Siber Güvenlik Bülteni - Ekim 2021

 

Bültenimizin Ekim ayına ait başlıkları;  Dropbox Üzerinden Saldırı Hasta Verileri Yine Çalındı Accenture Fidye Yazılımı Saldırısına Uğradı Kurbanların %83'ü Fidye Ödemeyi Kabul Ediyor Üniversitede Veri İhlali

Dropbox Üzerinden Saldırı

İranlı hack gruplarının Dropbox üzerinden Ortadoğu'da havacılık ve telekomünikasyon endüstrilerine yönelik saldırı gerçekleştirildiği bildirildi. Saldırıyı gerçekleştiren grubun MalKamak isimli grup olduğu ve bu grubun İran hükümeti tarafından desteklendiği iddia ediliyor. Bu grubun 2018 yılından beri aktif olarak havacılık ve telekomünikasyon endüstrilerine karşı saldırı gerçekleştirdiği bilinmektedir; grup geçmişte Orta doğu dışında grup ABD, Avrupa ve Rusya'da da benzer saldırılar gerçekleştirdi. MalKamak grubunun saldırdığı kurumlara yerleştirdiği RAT (Remote Access Trojan) ağdan bilgi toplayıp, ağda komut çalıştırmaya olanak sağlamaktadır. MalKamak grubu  içeri yerleştirilen RAT ile olan iletişimi Dropbox API üzerinden sağlamakta, içerideki zararlı yazılımı Dropbox üzerinden güncelleyebilmekte ve bilgi toplamaktadır. Dropbox üzerinden gerçekleştirildiğinden dolayı bu iletişimin ağ izleme araçları tarafından tespiti oldukça zordur. 2018 yılından beri aktif olan zararlı ShellClient'ın günümüze kadar geldiği ve Temmuz 2021 yılında ilk olarak tespit edildiği düşünülüyor. Farklı bir açıdan bakarsak; zararlı yazılımların ne kadar güçlendiği ve hali hazırda güven kazanmış uygulamalar üzerinden de bizlere ulaşabileceği ve 3 yıl sonra ancak tespit edilebildiği de düşünüldüğünde, siber dünyada ne kadar zor bir alanda savunma mücadelesi verdiğimizi unutmamak gerekiyor.

Hasta Verileri Yine Çalındı

Pandemiyle beraber sağlık sektörüne yapılan saldırılar hız kesmeden devam ediyor. Sağlık alanında en çok saldırı hastanelere ve tabiki hasta bilgilerine yönelik olarak gerçekleşiyor. Son gerçekleşen saldırıda bir hastanenin 68,792 hastası etkilendi. KVKK ile birlikte her ne kadar kişisel veriler koruma altına alınmaya çalışılsa da henüz yeterli ölçüde temel önlemler alınmamakta; bir çok kurum veri toplamaya çok rahat bütçe ayırırken maalesef veri koruma konusunda yeteri hassasiyeti göstermemektedir. Dünyada olduğu gibi ülkemizde de hastaneler her geçen gün hedef olmaya ve ciddi anlamda bu saldırılardan etkilenmeye de devam ediyor. Sağlık sektörüne yönelik gerçekleştirilen saldırılar geçtiğimiz yıla göre %30 artmış durumda ve artmaya devam edecek gibi görünüyor. Hastaneye yapılan son saldırıda, hastaların ifşa olan verileri içerisinde ise şu bilgiler yer almaktaydı: Hasta İsimleri Doğum Tarihleri Sosyal Güvenlik Numaraları Ehliyet Numaraları Pasaport Bilgileri Banka Hesap Numaraları Tıbbi Bilgiler (Tanı, Tedavi, Tıbbı Kayıt ve Hasta Bilgileri)

