NÜKLEER MERKEZİ KULLANDILAR
Geçtiğimiz Şubat ayında, Sovyetler’in 1940’larda ilk atom bombasını geliştirdiği Sarova’da bulunan Rusya Federasyonu Nükleer Merkezi mühendisleri, 1 petaflop işlem gücüne sahip süper bilgisayar ile Bitcoin madenciliği yaparken yakalanarak tutuklandılar. Saniyede 1 katrilyon işlem gücü olarak tanımlanan petaflop, dünyanın en hızlı bilgisayarlarının erişebildiği hız birimi olarak ifade ediliyor ve bu hıza, binlerce bağımsız işlemciyi paralel bir şekilde kullanarak ulaşıyor.
Şirket kaynaklarını madencilik yapmak için gizlice kullananlar sadece şirket içinden kişilerle de sınırlı kalmıyor. Son olarak Tesla’nın bulut sunucularının, hacker’lar tarafından dijital para madenciliği için kullanıldığı ortaya çıkmıştı. Hacker’lar, Tesla’nın Amazon tarafından sağlanan bulut servisine herhangi bir şifre koruması olmadan kolayca erişerek madencilik yapmışlardı.
Ocak ayında da Rus iş adamı Aleksey Kolesnik, madencilik yapmak üzere Moskova‘nın yaklaşık 1.200 km doğusunda, Perm ve Udmurtia bölgelerinde bulunan iki elektrik santralini satın almıştı. İki santral için 3 milyon dolarlık yatırım yapan Kolesnik, madenciliğin ulaştığı boyutları göstermesi bakımından dikkat çekici bir örnek.
1 MİLYAR CİHAZ YAVAŞLADI
Dünya genelinde 1 milyardan fazla cihazın web temelli madencilik nedeniyle yavaşladığını aktaran Komtera Teknoloji Bilgi Güvenliği Danışmanı Tanju Tiryaki, “Madenciler dijital para kazanmak için gitgide artan bilgisayar gücüne ihtiyaç duyuyor. Bu nedenle halka açık ortak wifi ağlarına bağlanıp başkalarının cihazlarını dijital para madeni işlemek amacıyla kullanabiliyorlar. Örneğin Buenos Aires’te insanlar bir kafenin wi-fi ağına bağlandıklarında bilgisayarlarına kötü niyetli bir
yazılım bulaşmıştı. Bu kötü niyetli yazılım, kullananların bilgisayarlarını madencilik için kullanıyordu. Halka açık wi-fi ağlarına ek olarak, milyonlarca internet sitesi de insanların cihazlarını madencilik için kullanıyor ve bu durum büyük bir problem haline gelmeye başladı” diyor.
NASIL KORUNMALI?
Dijital para madenciliği için ele geçirilen bir cihazın fazla ısınmaktan dolayı bir süre sonra tamamen bozulacağına işaret eden Tiryaki, şirket kaynaklarının dijital para madenciliğine merak salmış çalışanlar tarafından da kullanılabildiğini, bu durumun şirket sisteminin yavaşlamasına, hizmetlerinizde aksa-malara ve diğer ek maliyetlere neden olduğunu 1 söylüyor.
Büyük işlem kapasitesine sahip şirket altyapılarının siber suçlular için bulunmaz nimet diyen Tiryaki, şirketlerin altyapılarını saldırılara karşı tamamen korumalı hale getirmek için, bütün bilgisayar ve sunuculara uçtan uca güvenlik çözümleri yüklenmesi gerektiğine dikkat çekiyor. Tiryaki sözlerini şöyle sürdürüyor:
“Anormallikleri saptamak için şirket ağınız üzerinde düzenli olarak güvenlik denetimleri gerçekleştirin. İşletim sistemi ve üçüncü parti yazılımların güvenlik açıklarını tespit edebilecek zafiyet taraması uygulamaları ile sık sık denetimler gerçekleştirin. Kuyruk yönetim sistemleri, POS terminalleri ve hatta otomatlar gibi pek olası görünmeyen hedefleri de es geçmeyin.
