04 Mayıs 2020

Siber Güvenlik Bülteni - Nisan 2020

Çin Devlet Kurumları Hedef Oldu

Geçen ay CIA’in, Çin merkezki şirketlere 11 yıldır siber saldırı düzenlediğini belirten siber güvenlik şirketi Qihoo 360, yeni bir rapor yayınlayarak DarkHotel olarak bilinen hacker grubunun Çin hükümet kurumlarına ve elçiliklerine organize siber saldırılar gerçekleştirdiğini belirtti. 
Mart ayında operasyona başlayan saldırganlar, Sangfor SSL VPN sunucularındaki ZeroDay (sıfırıncı gün) zafiyetlerin istismar ederek iki yüzden fazla VPN sunucusuna saldırı gerçekleştirdi. Saldırıya uğrayan sunucuların 174 tanesi Şanghay ve Pekin’de yer alırken, diğer noktaların içlerinde Türkiye’nin de bulunduğu yurt dışında yer alan Çin diplomatik kurumlarının ağları olduğu belirtildi.
Sunucularda yer alan ZeroDay açıklarını kullanarak kontrolleri sağlayan saldırganlar, sunucularda yer alan SangforUD.exe isimli dosyayı kendi oluşturdukları sahte dosya ile değiştirerek kendilerine arka kapı açtılar. Saldırganların, Çin hükümetinin salgınla mücadelesi ile ilgili bilgi toplamaya çalıştığı açıklandı.
Google’ın Mart ayındaki raporuna göre DarkHotel grubu 2019 yılında 5 ve 2020 yılında Nisan ayına kadar 3 farklı ZeroDay açığını kullanarak saldırılar gerçekleştirdi.

Amerika Kesenin Ağzını Açtı

Amerika, Kuzey Koreli bilgisayar korsanlarının uluslararası finansal sistemin bütünlüğünü ve istikrarı için önemli bir tehdit olduğunu ve Kuzey Koreli bilgisayar korsanları hakkında bilgi getirenlere 5 milyon Dolar’a kadar yükselen ödül sunacağını belirtti.
ABD Dışişleri ve Hazine Bakanlığı ile Federal Soruşturma Bürosu ortak bir rapor yayınlayarak Kuzey Kore’nin gerçekleştirdiği son operasyonları ele aldı ve ülke ekonomisi için para toplamak amacıyla siber korsanların kullanıldığını belirtti.
Yayınlanan rapora Kuzey Kore’nin ekonomik saldırıları aşağıdaki yöntemlerle gerçekleşiyor.
  • Bankalardan ve finansal kuruluşlara saldırı yaparak para çalmak
  • Kripto para ve borsa hırsızlıkları gerçekleştirmek
  • Cryptojacking saldırıları düzenlemek
  • Fidye virüs saldırıları ve geçen sürede dosyaları silmekle tehdit 
  • Yabancı ülke sistemlerine zararlı yazılım yükleyerek kripto madenciliği yapmak
  • Yasadışı yollarla para aklamak
Yayınlanan ortak raporda Kuzey Kore tehditine karşı farkındalığın arttırılmasını, uluslararası düzeyde tespit ve savunma bilgi paylaşımının yapılması gerektiği, finans ve enerji kurumlarının alt yapılarına daha fazla yatırım yapmaları ve CISA (Siber Güvenlik ve Altyapı Güvenliği Ajansı) raporlarının takip edilmesi gerektiğini belirtti.

Google 49 Chrome Uzantısını Kaldırdı

Google, web mağazasında Ledger, MyEtherWallet, Jaxx, MetaMask, Exouds, KeepKey Trezor ve Electrum gibi popüler kripto para cüzdanı uygulamalarını taklit eden ve kullanıcıların özel anahtarları ile anımsatıcı bilgilerini çalmayı hedefleyen 49 eklentiyi mağazasından kaldırdı.
Hırsızlık amaçlı geliştirilen uzantıları keşfeden Harry Denley, sahte uzantıların bir çoğunun 5 yıldız ile değerlendirildiğini ve kullanıcıların indirmelerine yönelik yorumlar da yapılmış olduğunu belirtti. Denley ayrıca kripto cüzdanından gelen fonların hemen çalınmadığını tespit ettiği bir test de gerçekleştirdiğini, hırsızların tüm bilgilere sahip olduğunu ancak yüksek değerli hedefleri beklediğini belirtti. 
Harry Denley, tüm sahte eklentilerin tek bir kişi ya da grup tarafından yönetildiğini ve arkasında Rusların olabileceğini belirtti.

