27 Şubat 2015’te Kazan merkezli Energobank’ta meydana gelen 500 milyon $’lık işlemi soruşturan Rus güvenlik firması Group-IB’nin açıklamalarına göre, işlemler Rusça dilini kullanan hackerlar’ın yerleştirdiği Corkow isimli Truva atı üzerinden ve 14 dakika içinde piyasa kuru dışında 500 milyon $’lık emir girilerek gerçekleştirilmiş. Saldırının arkasında kimlerin olduğu bilinmiyor.
Saldırıda kullanılan kötücül kod, bilgisayarlarda arka kapı açabilen ve sonra hackerların emirlerinin yerine getirilmesini sağlayan tipte. Corkow’un tespit edilmemek için kendisini devamlı güncellediğini ve dünya çapında 100 kadar finansal kurumdaki 250 binden fazla bilgisayara bulaşmış olabileceği belirtiliyor.
Group-IB siber istihbarat gölümü başkanı Dmitry Volkov, bu virüsü kullanarak yapılan saldırının ilk kez belgelendiğini ve bu virüsün daha büyük hasar verme potansiyeline sahip olduğunu söyledi. Kötücül kodun yerel networke bulaşması durumunda, internete bağlı olmayan bilgisayarlara bile bulaşabilme kapasitesi olduğu iddia ediliyor.
Moskova Borsası, bu saldırı sırasında kendi sistemlerine bulaşma olmadığını söylerken, Merkez Bankası da döviz marketi manupülasyonuna dair bir işaret olmadığını ve olayın borsa simsarlarının hataları sonucunda meydana gelmiş olabileceği açıklaması hayli ilginç.
Ama Energobank’ın Kazan’da açtığı dava dosyasına göre, 14 dakika içinde ruble / dolar paritesi dolar başında 55 rubleden 66’ya fırlamış ve banka bu olay sonucunda 244 milyon ruble yani 3,2 milyon $ kaybetmiş. Corkow’un Energobank sistemlerine email yoluyla bulaşmış olabileceği düşünülüyor.
Olay sonucunda hackerların kar etmiş olabileceğine dair bir işaret de yok. Group-IB daha sonraki bir saldırı için test yapılmış olabileceği yorumu yapıyor. Corkow virüsünün ağustos ayından da bir Rus bankasının kart sistemlerine yönelik kullanıldığı ve bu yolla ATM’lerden yüz milyonlarca ruble çalındığı kaydediliyor.
Kaynak : 