Accenture Fidye Yazılımı Saldırısına Uğradı

Danışmanlık devi Accenture Ağustos 2021'de ifşa edilen bir fidye yazılımı saldırısında özel bilgilerin çalındığını doğruladı. Saldırı Lockbit fidye operatörleri tarafından gerçekleşti ve saldırgan grup 6 terabayttan fazla veri çaldığını iddia ederek, 50 milyon dolarlık fidye talep ettiler. Accenture yetkilileri bir fidye yazılımı sonrasında gerekli yedeklerden sistemin aktif hale getirildiğini belirtirken, hangi verilerin sızdırıldığı noktasında araştırmaların devam ettiğini ancak henüz net bir bilgi olmadığını belirttiler. Operasyonel olarak müşterilerin etkilenmediğini, ancak kurumun finansal olarak sorun yaşayabileceğini öngördüklerini de eklediler. Geçtiğimiz haftalarda yayınlanan FinCEN (ABD Hazine Bakanlığı Mali Suçları Engelleme Ağı) raporuna göre Bitcoin transferlerinin 5.2 milyar dolarlık bir kısmının en popüler 10 fidye yazılımı ödemelerine ait olduğu düşünülüyor. Bu kadar büyük bir ekonomik değer hesaba katıldığında, bundan sonraki dönemlerde de Accenture gibi büyük ölçekli firmalara milyon dolar seviyesinden fidye talep edilen saldırıların devam edeceği öngörülüyor ve unutmamak gerekir ki fidye saldırıları sadece büyük şirketleri değil, verisi olan her kurumu ve şahsı da tehdit eden bir saldırı türü olmaya devam ediyor.

Kurbanların %83'ü Fidye Ödemeyi Kabul Ediyor

Uluslarası bir kurumun yaptığı araştırmaya göre son 12 ayda fidye yazılımı saldırısına denk gelen kurumların %83'ü fidyeyi ödemekten başka çarelerinin olmadığını düşünüyor. 300 ABD'li BT yöneticisi ile yapılan ankette kurumların %64'ünün son 12 ayda en az bir kere fidye yazılımı saldırısına uğradığı belirtiliyor. Yine anketten ortaya çıkan diğer sonuçlar ise fidye yazılımı saldırısı sonrasında kurumların %50'sinin gelir kaybı ve itibar kaybı yaşadığını, %42'sinin ise müşteri kaybettiğini gösteriyor. Durum böyle olunca da birçok kurum fidye ödemekten başka çaresi olmadığını tekrar ediyor. Ankete katılan BT yöneticileri fidye saldırıları vektörlerini şu şekilde sıralıyor: - %53'i e-posta - %41'i uygulamalar - %38'i bulut sistemleri kaynaklı. Saldırıların pandemiyle beraber artış gösterdiği ve kurumlarında buna yönelik bütçelerini artırdığı görülüyor, saldırıya uğrayan kurumların %93'ü bütçe artırımına gidiyor. Ama unutmamak gerekir ki bu saldırılarda para kaybından daha da önemli olanı "itibar" ve "güven" gibi yıllara yaygın birikimlerin kaybını engellemektir; bundan dolayı bu tür saldırılara karşı profesyonel destek almak ve saldırılara karşı hazırlıklı olmak gerekiyor. Gerek saldırılara karşı önceden tedbir almak, gerekse saldırı anında destek almak üzere bizlere ulaşabilirsiniz. https://www.isr.com.tr/#SiberGuvenlik

Üniversitede Veri İhlali

ABD'de bir üniversitede eski ve yeni öğrencilere ait kişisel veriler sızdırıldı. Saldırıya uğrayan Colorado Üniversitesi yayınladığı güvenlik bildiriminde yaması uygulanmamış yazılımdaki güvenlik açığından kaynaklandığını belirtti. Uygulama öğrenci bilgilerini barındırıyordu ve zafiyetten kaynaklı olarak uygulamadan öğrencilere ait; adları, okul numaraları, adresleri, doğum tarihleri ve telefon numaraları gibi bilgiler sızdırıldı. Konuyla alakalı olarak öğrenciler bilgilendirildi ve gerekli yamalar yapıldı; fakat yamanın 3 ay önce yayınlandığı ve kurumdaki saldırının başarılı olmasının Bilgi İşlem ekibinin yamayı yapmakta gecikmesinden kaynaklı olduğu ortaya çıktı. Çalınan verilerin henüz nerede ne şekilde kullanıldığı konusunda ise herhangi bir bilgi bulunmamaktadır.

