Operasyon, Avrupa Suçlu Tehditlere Karşı Ortak Hareket Platformu (EMPACT) çerçevesinde gerçekleştirildi. EMOTET, piyasadaki en profesyonel ve uzun süreli siber suç araçlarından biri olmuştu. İlk olarak 2014 yılında bir bankacılık Truva Atı olarak keşfedilen kötü amaçlı yazılım, yıllar içinde siber suçluların kullandığı bir araç haline geldi. EMOTET altyapısı küresel ölçekte bilgisayar sistemlerine sızma yolu olarak kullanıldı. EMOTET yüklü sistemlere yetkisiz erişim sağlandıktan sonra içeri sızılmış sistem erişim bilgileri veri hırsızlığı ve fidye yazılımı yoluyla gasp ve daha fazla yasa dışı faaliyet yürüten üst düzey suç gruplarına satıldı.

Word belgeleri aracılığıyla yayılan EMOTET, e-postayı bir saldırı aracı olarak yeni bir seviyeye taşımayı başardı. Tam otomatik bir süreç aracılığıyla, EMOTET kötü amaçlı yazılımı, virüslü e-posta ekleri aracılığıyla kurbanların bilgisayarlarına ulaştırıldı. Kullanıcıların e-posta ile gelen kötü amaçlı ekleri açmaları için çeşitli farklı tuzaklar kullanıldı.

EMOTET e-posta kampanyaları fatura, gönderi bildirimi ve COVID-19 hakkında bilgi olarak sunuluyordu. Tüm bu e-postalar, e-postanın kendisine eklenmiş veya e-postanın içindeki bir bağlantıya tıklanarak indirilebilen kötü amaçlı Word belgeleri içeriyordu. Bir kullanıcı bu belgelerden birini açtığında, Word dosyasında gizlenen kötü amaçlı kodun çalışıp kurbanın bilgisayarına EMOTET kötü amaçlı yazılımını kurması için “makroları etkinleştirmesi” isteniyordu.

EMOTET’i bu kadar tehlikeli yapan şey, kötü amaçlı yazılımın, bir kurbanın bilgisayarına bankacılık Truva atları veya fidye yazılımları gibi diğer kötü amaçlı yazılım türlerini yüklemeleri için diğer siber suçlulara kiralanmak üzere teklif edilmiş olmasıydı.

Hollanda Ulusal Polisi tarafından EMOTET hakkında yürütülen cezai soruşturmanın bir parçası olarak, EMOTET tarafından çalınan e-posta adresleri, kullanıcı adları ve şifreleri içeren bir veri tabanı keşfedildi.

https://www.politie.nl/themas/controleer-of-mijn-inloggegevens-zijn-gestolen.html adresinden e-posta adresinizin bu listede olup olmadığını kontrol edebilirsiniz. Sayfa altında yer alan form alanına e-posta adresi girildikten sonra yapılan sorgulamada kurban listesinde yer alıyorsanız e-posta adresinize neler yapmanız gerektiğine dair bilgilendirme yapılacağı bilgisi veriliyor. Listede yok iseniz herhangi bir gönderim yapılmıyor.

ABD hedefli saldırı, erişim problemine sebep oldu

Saldırı yöntemi olarak ağırlıklı TCP-SYN ve TCP kullanılıyor.
İnternet üzerindeki erişimlerde çeşitli iletişim türleri (protokol) kullanılıyor. Bir internet sitesini görüntülemek için TCP iletişim türü kullanılıyorken, isim çözme (DNS) için halen ağırlıklı olarak UDP protokolü kullanılıyor. İletişimi sağlayan paketlerin her birinin ağırlığı ise taşınan veri ile ölçülüyor. Buna göre TCP protokolü ile UDP’ye göre daha hafif paketler daha hızlı iletilebilirken, UDP protokolünde ağır paketler az paket sayısı ile taşınıyor.
Bu sebeple yüksek paket üretebilen saldırılar TCP protokolü kullanılarak yapılır iken yüksek paket ihtiyacı nedeniyle daha fazla işlemci gücüne ihtiyaç duyuluyor. TCP saldırının hedefindeki sistemler ise gelen paketlere cevap vermeye yetişemediği için sistem kaynağı açısından bir dar boğaza düşüyor. Sistem kaynakları daha az olan cihazlardan faydalanılarak büyük ebatlı ve ağ kapasitesini zora sokmak için yapılan saldırılarda ise UDP protokolü kullanılıyor.
TCP protokolü üzerinden konuşan 2 cihazın ilk kelimesi (Merhaba) olarak ifade edilebilecek SYN paketide yine TCP tipi saldırı olarak sayılabilir.
IOCTA raporuna göre saldırılarda kullanılan yöntemlerde TCP-SYN ve TCP ilk sırayı alıyor. Ancak bu durum internet kapasitesi düşük ve yeterli fiber yatırımı yapmamış Türkiye gibi ülkelerde UDP ağırlığa dönüyor.

