Dünyada Yankı Uyandıran ‘Agent Tesla’ Keyloggerının ardındaki Türk Kim?

En çok okunan siber güvenlik bloglarından biri olan, birçok ödüle sahip KrebsOnSecurity sitesinin yazarı Brian Krebs’in 22 Ekim 2018 tarihinde yayınlamış olduğu “Who is Agent Tesla?” yani “Agent Tesla Kim?” adlı yazısında Antalya’dan bir Türk’ten bahsediliyor.

Brian Krebs ilgili yazısına “Güçlü ve kolay kullanılan bir parola çalma programı olan Agent Tesla, 2014 yılından bu yana bilgisayarlara bulaşmaya devam ediyor” diyerek başlamış. Yakın zamanda bu zararlı yazılımın popülaritesinin arttığını, 6300’den fazla müşterisinin üyelik aidatı ödeyerek bu yazılımın lisansını satın aldığını söylüyor.

Ağustos 2018’de bilgisayar firması LastLine, 3 aylık bir dönemde Agent Tesla örneklerinde %100 oranında bir artışa şahit olduklarını açıklayan bir yazı yayınladı (https://www.lastline.com/labsblog/surge-of-agent-tesla-threat-report/). Bu yazıda Agent Tesla’dan “Tam işlevsel bir bilgi hırsızı olarak hareket ederek, farklı tarayıcılardan, e-postalardan ve FTP istemcilerinden kimlik bilgilerini çalıyor” diye bahsediliyor. Agent Tesla yazılımının keylogger görevi görerek, klavye ve pano verilerini kaydettiği, ekran görüntülerini ve videoları yakaladığı ve Instagram, Twitter, Gmail, Facebook, vb. gibi sayfalardan form bilgilerini çekebildiği de bu raporda belirtiliyor.

Agent Tesla’nın bulaştığı bilgisayarda fark edilmeden kalmasına yardımcı olmak için tasarlanmış çok sayıda özelliği bulunduğunu ancak bu yazılımın yaratıcısının kendisini gizlemek konusunda aynı derecede başarılı olmadığını da belirtmiş.

Agent Tesla’nın sahibi ya da sahipleri ürünlerini agenttesla.com üzerinden pazarlıyor, ürün lisansının satın alma işlemi Bitcoin ile yapılabiliyor ve fiyatlar istenen özelliklere bağlı olarak 15$ ile 69$ arasında değişiyor.

Agent Tesla web sitesini incelediğimizde yazılımın kesinlikle kişisel bilgisayarınızı izlemek içinkullanılabileceğini okuyoruz ve “Hakkında” kısmında Agent Tesla’nın kötü amaçlı yazılım olmadığı da açıkça belirtiliyor. “Lütfen, erişim izniniz olmayan bilgisayarlar için kullanmayın.” diye de belirtilmiş. Bu uyarı dikkate alınmadığı takdirde, yakalanan kullanıcıların yazılım lisanslarının ve aboneliklerinin iptal edileceği konusunda da bir uyarı da bulunuyor.

“Sıkça Sorulan Sorular” (FAQ) kısmını incelediğimizde “Çocuklarınızın, vesayetiniz altındaki reşit olmayan kişilerin veya sizin vesayetinizde olan yasal olarak kısıtlanmış kişilerin bilgisayarları için kullanabilirsiniz” ibaresini de görüyoruz.

“İş yerimde çalışan kişilerin bilgisayarlarını Agent Tesla ile kontrol edebilir miyim?” sorusu ise “İş yerinizdeki bilgisayarları izleyebilirsiniz ve Agent Tesla aracılığı ile çalışanlarınızın bilgisayar kullanımını takip edebilirsiniz” şeklinde yanıtlanmış.  Ancak, çalışanlarınızı ya da Agent Tesla bulunan bilgisayarları kullananları bilgilendirmeli ve rızaları olduğuna dair bir yazı almalısınız da deniyor.

Yazılımın Windows işletim sistemi için geliştirilmiş olduğu, Mac bilgisayarlarda veya diğer işletim sistemlerinde çalışamadığı anlaşılıyor.

Brian Krebs, Agent Tesla web sitesi ve 7/24 teknik destek kanalında; antivirüs yazılımını atlatmak, ürünü harekete geçirmek için güvenlik açıklarını kullanmak ve görüntü, metin, ses ve hatta Microsoft Office dosyaları gibi diğer dosya türlerinin içine gizlice yerleştirmek için kullanıcılara destek sağlandığını yazmış.

Kolay kullanım için tasarlanmış arayüz ile programı satın alan bir kişinin birkaç dakika içerisinde saldırmak istediği hedefi belirleyerek ve hangi bilgileri çekmek istediğini seçerek amacına ulaşmasının mümkün olduğunu da belirtiyor.

Krebs’in yazısında vermiş olduğu örneklere dayanarak yazılımı incelemeye başladığımızda aşağıdaki bilgilere ulaşabildik:

domaintools.com sayfasından aldığımız görüntüden anlaşılabileceği üzere Agent Tesla’nın mevcut domain’i (agenttesla.com) Şubat 2014’den beri aktif. 2016 yılında ise sitenin kayıtları WHOIS servislerinde gizlenmiş.