Email.it Hesapları Satışa Çıktı

İtalya e-posta servis sağlayıcısı email.it, 2018 yılında uğradığı siber saldırının cezasını bugün çekmeye başladı.
NoName isimli hacker grubu yayınladığı mesajda 2 sene önce şirketin sunucularına eriştiklerini ve bir APT gibi içerde saklandıklarını,  yetkilileri bilgilendirerek küçük bir ödül istediklerini belirtti ancak şirketin kendilerine cevap vermediği hatta kullanıcıları da bilgilendirmediği iddia edildi. 
Şantaj girişiminin olumsuz olması üzerine hacker grubu, 44 sunucudan elde ettikleri 600 bin kişiye ait e-posta adresi, şifre, güvenlik soruları, e-posta içerikleri ve eklerini darkweb’te 0.5 ile 3 Bitcoin arasında satışa çıkardı. 
Sızdırılan datalar arasında 2007 yılından bu yana giriş yapmış kişilerin verileri yer alıyor.

Finans Sektörü Brute Force Saldırısı ile Karşı Karşıya


Siber güvenlik şirketi F5, 2017-2018 ve 2019 yıllarında finans sektörüne karşı yapılmış saldırılarıla ilgili yeni bir rapor yayınladı. Bankalar, faktoring şirketleri, kredi birlikleri, sigorta şirketleri ve finansal yazılım geliştiren kuruluşlarda yaşanmış olayları inceleyen şirketin raporuna göre 2017-2019 yılları arasında bu organizasyonlara gerçekleştirilen saldırıların büyük çoğunluğu görülenin aksine DDoS değil Brute Force saldırıları oldu.
Raporda, account takeover (kartın kendisi ya da kartla işlem yapabilecek asgari bilgiler ele geçirilerek yapılan dolandırıcılık türü) saldırılarının DDoS saldırılarından daha fazla ve daha tehlikeli olduğu belirtildi. Saldırganlar bu yöntem ile hesap bilgilerini ele geçirmek için şu yöntemleri kullanıyor.

Brute Force: Saldırganlar ellerindeki parola listesinden otomatik olarak kullanıcı adı/parola denemesi yapar.
Credential stuffing: Veri sızıntılarından ve hacking olaylarından toplanan çalıntı kimlik bilgilerinin farklı sitelerde denenmesine
Password spraying: Sıklıkla kullanılan zayıf parolalar ile çok sayıda hesaba deneme yaparak erişim sağlama

Tabloda da görüldüğü gibi Brute Force atakları yıldan yıla geçtikçe daha da artmakta ve büyük bir tehdit haline gelmektedir. Parola güvenliğinizi sağlamanız için blog adresimizde yayınladığımız doğru ve güçlü parola nasıl oluşturulur yazısını okumanızı tavsiye ederiz. 



Para Transferi Yaparken Virüse Yakalanmayın!


Siber saldırganlar kişisel bilgilerinizi ve paranızı çalmak için her fırsattan yararlanıyorlar, bugünlerde ise kullandıkları en sık yöntem Covid 19 pandemisini bahane etmek.
BEC saldırısı, yasal para transferi gerçekleştiren herkesi hedefleyen ve etkileyebilecek bir saldırı türüdür. Son günlerde ise özellikle büyük firmaları hedefleyen saldırılarda dünya genelinde çok fazla artış olduğu gözlenmekte. 
  • Açıklanamayan aciliyet,
  • Banka hesap bilgilerinde ya da talimatlarda son dakika değişiklikleri
  • İletişim platformlarında veya e-posta adreslerinde son dakika değişikliği
  • Yalnızca e-posta ile iletişim isteği. Telefon, çevrimiçi ses veya görüntülü iletişime reddetme,
  • Önceden belirtilmemiş ve planlanmamış acil hizmet ödeme talepleri
  • Çalışanlardan zamansız gelen maaş hesap bilgisi değişikliği,

gibi durumlar oluyorsa BEC saldırılarısına uğradığınızdan şüphelenmelisiniz..
Böyle durumlarda; 
  • Değişiklikleri ve bilgileri e-postada belirtilen numara üzerinden değil firmaya ait sabit numara üzerinden iletişime geçerek kontrol edin. 
  • Mail gönderen e-posta adresi daha önce mailleştiğiniz adres ile aynı mı kontrol edin.
  • Gelen maildeki e-posta adresi gerçek alan adı ile uyuşuyor mu yoksa yazım hataları ile benzetilmiş mi emin olun.
  • Bir saldırının kurbanı olduğunuzu düşünüyorsanız, fonların geri çekilmesi için derhal finans kuruluşunuza ve şirket yetkililerine bilgi verin.

