siber guvenlik bülteni etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster
siber guvenlik bülteni etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster

07 Mart 2022

Siber Güvenlik Bülteni - Şubat 2022

Bültenimizin Şubat ayına ait başlıkları; 
  • MuddyWater Türkiye'yi Hedef Aldı.
  • İş İlanlarına Dikkat
  • Fidye Yazılımı Saldırıları Artmaya Devam Ediyor.
  • İrlanda Sağlık Sistemi Zor Durumda Kaldı
  • NFT yatırımcılarına Oltalama Saldırısı

MuddyWater Türkiye'yi Hedef Aldı.

İran destekli APT grubu MuddyWater bu kez Türkiye'yi daha yaygın şekilde hedefleyen saldırılar ile karşımıza tekrar çıktı. Geçtiğimiz yıllarda TINA ile tespit ettiğimiz ve engellediğimiz saldırılardan birisi olan MuddyWater daha önceleri ABD, Avrupa, Orta Doğu ve Asya'da büyük ölçekli saldırılarda çok kez görüldü ve 2017 yılından beri aktif olarak saldırılarına devam etmektedir.

MuddyWater'ın saldırılarının dayandığı 3 ana motivasyon bulunmaktadır.

  • Devlet çıkarları amaçlı motive edilen grup casusluk yapmakta ve devletinin siyasi egemenliğini sürdürmeyi planlamaktadır.
  • Saldırıda bulunduğu ülkelerde özel kurum ve kuruluşlar, kamu kurumları ve üniversiteler gibi geliştirme yapılan noktalarda fikri mülkiyet hırsızlığı gerçekleştirerek, ekonomik çıkar sağlamaktadır.
  • APT gruplarının en çok tercih ettiği yöntemlerden biri olan fidye yazılımı (ransomware) saldırıları da, bu grubun ana odaklarındandır.


Grup saldırılarında ilk iletişim HTTP ile gerçekleşirken, sızma sonrası komuta ve kontrol sunucuları ile olan bağlantı DNS üzerinden gerçekleşmektedir.

MuddyWater grubunun Türkiye'de büyük kurumlar ve kritik kurumları da Kasım 2021'den beri taklit ettiği ortaya çıktı. Saldırılarını gömülü bağlantı içeren PDF ve XLS gibi dosyalar üzerinden gerçekleştirmekte, gönderilen dosyalar Sağlık Bakanlığı, İçişleri Bakanlığı gibi adreslerden geliyormuş gibi görünmektedir.

Oltalama saldırılarının gerçekleştirildiği bazı mail adresleri;

kardesdoreencontreve@ gmail[.]com
lillianwnwindrope@ gmail[.]com
doktor.x.2020@ gmail[.]com
ubuntoubunto1398@ gmail[.]com
a.sara.1995a@g mail[.]com

Bazı Komuta ve Kontrol Sunucu IPleri;

185[.]118[.]167[.]120
185[.]118[.]164[.]165
185[.]118[.]164[.]195
185[.]118[.]164[.]213

İş İlanlarına Dikkat

Saldırganlar bu sefer iş arayanları da hedeflemeye başladı! Bu saldırıların amaçları iş arayanları sahte reklamlar üzerinden oltalama metodu ile kandırmak, para ve bilgilerini çalmaktır. Saldırganlar, iş ilanı platformlarını taklit ederek veya platformlardaki zafiyetlerden faydalanarak kullanıcıları hedeflemektedir.

Bu tür saldırıların 2019 başından bu yana yoğun olarak gerçekleştirdiği ve arttığı, kişi başı ortalama 3,000 €'ya mal olduğu tespit edilmiştir.


Pandemiyle birlikte birçok alışkanlığımız değişti, bunların başında işe alım süreçleri de geliyor, özellikle uzaktan etkileşimlerde iş ilanlarının kurumsal kaynaklarından (kurum telefonu, e-postaları, web sitesi)  doğrulanması gerekmektedir.

Sahte iş ilanlarını fark etmek için unutmamamız gerekenler;
  • İş görüşmeleri yüz yüze veya güvenli görüntülü konuşmalar ile gerçekleştirilir.
  • Önemli geri dönüşlerin telefon ile gerçekleştirilmesi gerekmektedir.
  • Herhangi bir iletişim için kurum adresi dışındaki e-postalar dikkate alınmamalıdır.
  • Kurumlar, çalışanlarından ekipmanları yönlendirdiği sitelerden satın almasını talep etmezler.
  • Kurumlar, iş başvurunuzla ilgili sizlerden kredi kartı bilgisi talep etmezler.
  • İş ilanlarının bazıları kurum sayfalarında da yayınlanır, kurumdaki ilan bu şekilde teyit edilebilir.

Fidye Yazılımı Saldırıları Artmaya Devam Ediyor.