EternalBlue güvenlik açığından faydalanan madenci örneğinde de görüldüğü gibi, bu gibi cihazlar da dijital para madenciliği için kullanılabiliyor. Şirket çalışanlarınıza farkındalık eğitimleri verin. Örneğin bir e-posta açılmadan önce ya da mail içerisindeki bir link tıklanmadan önce dikkat edilmesi gereken noktalar gibi bir eğitim olabilir.”
DİJİTAL SAMANLIKTA İĞNE ARAMAK
Madencilik yapma olanağına sahip olanların hiçbir fırsatı kaçırmadıklarını belirten Bitdefender Türkiye Operasyon Direktörü Alev Akkoyunlu, “Dijital para birimi değerlerinin ve bu para birimlerine yönelik ilginin artmasıyla birlikte birçok kişi evlerine yüksek işlemci (CPU) ve ekran kartı (GPU) bulunan sistemler kurarak dijital para madenciliği yapmaya başladı.
Ancak bu sistemlerin kurulması hem oldukça maliyetli hem de yüksek hızda çalıştıkları için oldukça fazla elektrik tüketimine neden oluyor. Nitekim dijital samanlıkta dijital iğne aramak olarak nitelendirilen dijital para madenciliği için daha yüksek kapasitedeki sistemlerin kullanılması daha çok kazanç sağlıyor. Şirketlerde kullanılan sistemlerin ise evlerde kullanılan kişisel sistemlerden daha fazla işlem gücüne sahip olduğu aşikar” diyor.
Tüm dünyada madencilerin kullandığı elektrik enerjisinin, birçok Afrika ülkesinin harcadığı enerji miktarım geçtiğini söyleyen Akkoyunlu, hacker’larm BitcoinMiner virüsü ile şirket sistemlerini Bitcoin madenciliğinde kullanabildiklerini belirtiyor.
BİLGİSAYARDAKİ ZOMBİLERE DİKKAT
Bu virüsün çoğunlukla e-posta, Skype ağı, ziyaret edilen web siteler ve sosyal medya ağlarından dağıldığının altını çizen Akkoyunlu şunları aktarıyor: “Özellikle e-posta içeriği, çalışanları ekteki dosyayı açmaya ikna ediyor. Kullanıcı ekteki dosyayı indirdiği anda sadece virüsü sistemine almakla kalmıyor, ayrıca bilgisayarım virüsün kendi kontrol sunucusuna bağlayarak arka kapı oluşturmasına neden oluyor. Bu durum sadece sistemi yavaşlatmakla kalmayıp farklı işlemler de gerçekleştirebiliyor. Virüs sisteme girdiği ve aktif olduğu anda, sisteminizi Bitcoin madencisi haline getiriyor.”
Akkoyunlu’ya göre, bu virüsün şirket sistemine bulaştığını birkaç farklı şekilde anlamak mümkün. Ancak bazı durumlarda anlaşılması oldukça güç. Çünkü bu kötü amaçlı yazılım, kullanıcılar bilgisayarlarını kullanmadıkları zamanlarda da çalışıyor. Genel olarak bilgisayarlarda ciddi oranda performans kaybı yaşatıyor ve CPU ya da GPU kullanımında önemli bir artışa neden oluyor. BT yöneticilerinin, sunucularının yavaşladığını ve soğutucularının sunucular kullanılmadığında da çalıştığım anladığı anda sistemlerini kontrol etmeleri gerekiyor.
VİRÜS NASIL BULAŞIYOR?
ESET’in son tehdit raporuna göre, yüzde 17’lik oranla kripto para madenciliği, dünyanın en yaygın görülen siber tehdidine dönüşmüş durumda. Bilgisayarınız yavaşlıyor, aşırı ısınıyor, normal olmayan davranışlar sergiliyor veya elektrik faturalarınız normalden daha yüksek geliyor. Bu tür şeyler yaşıyorsanız, farkında olmadan başkaları için kripto para üretiyor olabilirsiniz.