UDP protokolü kullanan saldırılar nasıl üretiliyor?
Bir saldırının başarılı olabilmesi için ihtiyaç duyulacak kaynağın bir merkezden üretilmesi saldırıya maruz kalanın savunmaya ayıracağı ile neredeyse aynı olduğu için saldırı aracı olarak masum cihazlar kullanılıyor. UDP protokolü üzerinden servisleri aktif cihazlara 1 birimlik soru sorulduğunda 10 birimlik cevap veren servisler tespit edildikten sonra soruya cevap veren sistemlere ait IP adresleri taranıyor. Tarama sonucu ortaya çıkan listedeki herbir IP adresine 1 birimlik soru gönderilirken sorunun cevabının gönderileceği adres olarak kurban sistem bildiriliyor. Saldırgan 10 birim soru gücü harcadığında hedef sisteme 100 birim cevap dönüyor.
Bunu daha iyi anlamak için şu örnek verilebilir: Ürün veya hizmetlerini ücretsiz dergi, broşür hazırlayarak, talep eden müşteri adaylarına ücretsiz gönderen işletmeleri tespit edelim. Tespit ettiğimiz işletmelere talep gönderirken posta adresimizi saldırı yapmak istediğimiz kişinin posta adresi olarak bildirelim. Sonuç olarak bir süre sonra kurbanın posta kutusu yeni ileti alamayacak hale gelecektir!

Her saati sorana cevap verme!

Peki internet neden yavaşladı? Neler oluyor?
Daha önce DNS servisi hedefli DNS yansıtma, zaman sunucuları hedefli NTP yansıtma gibi yöntemler kullanılmasına karşın, her ev kullanıcısının cihazlarında bulunmayan bu servisler nedeniyle bu denli sorun yaşanmamıştı.
Bugün ise yoğun kullanılmaya başlanan saldırı yönteminde ADSL modemlerde açık bulunan SSDP portları hedeflenmekte. SSDP; bir ev ağındaki UPnP (Universal Plug & Play) cihazlarını tespit etmeye yarayan bir protokol. (Kaynak)
SSDP portu aktif olan modemlere 1 birimlik sorgu gönderilerek başlatılan saldırıda, zaten 8-16Mbps aralığında olan ADSL kapasitesi bu gelen istekler ve cevaplar nedeniyle normal internet kullanımına cevap veremez hale gelmekte. Saldırı yönteminin bir çok hedef ve kişi için kullanıma başlanması ile birlikte, modemler daha fazla rahatsız edilmeye başlanıp, sadece portu açık olan abone değil, abonenin bağlı olduğu şebekede durumdan etkilenmeye başlıyor.
Türkiye içindeki servisleri hedef alan örnek bir saldırı raporu aşağıda görülebilir.
IP: xx.xx.xx.xx
Paket Sayisi/Packet Count: 380.395PPS
Buyukluk/Size: 8,80GBps
Tarih/Date: 11.12.2016 13:12:34
------------------------------------
13:12:34.365120 IP 85.102.57.13.ssdp > xx.xx.xx.xx.27015: UDP, length 280
13:12:34.365121 IP 88.234.141.235.ssdp > xx.xx.xx.xx.27015: UDP, length 268
13:12:34.365121 IP 85.105.251.140.ssdp > xx.xx.xx.xx.27015: UDP, length 323
13:12:34.365123 IP 88.225.223.250.ssdp > xx.xx.xx.xx.27015: UDP, length 339
13:12:34.365123 IP 88.234.231.213.ssdp > xx.xx.xx.xx.27015: UDP, length 268
13:12:34.365124 IP 85.105.229.107.ssdp > 4xx.xx.xx.xx.27015: UDP, length 264
13:12:34.365127 IP 88.247.117.206.ssdp > xx.xx.xx.xx.27015: UDP, length 319
13:12:34.365127 IP 88.242.101.54.ssdp > xx.xx.xx.xx.27015: UDP, length 259
13:12:34.365128 IP 88.224.161.66.ssdp > xx.xx.xx.xx.27015: UDP, length 307
13:12:34.365128 IP 88.247.169.88.ssdp > xx.xx.xx.xx.27015: UDP, length 280

Rapora göre, zararlı isteklere cevap veren ADSL modemleri kaynaklı 8.8Gbps trafik üretilmiş. Üretilen bu trafik ADSL kullanıcılarının ücretini ödeyerek satın aldıkları erişim olup, hem kullanıcı hem de tüm ADSL ağının yavaşlamasına sebep olmakta.
Peki sizin modeminiz saldırılarda kullanılıyorsa ne yapacaksınız?
Modem kullanımına hakim iseniz dışarıdan UDP 1900 portuna gelen istekleri engelleyebilirsiniz. Bu işlemi yapacak kadar teknik bilginiz yok ise UPnP desteğini modem arayüzünden kapatabilirsiniz.
Modem ayarları konusunda deneyimsiz olan kullanıcılar yerine operatörün UDP 1900 numaralı porta doğru olan erişimi kısıtlaması kısa vadede hızlı bir çözüm olabilir.