Archive.org’dan aldığımız 29 Aralık 2014 tarihli aşağıdaki ekran görüntüsü ise agenttesla.com sayfasından alınmış ve görebileceğiniz üzere Türkçe olarak hazırlanmış bir site:

Araştırmaya devam edip 4 Ocak 2016’ya geldiğimizde ürün hakkında biraz daha fazla bilgi edinebiliyoruz:

“Hakkında” kısmında yer alan bilgiler ise şöyle;

13 Mart 2016’da agenttesla.com internet sayfasından alınan ekran görüntüsü:

• Anti-virüslere kesinlikle yakalanmaz. Sisteminizde gizli çalışır.
• Kopyalanan yazıları alma, ekran klavyesiyle yazılanları alma, ekran görüntüsü alma.
• Farklı dosyalarla(resim, ses, metin vb. dosyalar) birleşir ve çalışınca birleştiği dosyaları çalıştır.
• İstediğiniz dosyayı hedef bilgisayara indirip çalıştırabilirsiniz.

 7 Eylül 2017 tarihine geldiğimizde ise agenttesla.com sayfasının bugünkü halini aldığını ve artık İngilizce olduğunu görüyoruz:

Yazının buradan sonraki kısmına https://krebsonsecurity.com/2018/10/who-is-agent-tesla/ linkinde yer alan bilgiler ile devam ediyoruz:

Brian Krebs, domaintools.com sayfasından yaptığı “geçmiş dönem whois” kaydı araması sonucu agenttesla.com sayfasının 2014 yılında Antalya’lı genç bir Türk’e kayıt edildiğini öğreniyor.

Brian Krebs araştırmasına devam ederek bu şahsın Twitter hesabına, Facebook hesabına ve LinkedIn profiline de erişmiş. Tüm hesaplarından kendisine ulaşmaya çalışmış ancak bir cevap alamamış. (Biz de benzer bir girişimde bulunduk ancak kendisinden yanıt alamadık.)

Agent Tesla işlevsel olarak diğer uzaktan yönetim araçlarından farklı değil. Kuruluşların teknik destek personellerinin bir veya daha fazla sistemi uzaktan yönetmek için sıkça kullandığı bu araçlara ilgili personelin yasal olarak erişim hakkı var. Ancak uzaktan yönetim aracını satan kişiler müşteriye sattıkları ürünün; yazılım istismarlarının kullanılması, spam e-postalar veya bu yönetim aracını başka bir program olarak gizlenmesi gibi konularda yardımcı olmaya başladığında yapılan iş yasal olmaktan çıkıyor ve bilgisayar kötüye kullanımı yasaları uyarınca suç haline geliyor.

Amerika’da yakın zamanda görülen 2 olayda, uzaktan yönetim aracı satan 2 farklı firmanın sahipleri “müşterilerimizin satmakta olduğumuz yazılımları kullanım şeklinden sorumlu değiliz” ifadeleri ile suçsuz bulunmuş olsa da, savcılık tarafınca sunulan müşteri görüşmelerinde yazılımların kötü amaçlı kullanımına yardımcı olmak suçundan 30 ve 33 ay hapis cezası aldıkları biliniyor.

Brian Krebs’in yazısı yayınlandıktan 3 gün sonra, 25 Ekim tarihinde Agent Tesla satıcıları siteyi güncelledi ve satışlarını bir süre durdurduklarını açıkladı. Sitede yer alan açıklama şöyleydi:

 “Satışlarımızı bir süreliğine durdurduk. Birkaç gün boyunca yeni önlemler üzerinde çalışacağız. Bu süreçte bazı kullanıcı hesapları yasaklanacak. Son zamanlarda, Agent Tesla kötü niyetli insanlar tarafından kullanılıyor. Saptanan hesapların çoğu süresiz yasaklandı. Bundan sonra daha dikkatli olacağız ve daha sıkı önlemler alacağız. Agent Tesla’yı kullanarak kimse suç işleyemez, reddediyoruz. (Lütfen kullanım şartlarımızı kontrol ediniz)

Şimdiye kadar hiç kimseye yasadışı faaliyetleri için yardım edilmedi ve bundan sonra da edilmeyecektir. Yasadışı kullanım için bir program arıyorsanız, hemen siteden çıkış yapabilirsiniz.

Ayrıca kötü amaçlı kişiler tarafınca istismar edildiği anlaşılan; Web kamerası üzerinden görüntü almak (Capture), Anti-Antivirüs, Diğer uygulamaları kapatma fonksiyonu, Dosya İndirme, Kalıcı olma özelliklerinin geri dönüşsüz olarak yazılımdan kaldırıldığı da duyuruldu.

kaynak: https://sibersavascephesi.com/2018/11/05/dunyada-yanki-uyandiran-agent-tesla-keyloggerinin-ardindaki-turk-kim/