Bülten Aboneliği

Bülten üyeliği için tıklayınız

Bu Blogda Ara

3 Haziran 2020

Siber Güvenlik Bülteni - Mayıs 2020

Siber Saldırganlar 42 Milyon Dolar Fidye İstiyor


Lady Gaga, Madonna ve Elton John gibi ünlü isimlerin haklarını savunan ve davalarını takip eden New York merkezli hukuk bürosu Grubman Shire Meiselas & Sacks siber saldırganların hedefi oldu ve 756 GB boyutundaki dosyayı ele geçirerek şifreledi. 
Saldırganlar, 21 milyon Dolarlık fidye talebini reddeden hukuk firmasına karşılık ise Lady Gaga’ya ait 2.4 GB boyutundaki verileri yayınlayarak fidye miktarını 42 milyon Dolar’a yükseltti ve fidyenin 1 hafta içinde ödenmemesi durumunda hukuk firmasından Trump’a ait elde ettikleri kirli çamaşırları yayınlamakla tehdit etti. 
Saldırganlar Trump’ı uyararak, "devam eden seçim süreci var ve binlerce kirli çamaşırını bulduk, eğer başkan olarak kalmak istiyorsanız onları uyarın" mesajını iletti. Seçmenlere de bir mesaj veren saldırganlar "elde ettiklerimizi yayınlarsak onu bir daha başkan olarak görmek istemezsiniz" dedi. 
Hukuk firması ise saldırganlarla müzakere etmeyi kesinlikle kabul etmiyor. Gerekçe olarak, çalınan bilgilerin silinmeyeceğinin veya ileride ticaretinin yapılmayacağının garantisinin olmadığını belirtiyor. Ödeme yapılmaz ise saldırganlar ele geçirdikleri belgeleri açık arttırma usulü ile satacak.
Aynı grup Ocak ayında İngiltere merkezli kripto para şirketi Travelex’e saldırıda bulunmuş ve şirket çaldırdığı dosyaları geri alabilmek için saldırganlara 2.3 milyon Dolar değerinde BitCoin ödemesi yapmıştı.

Shiny Hunters Durmuyor


Son zamanlarda adı sıkça duyulmaya başlanan bir siber korsan örgütü web karaborsalarında satışa çıkardığı kullanıcı verileri ile gündem olmaya başladı.
En son Microsoft’un dışarıya kapalı haldeki Github hesabını hackleyerek 500 GB boyutundaki kaynak kodlarına erişen ve Endonezya’nın en büyük e-ticaret sitesi Tokopedia’nın 91 milyon kullanıcısının verisini ele geçirip 15 milyon veriyi yayınlayan saldırganlar şimdi de 10 şirketten elde ettikleri 73.2 milyon kullanıcı verilerini dark web üzerinde satışa çıkardı.
Siber korsanlar ellerindeki verilerin gerçek olduğunu kanıtlamak için bir kısmını paylaştı ve yayınlanan verileri inceleyen uzmanlar, kayıtların gerçek kayıtlarla eşleştiğini tespit etti. Tokopedia kayıtları da eklendiğinde saldırganların elinde satışa sunulmuş toplam 164 milyon kullanıcıya ait veri bulunuyor. 
Verileri çalınan 10 şirketin isimleri şu şekilde. Zoosk, Chatbooks, SocialShare,Home Chef, Minted, Chrınicle of Higger Education, GGuMim, Mindful, Bhinneka, StarTribune ve Tokopedia.

Kaiji IoT Botnet’i Tehlike Saçıyor



Güvenlik araştırmacıları, Kaiji ismini verdikleri Linux tabanlı sunucuları ve IoT cihazlarını hedef alan yeni bir IoT botneti keşfetti. 
Kaiji’yi C ve C++ programlama dili ile yazılmış botnetlerden ayıran kısım,  botnetler Mirai varyantı bazı botnetlerden evrilerek türetilirken, Kaiji Go programlama dili ile sıfırdan yazılmıştır. Bu olay botnetler için nadir görülen bir durumdur. 
Kaiji, SSH portları açık bırakılan Linux tabanlı sunucuları ve IoT cihazlarını hedef alıyor. Araştırmacılar yaptığı açıklamada botnetin root yetkisine ihtiyaç duyduğunu ve bu yüzden root kullanıcısını hedef aldığını belirtti.
Botnet, root yetkilerine sahip olduktan sonra cihazı 3 farklı şekilde kullanabiliyor. İlk olarak DDoS saldırıları için, ikincisi diğer cihazlara karşı daha fazla SSH Brute Force saldırıları gerçekleştirmek, üçünücüsü ise yerel SSH anahtarlarını çalarak hesabın geçmişte yönettiği diğer cihazlara yayılmak. 
Çin kaynaklı olduğu belirtilen botnetin kaynak kodlarında demo dizelerinin bulunduğunu ve farklı sürümlerinin de yakın zamanda ortaya çıkabileceği belirtildi.