Nintendo Siber Saldırıya Uğradı 


Japonya merkezli video oyun şirketi Nintendo, internet sitesi üzerinden yaptığı açıklamada 160 bin kişinin Nintendo Network hesabının ele geçirildiğini belirtti. 
Mart ayında bazı Nintendo kullanıcıları sosyal medya üzerinden hesaplarının hacklendiğini, hesaplarından harcama yapıldığını ve bilinmeyen IP adreslerinden hesaplarına erişildiğini belirten e-postalar aldıklarını belirtmişlerdi. 
Nintendo, kullanıcıları standart e-posta ve parola ile oturum açabilmenin yanında Nintendo Network ID( NNID) ile de giriş yapabilme seçeneğine sahip. Bu sistem ile ayrıca Wii U ve 3DS konsollarında satın alma işlemi yapılabiliyor. Ayrıca Switch üzerinden mağazaya girip bir şey satın almak istediğinizde Nintendo hesabını seçmeniz PayPal hesaplarına erişimi de kolaylaştırıyordu.
NNID sistemi üzerinde parola oluşturulurken ekran klavyesi kulanılması zorunlu tutuluyordu ve birçok kullanıcı basit parolalar seçerek hesap oluşturdular. Saldırganlar ise NNID entegrasyonunu ana Nintendo hesaplarına erişmek için kullandı ve başarılı oldular. 
Nintendo, NNID hesaplarını devre dışı bıraktı ayrıca yetkisiz erişim kaynaklı satın alımları hesaplara geri ödemeyi kabul etti.

Android Markete Siber Saldırı


Android kullanıcıları Google Play Store, Samsung Galaxy Store ve Huawei AppGallery gibi marketlerden uygulama indirebildiği gibi 150 milyonu aşkın kullanıcı sayısı ve 1 milyondan fazla uygulama barındıran Aptoide’den de faydalanabiliyor. 
2011 yılında kurulan ve kısa sürede milyonlarca kullanıcıya ulaşan Aptoide’nin bu kadar çabuk ve hızlı yayılmasının sebebi hem tüm uygulamalara özel virüs ve güvenlik testi yaptığını belirtmesi hem de kullanıcıların uygulama mağazasını diğerlerinden farklı olarak tamamen kendi tercihlerine göre tasarlayabiliyor olması.
Bu ayın başında popüler bir hack formunda paylaşılan gönderide Aptoide’e ait 39 milyon kullanıcının verisinin ele geçirildiği belirtildi ve 20 milyon kullanıcıya ait veriler yayınlandı.
Yayınlanan veriler, 21 Temmuz 2016 ile 28 Ocak 2018 tarihleri arasında Aptoide kullanan kişilere ait isim, e-posta adresi, hash’li parolalar, kayıt tarihi ve cihaz ayrıntıları yer alıyor.
Eğer siz de Apotoide kullanıyorsanız ve aynı parolayı farklı platformlarda kullandıysanız parolanızı değiştirmenizi öneriyoruz.


2017 yılında, fidye yazılımı kurbanı kuruluşların sadece %39'u şifrelenmiş verilerini almak için ödeme yaptı. Bu rakam 2018'de %45, 2019'da ise %58'e yükseldi.

Google, şu ana kadar 240 milyon Covid temalı spam maili, 18 milyon kötü amaçlı yazılım ve kimlik avı e-postasını engellediğini belirtti.

Shade (Troldesh) fidye yazılımı, operasyonlarını durdurduğunu açıkladı ve 750.000 şifre çözme anahtarını yayınladı.

Amerika Federal Ticaret Komisyonu Corona virüs ile ilgili olarak 16.778 şikayet aldığını ve  yaklaşık 12 milyon Dolar’ın kaybolduğunu açıkladı.

Google, 100 milyon indirmeye ulaşmış SuperVPN isimli uygulamayı ortadaki adam (MITM) saldırısına olanak verdiği için kaldırdı. Singapur merkezli görülen uygulamanın asıl sahibinin Pekin'de yaşayan bağımsız bir geliştirici olduğu belirtildi.  Uygulama, Play Store’daki en iyi 5 VPN uygulaması arasında yer alıyordu.

B İ Z D E N   H A B E R L E R 




Online Olarak Yanınızdayız
%100 Uzaktan Çalışmaya Hazırız



Ülkemizde yaşanan Covid19 salgınından dolayı uzaktan bağlantılar ve dijital iletişim daha da önem kazanmıştır.


Ayrıca firmaların iş akışlarının sekteye uğraması, firmalarda kalıcı zararlara yol açmaktadır.


Bu sebeplerden ötürü ISR Bilgi Güvenliği olarak siber güvenlik ve sistem altyapısı sağlık tespiti ve çözüm çalışmalarında, tamamen uzaktan gerçekleştirilen servis seçenekleri sunuyoruz.


Uzaktan verdiğimiz hizmetlerimizle ilgili aşağıdaki linkten bilgi alabilir, online toplantılarımız için bizlerle [email protected] adresi üzerinden iletişime geçebilirsiniz.

%100 Uzaktan Servislerimiz Hakkında Bilgi Almak İçin TIklayınız

Popüler Yayınlar