Bülten Aboneliği

Bülten üyeliği için tıklayınız

Bu Blogda Ara

6 Nisan 2020

Siber Güvenlik Bülteni - Mart 2020

DİKKAT!
COVID19'A SİBER DÜNYADA DA YAKALANMAYIN



Dünya, Korona virüs pandemisiyle uğraşırken, siber saldırganlar kötü amaçlı yazılımlarla virüsü sanal ortamda da yaydılar. 
Dünya çapında ölüm sayıları artarken, bilgi ihtiyacını karşılamak isteyen insanların zaaflarından yararlanan siber saldırganlar sanal ortamda tehlike yaratıyor.
Güvenlik araştırmacıları Covid-19 ile ilgili son 2 hafta içinde 2200’den fazla internet sitesinin açıldığını ve bunların büyük çoğunluğunun siber saldırganlar tarafından yönetildiğini belirtti. 
Dünya üzerindeki tüm Korona virüs vakalarını listeyelen bir internet sitesinde, 2016 yılında keşfedilen ve tarayıcılardaki depolanan bilgileri, tarayıcı geçmişini, kullanıcı kimlikleri, şifreleri, kripto para anahtarlarını toplayan AZORult yazılımı keşfedildi. Saldırganların tarayıcılardan toplanan bu verilerle kredi kartı numaralarını, giriş bilgilerini ve diğer kişisel verileri de çalması mümkün.
Uzmanların dikkat çektiği bir diğer nokta ise, oltalama saldırıları ile oluşabilecek tehlikeler. Çeşitli sağlık kuruluşlarından gönderiliyormuş gibi gözüken dosyalara, zararlı yazılımlar yerleştiren saldırganların sistemlere erişerek hasar verebileceği yönünde. 
Mobil cihazları da hedef alan saldırganların, sahte Korona Virüs izleme uygulamaları ile telefonun kilit ekran şifresini değiştirdiği ve 100 Dolar değerinde Bitcoin’i fidye olarak istediği tespit edildi.

Fidye Saldırısı Üretimi Durdurdu



Ünlü Rus iş adamı Roman Abramovich’e ait dünyanın en büyük çelik üreticilerinden olan EVRAZ, Ryuk fidye yazılımı saldırısına uğradı. Saldırı sonrası bazı tesislede üretim durdurulmak zorunda kaldı.
Kuzey Amerika’daki tesisleri vuran fidye saldırısından Kanada’daki tesisler ve İtalya, Çekya, Ukrayna ve Kazakistan’daki ofisler de etkilendi. 
EVRAZ’ın şirket hisselerinde %7den fazla düşüşe sebep veren Ryuk fidye yazılımı kurbanlarının arasında Fortune 500 listesinde yer alan ABD demiryolu şirketi Railworks, Hırvat benzin istasyon zinciri INA Group, parça üretimi yapan Visser Precision, Fransız bulut şirketi Bretagne Telecom da yer alıyor.

APT Grupları Exchange Sunucularına Saldırıyor



ABD merkezli bir güvenlik şirketi, APT gruplarının Microsoft Exchange Server’lardaki CVE-2020-0688 olarak numaralandırılan güvenlik açığını kullanarak saldırılarda bulunduğunu belirtti.
Güvenlik açığı saldırganın Exchange Server üzerinde uzaktan kod yürütmesine izin veriyor. Keşfedilen güvenlik açığı Microsoft’a bildirilmiş ve Şubat ayında yayınlanan güvenlik güncellemesi ile giderilmişti.
Açığın giderilmesinin ardından, nasıl sömürüldüğünü anlatan bir blog yazısı yayınlanması, saldırganları da harekete geçirdi ve birçok şirkete APT gruplarının saldırısı gerçekleşti. 
Saldırılardan etkilenmemek için en kısa sürede güncellemelerin yapılmasını öneriyoruz.