BEC Saldırısı Pahalıya Patladı



1997 yılında yoksullukla mücadele ve ekonomik büyümeyi desteklemek için kurulan, imalat, tarım, yenilenebilir enerji ve ölçeklenebilir işletmeleri destekleyerek dünya çapında gelişmekte olan ülkelere yatırım yapan Norveç devletine ait özel bir fon olan Norfund, e-mail dolandırıcılığına maruz kalarak 10 milyon Dolar’ı saldırganların hesabına gönderdi.
BEC saldırısına uğrayan şirket, 10 milyon Dolar’ı Kamboçya’daki bir mikrofinans kuruluşuna göndermek yerine siber saldırganların Meksika’da yer alan hesaplaralarına aktardı.  
Aylarca kullanıcıların mail hesaplarını, yazım şekillerini, dil kullanımını inceleyen saldırganlar 16 Mart’ta ilk denemeyi yaparak başarılı oldular. Daha fazla para çalmak için 30 Mart’ta ikinci denemeyi yapan saldırganlar fark edildi ve sistemden bloklandı.
FBI rakamlarına göre geçtiğimiz yıl ABD’de BEC saldırılarından bildirilen kayıpların toplamı 1.7 milyar Dolar oldu.

Thunderbolt Donanımında Kritik Açık


Eindhoven Üniversitesi’nde bir güvenlik araştırmacısı, Intel tarafından 2011-2020 yılları arasında üretilen Thunderbolt donanımınlarında 7 yeni kritik açık keşfetti ve Thunderbolt portuna sahip tüm makineler bu açıktan etkileniyor.
Thunderspy ismi verilen açıklar ile fiziksel saldırılara karşı savunmasız hale gelen cihazlardan veri sızdırmak da mümkün. Kullanılan yöntem ile Thunderbolt özellikli cihazlarda verilere tam erişim sağlamak için kilit ekranı ve sabit disk şifrelemesini atlatılabiliyor. Araştırmacı yaptığı açıklamada 400 Dolar’a mal edilen bir araç ile geride hiç iz bırakmadan tüm verilerin çalınabildiğini, Thunderbolt devre dışı olsa da bile erişim sağlanabildiğini belirtti. 
Intel tarafından yapılan açıklamada ise bu Çekirdek Doğrudan Bellek Erişimi Koruması (Kernel Direct Memory Access Protection) ile işletim sistemi düzeyinde hafifletildiğini belirtti ancak bu koruma 2019’dan sonra satılan bilgisayarlarda sınırlı. 
Uzmanlar bu açığın bir güncelleme ile düzeltilemeyeceğini, USB 4 ve Thunderbolt 4 standartlarını etkileyebileceğini belirtti.

EasyJet'e Kurbanları Arasında 6846 Türk Yer Alıyor



Ekonomik uçuş hizmetleri ile tanınan ünlü İngiliz hava yolu şirketi EasyJet, 9 milyon müşterisine ait isim, e-posta adresi, seyahat bilgilerinin (kalkış varış bilgileri) ele geçirildiği ve 2.208 müşterisinin kredi kartı bilgilerinin çalındığını bir siber saldırı yaşadı. Çalınan kredi kartı bilgileri arasında CVV numarası da yer alıyor.
Ocak 2020’de saldırıyı tespit eden uzmanlar, siber saldırganların 17 Ekim 2019 ile 4 Mart 2020’ye kadar şirketin verilerine erişti. 
Yaşanan olay sonrasında Türkiye’den de 6846 kişinin verilerine ulaşıldı ve şirket KVKK’ya bildirimde bulundu. 3 kişinin isim, soyisim, adres, uçuş bilgisi, ödeme bilgileri ve CVV numarası yer alırken, geri kalan 6843 kişinin ödeme bilgileri hariç diğer kayıtlı tüm bilgileri saldırganların eline geçmiş durumda. 
Yapılan bir açıklamada ise saldırıda kurban olmuş kişilerin şirketten 2.000 Sterlin’e kadar tazminat alabileceği belirtiliyor. Şirket, ihlalden etkilenen herkese bu parayı öderse tazminatın toplam boyutu 18 milyarı buluyor.
2018 yılında British Airlines da benzer bir saldırıya uğramış ve yarım milyona yakın yolcunun kişisel verileri çalınmıştı.