Geçtiğimiz yıl fidye yazılımı saldırıları %105 artarak, 623 milyonu aştı. 2021 yılında IoT zararlı yazılımları, kripto hırsızlığı da büyük artış gösterirken zirveyi fidye zararlı yazılımları aldı, 2019'a kıyasla %235 artış gösterirken, 2020'ye kıyasla 319 milyondan fazla artış gösterdi.

Fidye yazılımları sektörlere göre; 
- devlet kurumlarında %1885
- sağlık sektöründe %755
- eğitim alanında %152
- perakende sektöründe %21 artış gösterdi.

2021'de daha önce görülmemiş fidye zararlı yazılımı oranı %65 artış göstermiş durumda.

Kripto hırsızlığı ise %19 artış 97.1 milyon ile yeni zirvesini görmüş iken, IoT zararlı yazılımları ise %6 artış göstererek 60,1 milyona ulaşmıştır.

Log4Shell zafiyetiyle birlikte saldırıların boyutu da değişmiş ve zafiyet kullanılarak günlük 2,7 milyondan fazla istismar girişimi kaydedilmiştir.

Bu istatistiklere göre kurumların siber güvenlik yatırımları hızı 2020'ye oranla 2021'de iki katına çıkmış ve %12,4 olarak gerçekleşmiştir.

Siber saldırılarda yoğun olarak karşımıza çıkan zararlı yazılımlara karşı geleneksel çözümler (Firewall, Antivirüs vb.) etkinliğini kaybetmekte ve son aşamada çözümler yerini tamamen siber güvenliğe ve saldırı engellemeye odaklanan, statik imza tabanın dışında dinamik olarak da çalışan anlık analiz gerçekleştiren ve davranış analizi yapabilen daha modern çözümlere bıraktı. Bu konuda geliştirmiş olduğumuz çözümlere ilişkin bilgi almak isterseniz, TINA'ya ulaşabilirsiniz.

 İrlanda Sağlık Sistemi Zor Durumda Kaldı

İrlanda Sağlık Sistemi HSE (Health Service Executive) fidye saldırısına maruz kaldı. HSE, tüm ülke genelinde 4,000 lokasyon, 54 Akut hastanesi ve 70.000 cihaz ile hizmet vermekte. Mayıs 2021'de gerçekleşen saldırıyla da Conti fidye zararlı yazılımına maruz kalmış ve tüm BT sistemlerini kapatmak zorunda kalmıştı.

Araştırmalar, saldırının maliyetini henüz ortaya çıkarmış durumda, dosya kurtarma için talep edilen fidye, altyapı iyileştirmeleri, dış kaynak siber güvenlik danışmanlığı gibi giderlerle beraber 100 milyon dolara mal olmuştur.

Saldırı sonucunda birçok tedavi iptal edilmiş, Covid 19 aşıları durdurulmuş, ölüm ve doğum belgelerinde gecikme yaşanmış ve bundan kaynaklı sistemin tekrar çalışması haftalar almıştı. Devlet Bakanı ise şimdiye kadar gerçekleşmiş en büyük siber saldırı olabileceğini açıklamıştı.

 NFT yatırımcılarına Oltalama Saldırısı

Saldırgan grup bu sefer son zamanların en çok konuşulan yatırım alanlarından NFT yatırımcılarını hedefledi. OpenSea NFT pazarından 17 yatırımcıdan oltalama saldırıları ile yaklaşık 1.7 milyon dolar değerinde NFT çaldı.

Geçtiğimiz hafta hesaplarına giriş yapan yatırımcılar, sahip oldukları NFTlerin hesaplarında olmadığını farkettiler. NFT; takas edilemez jeton, ya da İngilizce'deki popüler ismiyle non-fungible token, dijital bir varlığın benzersiz olduğunu ve bu nedenle birbirinin yerine geçemeyeceğini onaylayan, blok zinciri adı verilen bir dijital defterde depolanan veri birimidir.

Orjinal OpenSea marketi kullanıcıları için yeni bir sözleşme hazırladı ve tüm kullanıcılarıyla paylaştı. Bu durumdan yararlanarak bu sözleşmeyi taklit ederek, hızlıca oltalama saldırısı hazırlayan ekip kısa sürede 17 kullanıcıdan 250 NFT (1.7 milyon dolar) çalmış oldu.

OpenSea aylık NFT işlemleri ortalama 3,68 milyar dolarlık bir işlem hacmi olduğunu düşününce, saldırganların dikkatini çekmeye devam edecek gibi görünüyor...

02 Eylül 2021

Siber Güvenlik Bülteni - Ağustos 2021

Bültenimizin Ağustos ayına ait başlıkları; 

  • GIGABYTE Fidye Saldırısına Uğradı
  • T-Mobile'da Müşteri Veri İhlali
  • ABD Terör Listesi Açığa Çıktı.
  • F5 Cihazlarında Kritik Zafiyetler

GIGABYTE Fidye Saldırısına Uğradı

GIGABYTE'a ransomware saldırısı gerçekleştirildi.