PPP Servisinde Kritik Güvenlik Açığı


Amerika Siber Güvenlik Birimi US-CERT, Dial-up modemler, DSL bağlantıları, VPN bağlantılarında iletişim ve veri aktarımını sağlayan point to protocol (PPP) uygulamasında 17 yıllık bir güvenlik açığı keşfetti.
Hemen hemen tüm Linux tabanlı işletim sistemlerinde bulunan ve CVE-2020-8597 olarak numaralandırılan güvenlik açığı PPPd yazılımının paket ayrıştırıcısından kaynaklanıyor ve Stack Buffer Overflow zafiyetine sebep oluyor.
CVSS skoru 10 üzerinden 9.8 olarak belirtilen zafiyetin bu kadar kritik olmasının sebebi PPPd’nin kernel seviyesinde çalışması ve zafiyetin exploit edilmesi durumunda saldırganların sistem üzerinde yüksek haklara sahip olarak kötü amaçlı kod yürütmesine olanak sağlaması olduğu belirtildi.
Noktadan noktaya protokol Daemon (PPPd) 2.4.2-2.4.8 sürümleri ve son 17 yılda yayınlanan tüm sürümler bu güvenlik açığına karşı savunmasız durumda. Ayrıca; Ubuntu, Debian, Fedora, SUSE Linux, NetBSB, Cisco CallManager, OpenWRT gömülü işletim sistemi, TP-LINK ve Synology ürünleri de zafiyetten etkileniyor.

CIA, Çin Şirketlerini Hedef Alıyor



Çin merkezli siber güvenlik şirketi Qihoo 360, ABD istihbarat teşkilatı CIA’in Çin merkezli şirketlere 11 yıldır siber saldırı düzenlediğini belirtti.
Qihoo 360 tarafından yapılan araştırmaya göre, devlet kurumları, bilimsel araştırma kurumları, sivil havacılık sektörü, petrol endüstrisi ve internet şirketlerini hedef alan CIA, Eylül 2008 ile Haziran 2019 tarihleri arasında çoğunlukla Zhejiang, Pekin ve Guangdong’ta yer alan şirketleri hedef aldı.
Şirket tarafından tespit edilen bir diğer bulgu ise, APT-C-39 isimli grubun CIA tarafından oluşturulmuş bir grup olduğu yönünde. Sivil havacılık sektörünü hedef alan bu grup sadece Çin değil, başka ülkelere de saldırılar düzenleyerek yolcu bilgilerini ve kürsel uçuş verilerini ele geçirerek istihbarat amaçlı bilgi ediniyordu.

Necurs Botnet Ağı Çökertildi



2012 yılından beri dokuz milyondan fazla bilgisayara bulaşan, spam mesajlar göndererek insanları dolandırmaya ve verilerini ele geçirmeye çalışa Necurs botnet ağı Microsoft’un Dijital Suçlar Birimi tarafından çökertildi. 
2012 yılında tespit edildikten iki ay sonra 83.000’den fazla bilgisayarda görülen botnet, 2014 yılında yerini GameOver Zeus isimli zararlı yazılıma bırakmış ve devamında 100 gün içinde 30 milyon Dolar kar elde edecek olan bir fidye virüsüne dönüşmüştü. 
2016 yılında Necurs yeni operasyonlarda kullanılmaya başlandı ve 2019 yılına kadar e-posta ile yayılan kötü amaçlı yazılımların %90’ının dağıtılmasında rol aldı.
25 ay boyunca Necurs’un alanadı algoritmasını takip eden Microsoft, tersine mühendislik yöntemi kullanarak ve dünya çapında internet sağlayıcıları ile iş birliği yaparak Rusya bağlantılı olduğu düşünülen botnet ağının gelecekte gerçekleştirebileceği potansiyel saldırıların önüne geçti.

Virgin Media Verilerini Kendi Elleri ile Sızdırdı



İngiltere merkezli telekomünikasyon şirketi Virgin Media herhangi bir saldırıya uğramamasına rağmen 900.000 müşterisinin kişisel verilerinin sızdırıldığını açıkladı.
Yanlış konfigüre edilmiş bir veri tabanında bulunan bilgiler, herhangi bir kimlik doğrulaması gerekmeden herkese açık bir şekilde güvensiz bir ortamda barındırılıyordu.
Pazarlama veri tabanında gerçekleşen veri sızıntısında müşterilerin isim, adres, e-posta adresi, telefon numaraları, talep edilen ürün bilgileri ile doğum tarihi bilgileri yer alıyordu. Yetkililer, veri sızıntısından etkilenen müşteriler ile temasa geçerek ilerleyen zamanlarda olabilecek tehlikelere karşı da uyardı.