Madencilerin Yeni Hedefi Süper Bilgisayarlar



Geçtiğimiz dönemlerde şirket çalışanları tarafından usulsüz olarak kripto para madenciliği için de kullanılan süper bilgisayarlar, bu sefer saldırganların hedefi haline geldi ve başta İspanya, İngiltere ve İsviçre olmak üzere birçok ülkedeki süper bilgisayarlar hacklendi.
Kimliği tespit edilemeyen siber saldırganlar Avrupa’daki yüksek performanslı bilgisayar tesislerine saldırı düzenleyerek kripto madenciliği gerçekleştirdi, durumu fark eden uzmanlar saldırıların araştırılması için sistemleri kapattı. 
Saldırıda asıl hedefler üniversite kampüsleri oldu ve ilk tespit Edinburgh üniversitesinde gerçekleşti. Almanya’nın Baden- Württemberg eyaletindeki üniversiteler de saldırıya uğradıklarını, aynı bölgedeki 5 bilgisayarın ise İngiltere’deki benzer güvenlik açıklarına sahip olması yüzünden kapatıldığı belirtildi. 
Avrupa genelinde birçok cihazın etkilenmesine rağmen, inceleme ile ilgili bir detay verilmedi. Yaşanan olayların sebebinin gizliliği ihlal eden SSH girişleri olduğu iddia ediliyor.

Covid-19 Aşı Çalışmalarına Siber Saldırı



ABD, Çin devletiyle bağlantılı siber saldırganları Covid-19 ile ilgili yapılan aşı çalışmalarını ve tedavi yöntemlerini elde etmek için siber saldırılar düzenlemekle suçladı. 
FBI ve İç Güvenlik Bakanlığı, Çin kaynaklı gerçekleştirilen siber saldırılardan dolayı “sağlık hizmetleri, tıbbi ilaç araştırmaları çalışanları ve araştırmacıların doğrudan hedef alındıklarını bilmeli” şeklinde uyarıda bulundu. 
Benzer bir suçlama ise İngiltere’den geldi. İngiliz basınında yer alan haberlere göre İran ve Rusya’nın İngiltere’deki üniversitelere siber saldırı girişimlerinde bulunarak Covid-19 aşı çalışmalarını ele geçirmeye çalışıldığı belirtildi. 
CyberPeace Enstitüsü ise, sağlık sektörünü hedef alan siber saldırıları durdurmak için tüm devletlere çağrı yaparak birlikte çalışılması gerektiğini ve saldırıları durdurmak için kararlı adımlar atılması gerektiğini belirtti.



Siber saldırganlar 129 milyon Rus sürücüsünün kişisel bilgilerini satışa çıkardı. Bilgiler arasında araçlarla ilgili detaylı bilgiler de yer alıyor.

Microsoft Teams'in bildirim mesajlarını taklit eden yeni bir kimlik avı kampanyası başlatıldı. Sahte Teams sayfasına yönlendirilen kurbanların bilgileri çalınıyor.

RDP servisleri üzerinden gerçekleştirilen Brute Force ataklarında tüm dünya genelinde Mart 2020'den itibaren büyük bir artış gözlendi.

Kaspersky yayınladığı bir raporda 2020'nin ilk çeyreğinde gerçekleşen DDoS saldırılarının 2019'un ilk çeyreğine göre %80 oranında arttığını belirtti.

SAP, bulut tabanlı ürünlerinde ciddi güvenlik açıkları keşfetti ve müşterilerini bilgilendir. 400 binden fazla müşteri bu zafiyetlerden etkileniyor.

Avrupa'nın en büyük hastane zincirlerinden Fresenius, fidye yazılımı saldırısına uğradı. Saldırganların önemli dosyaları ele geçirmiş olabileceği ve fidye talebinin ödenmediği durumda bu belgeleri satışa çıkartabileceği belirtildi. 

Fransa'da yer alan Le Figaro gazetesinden 8 TB boyutunda veri sızdırıldı. Veriler içinde 7.4 milyar kayıt bulunuyor.

Popüler Yayınlar

Blog Arşivi