ESET Türkiye İstanbul Teknik Müdürü Gürcan Şen’in verdiği bilgiye göre, CoinMiner zararlı yazılımı, Başta Bitcoin olmak üzere Etherium, Riple ve Moneı o gibi çeşitli kripto paraların üretilebilmesi için kullanılıyor. CoinMiner enfekte web siteleri üzerinden bulaşıyor. Özellikle ücretsiz indirilebilen uygulamalar, ücretsiz film veya maç yayını yapan web sayfalarında bu zararlıya daha sık rastlanıyor. Sıklıkla ‘Coinhive’ isimli JavaScript kod parçacığı web sayfalarına enjekte edilerek Monero adlı kriptopara biriminin madenciliği yapılabiliyor.
Siber korsanlar bununla birlikte, sık ziyaret edilen pek çok popüler ve legal siteyi de hedef alabiliyor. “Örneğin geçtiğimiz aylarda Hindistan’ın bir devlet kurumunun web sayfası bu durumdan etkilendi. Web sayfasına giren kullanıcıların bilgisayarlarında 10 saniye herhangi bir hareket olmadığında, zararlı yazılım devreye girerek Monero madenciliği başlatabiliyordu. Bunun öncesinde de Amerika ve İngiltere’nin bazı devlet kuramlarının web sayfalarının benzer bir şekilde enfekte olduğu bilgisi var” diyen Şen, popüler alışveriş sitelerinin de hedef tahtası olduğunu aktarıyor.
Sakarya’dan iki örnek
Mayıs başında kaçak kripto para madenciliğine yönelik çarpıcı bir örnek yaşandı. 89 bin 908 öğrencinin eğitim gördüğü Sakarya Üniversitesi’nde öğrenciler bilgi sisteminde üç aydır yaşanan yavaşlık ve arıza nedeniyle şikayette bulundu. Yapılan araştırmada, okulun sistemlerinin kurulu olduğu sunucu üzerinden kripto para madenciliği yapıldığı ortaya çıktı.
Ana sunucunun yanı sıra çok sayıda laboratuvar ve ortak kullanım alanlarında bulunan bilgisayarların da sisteme dahil edilerek kripto para madenciliği yapıldığı öne sürüldü. Yaşanan problemle ilgili olarak daha önce uzaktan eğitim sınavına giren birçok öğrencinin sınavının yarım kalması nedeniyle sınavın tekrarlandığı ve durumun siber saldırı olarak değerlendirildiği belirtildi. Öte yandan Sakarya Üniversitesine bağlı teknokentte de bir şirketin uzun süredir kripto para madenciliği yaptığı ve bu nedenle teknokentteki kesintisiz güç kaynağının arıza yaptığı öne sürüldü.
Gökhan MUHARREMOGLU / PwC Siber Güvenlik Hizmetleri Müdürü
“12 saat içinde 500 bin sistemi ele geçirdi”
Siber saldırılarda her saldırganın amacı ve motivasyon kaynağı aynı olmayabilir. Günün sonunda finansal çıkarın peşinde olan saldırganlar, finansal değeri olabilecek verilerin peşine düşüyor. Günümüzde kripto para kavramı saldırganlar ile finansal değeri olan bilgileri birbirine daha da yakınlaştırdı. Mart 2018’de Dofoil (Smoke Loader) isimli bir zararlı yazılım 12 saat içinde 500 binden fazla sisteme bulaşarak yerleştiği sistemlerin kaynaklarını kripto para üretmek için kullanmaya başladı. Özellikle Rusya, Türkiye ve Ukrayna’da etkileri görülen bu zararlı yazılım, saldırganların istediği başka zararlı yazılımları da sisteme gizlice yükleme özelliklerine sahip.
ÜRÜN DÎRİER