Marriott International’da Veri İhlali



Dünyanın en büyük otel zincirlerinden birisi olan ve otel markasına sahip Marriott International üç yıl içinde ikinci kez veri ihlali yaşadı ve 5.2 milyon konuğunun kişisel verilerinin siber saldırganlar tarafından ele geçirildiğini açıkladı.
Bir otelde çalışan iki kullanıcının, müşterilere hizmet verebilmek için kullandıkları uygulama bilgilerini ele geçiren saldırganlar Ocak 2020 ile Şubat 2020 arasında müşterilerin kişisel bilgileri ve iletişim bilgileri ile birlikte aldıkları ek hizmet bilgilerini çaldı. 
2018 yılında Marriott Otellerinin yan kuruluşu olan Starwood, rezervasyon sisteminin hacklendiğini ve 383 milyon konuğun kişisel verilerini, 5 milyon pasaport numarası ve 8 milyon kredi kartı bilgisini çaldırmıştı.


Android Kullananlar Dikkat


Cerberus Android bankacılık Trojan'ının yeni bir versiyonu, Google Authenticator'da yer alan 2 adımlı doğrulama kodlarını çaldığı belirlendi. Zararlı yazılım kodlar dışında ayrıca konum bilgisi, sms bilgileri, cihaza kayıtlı hesap bilgileri ile ekran görüntülerini de çalıyor.
Hollanda’lı mobil güvenlik firması tarafından tespit edilen hırsızlık, mobil cihazlarda erişilebilirlik ayrıcalıklarından faydalanıyor. Bu ayrıcalıklardan yararlanan zararlı yazılım, Authenticator uygulaması çalışırken arayüz içeriğine erişiyor ve uzaktan idare edildiği komut kontrol sunucusuna bilgileri gönderiyor.
Saldırganlar bu yöntem ile bankacılık uygulamaları, e-posta hesapları, dijital para cüzdanları, sosyal medya hesapları gibi hesapları ele geçirebiliyor.

T-Mobile’da Veri İhlali Yaşandı



Dünyanın en büyük GSM operatörlerinden birisi olan T-mobile, internet sitesi üzerinden yaptığı duyuruda veri ihlali yaşadığını ve müşteriler dışında çalışanlarının da bu ihlalden etkilendiğini belirtti. 
2019 Kasım ayında veri ihlali ile gündeme gelen T-mobile, gerçekleşen son saldırıda bazı müşteri ve çalışanlarına ait adres, telefon numaraları, hesap numaraları, ödeme planları ve fatura bilgilerini çaldırdı. 
E-posta tedarikçilerine yönelik yapılan saldırı sonucu ortaya çıkan olaydan kaç kişinin etkilendiği henüz belirtilmezken, yaşanan olaydan kısa bir süre önce T-mobile, müşterilerine kapattıkları bir güvenlik açığı ile ilgili bilgi vermişti.


Son 3 aydır Portekiz'de internet bankacılığı hesaplarını hedef alarak gönderilen Lampion zararlı yazılımının Türkiye'de Ubuntu kurulu Linux bir sunucudan dağıtıldığı tespit edildi.
İngiltere merkezli Doxzoo isimli baskı şirketi, yanlış yapılandırılmış sunucularından dolayı İngiltere ve ABD ordusuna ait 343 GB boyutundaki 270.000 kaydı sızdırdı.

Mirai botnetinin yeni bir versiyonu olan Mukashi, Zyxel’in NAS cihazlarını hedef alıyor.

FIN7 isimli APT grubu, şirketlere içinde zararlı yazılım bulunan USB'ler göndererek sistemlere sızıyor.

Siber saldırganların 18 Mart'tan itibaren Linksys marka modemleri hedefleyerek saldırılarda bulunduğu tespit edildi. Saldırganlar, modemin DNS'lerini kendi belirledikleri DNS adresleri ile değiştirerek zararlı yazılım bulunduran sitelere yönlendiriyor.

Hollanda'da 7 milyona yakın organ bağışçısının kişisel bilgilerinin yer aldığı iki hard disk çalındı.

B İ Z D E N   H A B E R L E R



Ülkemizde yaşanan Covid19 salgınından dolayı uzaktan bağlantılar ve dijital iletişim daha da önem kazanmıştır.


Ayrıca firmaların iş akışlarının sekteye uğraması, firmalarda kalıcı zararlara yol açmaktadır.



Bu sebeplerden ötürü ISR Bilgi Güvenliği olarak siber güvenlik ve sistem altyapısı sağlık tespiti ve çözüm çalışmalarında, tamamen uzaktan gerçekleştirilen servis seçenekleri sunuyoruz.



Uzaktan verdiğimiz hizmetlerimizle ilgili bilgi alabilir, online toplantılarımız için bizlerle  [email protected] adresi üzerinden iletişime geçebilirsiniz.

Popüler Yayınlar

Blog Arşivi