Siber Güvenlik Bülteni - Ağustos 2020

 

Siber Saldırılar Kapımızda

KVKK’nın veri ihlali bildirimlerindeki son aylardaki artış ve etkilenen kişilerin sayısının fazla olması siber saldırıların kapımızda olduğunu bizlere bir kez daha hatırlattı. 

Geçtiğimiz aylarda anne ve bebek ürünleri satışı yapan bir şirketin siber saldırıya uğraması henüz hafızamızda tazeyken Ağustos ayında sadece iki büyük  şirkette yaşanan veri ihlalinden toplamda 85 bin kişiye ait kişisel veri sızdırıldı. Kimlik ve iletişim bilgileri, hesap giriş mail ve parola bilgileri, profil fotoğrafı, yaşadığı il ilçe bilgileri gibi çeşitli veriler siber korsanların eline geçti.

Bu ve benzeri olaylardan etkilendiğinizi düşünüyorsanız öncelikli olarak dolaylı ve bağlantılı hesaplarınızın parola ve iletişim bilgilerini mutlaka güncellemelisiniz. Ayrıca yaşanabilecek bir oltamala saldırısına karşı da bundan sonra dikkatli olmalısınız.

Şirketlerin ise satın aldıkları ek güvenlik çözümlerinin dışında periyodik olarak farklı firmalara sızma testi yaptırmalarını ve çalışanlarına farkındalık eğitimi vermelerini öneriyoruz.

Intel Saldırıya Uğradı

Dünyanın en büyük teknoloji şirketlerinden olan Intel, siber saldırganların hedefi oldu ve şirket içinde gizli kalması gereken 20 GB boyutundaki dosya internete sızdırıldı.

Till Kottmann isimli bir yazılım mühendisinin ismiyle internette paylaşılan dosyaların bir çoğunun üzerinde gizli ve sır ibareleri yer alıyor. Yayınlanan dosyaları Mayıs ayında isimsiz bir siber korsandan aldığını itiraf eden Till Kottmann’ın açıklamalarına göre Intel’in aylardır saldırganların hedefinde olduğu anlaşılıyor.

Çalınan dosyaların içinde çeşitli platformlar için kaynak kod paketleri, yol haritaları, eğitim videoları, hata ayıklama araçları, referans kodları, SpaceX için üretilen kamera sürücüleri için ikililer gibi çok fazla değerli ve gizli bilgi yer alıyor. 

Intel tarafından yapılan açıklamada ise dosyalara erişim izni olan birisinin bu verileri indirip paylaşmış olabileceği belirtildi.

Kurbanlar Fidyeleri Ödüyor!

Son dönemlerde fidye saldırılarında özellikle büyük şirketler ve kurumların isimleri geçmeye başladı. Hedefli saldırılar gerçekleştiren siber saldırganlar kurumun ölçeğine göre çok büyük fidyeler talep ediyor.

Giyilebilir teknoloji devi ve ünlü GPS firması Garmin ile Utah Üniversitesi Temmuz ayında gerçekleşen fidye saldırısından sonra hackerlara fidye talebi ödediklerini açıkladı.

Utah Üniversitesi dosyaların yedekleri olmasına rağmen öğretim üyeleri ve öğrencilerin çalınan bilgilerinin güvenliği için 457 bin Dolar fidye ödemeyi kabul etti.

Garmin’de yaşanan saldırı sonrası ne kadar fidye ödendiği tam olarak açıklanmasa da siber korsanların 10 milyon Dolar talep ettikleri belirtildi.  Garmin’de yaşanan saldırı sonrası yaşanan kesintilerde, Garmin sistemini kullanan pilotların uçuş planlarını indiremediği belirtildi.

235 Milyon Hesap Bilgisi Sızdırıldı 

Güvenceye alınmamış veri tabanları oldukça ciddi güvenlik sorunları haline gelmeye başladı ve son zamanlarda büyük boyutlarda veri sızıntıları yaşanıyor. 

Bunlardan sonuncusu ise Comparitech isimli bir güvenlik araştırma şirketi tarafından tespit edilen, Hong Kong merkezli bir şirkete ait olan ve içinde Instagram, TikTok ve YouTube hesabı olan 235 milyon kullanıcı profilinin açığa çıktığı olay oldu

Çalınan verilerin yaklaşık 190 milyonu Instagram hesabı olurken 40 milyon veri ile TikTok uygulamasına ait veriler takip ediyor. Çalınan verilerin arasında profil ismi, gerçek ismi, profil fotoğrafı, cinsiteyi, takipçi satısı, takipçi, büyüme ve izlenme istatistikleri gibi veriler yer alıyor. Çalınan profillerin beşte birinde cep telefonu numarası veya e-posta adresi bilgisinin bulunduğu belirtildi.

VPN Pulse Secure Saldırıya Uğradı

Koronavirüs salgınından dolayı birçok şirketin evden çalışmaya geçmesi VPN'e olan ilgiyi arttırdı. Bu da siber saldırganların kurumsal sunuculara olan odaklarının daha da genişlemesine sebep oldu.

Bu ay gerçekleşen bir olayda ise 900’den fazla Pulse Secure VPN sunucusu kullanıcısının isim ve parolaları düz metin halinde bir hack formunda yayınlandı yayınlandı.

Yapılan açıklamada siber saldırganların CVE-2019-11510 zafiyetinden faydalanarak IP adresleri, Firmware sürümleri, VPN oturum çerezleri, son giriş bilgileri, lokal kullanıcıların listesi, SSH keyleri gibi bilgileri ele geçirdiği belirtildi.

Pulse Secure VPN kullananların CVE-2019-11510 zafiyetine karşı update yapmalarını, kullanıcı ismi ve parolalarını değiştirmelerini öneriyoruz.

TeamViewer Kullananlar Dikkat

Son zamanlarda koronavirüs sebebi ile uzaktan erişim uygulamalarına olan ilgi fazlasıyla arttı. Zoom’da tespit edilen güvenlik açıklarının ardından TeamViewer uygulamasında da çıkan açık tehdit yaymaya ve korku yaymaya başladı.

Zafiyetteki asıl endişelendiren olay ise, kurbanın çok fazla etkileşimini gerektirmeden, sadece zararlı yazılım yerleştirilmiş bir internet sayfasını ziyaret etmesi ve internet sayfasındaki bir URL’ye tıklaması oluyor.  Saldırganlar SMB kimlik doğrulama saldırısı tetikleyerek kurbanın Ip ve giriş bilgilerini ele geçirerek sistemdeki kullanıcı adı ve NTLM hashlerini saldırgana iletiyor.

TeamView 8 ile 15 sürümü arasındaki her versiyon için zafiyet ile ilgili güncelleme yayınladı.

Türkiye'de de çok fazla kullanıcısı olan ücretsiz görsel indirme platformu Freepik siber saldırıya uğradı. 8 milyon kullanıcının bilgileri çalındı.

Siber saldırganların en çok saldırdığı sektörler arasında sağlık, üretim, inşaat, finans ve perakende sektörü bulunuyor.

FBI yaptığı açıklamada İran'lı siber saldırganların F5'ın BIG IP açığını kullanarak şirketlere saldırdığını belirtti. 

2010 yılından bugüne kadar İngiltere'deki üniversitelerin üçte biri ransomware saldırısına uğradı.

Microsoft bu ay 13 farklı ürününde 120 güvenlik açığı için güncelleme yayınladı. 17'si kritik düzeyde olan saldırıların 2 tanesi sıfırıncı gün zafiyeti için.