Bilgisayar donanım üretim (ana kart ve grafik kartı) liderlerinden olan GIGABYTE, geçtiğimiz günlerde çevrim içi servislerinin hizmet vermemesinin sebebinin fidye saldırılarından kaynaklı olduğunu açıkladı. Satış ve operasyon tarafında herhangi bir risk teşkil etmediğini açıklamalarına rağmen bazı sunucuları kapatmak zorunda kaldılar.

GIGABYTE daha fazla detay vermedi fakat saldırgan grup, hacking forumlarında RansomEXX fidye zararlısına uğradıklarını belirtti. Ayrıca saldırgan grup kurumdan 112 GB veri çaldığını ve çalınan verilerin içerisinde Intel, AMD, American Megatrends ile yapılan NDA (Gizlilik Sözleşmesi) dosyalarının olduğunu ve gerekli ödemenin yapılmaması durumunda ifşa edeceğini açıkladı. Ne kadarlık bir fidye talebi olduğu henüz netleşmiş değil.

RansomEXX fidye grubu daha öncede dünyaca ünlü Italya Lazio bölgesi sistemleri (Covid 19 aşı kampanyalarını etkiledi), Konico Minolta, Tyler Technologies, Brezilya Mahkeme Sistemleri ve CNT gibi kuruluşları da hedef almış ve başarılı olmuştu.

T-Mobile'da Müşteri Veri İhlali

T-Mobile'a siber saldırı sonucu 40 milyondan fazla müşteri kayıtlarına erişim sağlandı.

T-Mobile'ın 40 milyondan fazla müşteri verisi açığa çıktı. Veri ihlali, bilgilerin bir hacking formu üzerinde satışa çıkarılmasıyla tespit edildi ve T-Mobile tarafından inceleme başlatıldı. Yapılan incelemelerde çalınan verilerin kullanıcı adları, sosyal güvenlik numaraları, doğum tarihleri ve ehliyet bilgilerinden oluştuğu tespit edildi. Tespitlerin ardından T-Mobile ekibi otomatik aramayla müşterilerinin PIN'lerini değiştirmesi talebinde bulundu. Saldırının çok karmaşık şekilde olduğu bilgisi paylaşıldı.

Twitter üzerinden açıklama yapan bir şahsın, 100 milyondan fazla veriyi elinde tuttuğu ve bu verilerin 1990lı yılların ortalarından itibaren kayıtları içerdiğini ifade etti. T-Mobile ayrıca bu durumdan etkilenen tüm müşterilerine 2 yıllık kimlik hırsızlığı koruma hizmeti sunacağını açıkladı, bu hizmetlerin hali hazırda tüm müşterilere ücretsiz sunulmaması ise günümüzde siber saldırıların geldiği noktada, gerçekten anlaşılması çok güç bir durum.

ABD Terör Listesi Açığa Çıktı.

Sunucu yapılandırma hatası, FBI'ın gizli terörist izleme listesini açığa çıkardı

Yapılandırma hataları, kuruluşları zora sokmaya devam ediyor. Verinin dijitalleşmeye doğru evrilmesi her geçen gün riskleri de beraberinde getiriyor. FBI'ın özel ve gizli olarak tuttuğu şüpheli terörist listesi, Elasticsearch sunucusunun yanlış yapılandırması sonucu ifşa oldu ve bu veriler ile alakalı gerekli düzeltmeler ancak ifşadan 3 hafta sonra yapıldı. Veriler bir güvenlik uzmanı tarafından 19 Temmuz'da tespit edilip, gerekli kurumlara bilgi verildi ve verinin güvenli bir alana tamamiyle alması ise 9 Ağustos'u buldu.

Sızan veriler arasında yaklaşık 1.9 milyon veri bulunmaktadır, bunların arasında; ad soyad, doğum tarihi, uyruğu ve vatandaşlık bilgileri, cinsiyeti, doğum tarihi, pasaport numarası vb. bilgiler yer almaktadır. Bu sızan bilgiler ile, listede yer alan kişiler ve ailelerine karşı baskı oluşturulabilir ve insanlar dolandırılabilir.

FBI, ABD üzerinde ilk veri ihlali yaşayan kurum değil, 2017 yılında ABD Savunma Bakanlığı'nın da AWS S3 servisini yanlış yapılandırmasından dolayı dosyaları ifşa olmuştu.

Bulut sistem ile birlikte birçok kurum güvenlik dahil her türlü kontrol ve yürütmenin bulut sistemi şirketlerinde olduğu algısına kapılıyor, bu yüzden bulut sistemi kiralayan şirketler sizlere sadece bulut üzerindeki alanı verirler ve burada yapılacak konfigürasyonlar ve güvenlik denetimleri tamamen sizlere aittir. Bulut geçişleri sonrasında maalesef birçok şirketin verileri, yeterli kontrollü geçiş veya dış denetim ekibi olmamasından kaynaklı olarak açığa çıkıyor, bu yüzden bulut geçişleri sonrasında muhakkak güvenlik testlerinizi, dış denetimlerinizi yaptırın.

F5 Cihazlarında Kritik Zafiyetler

Kurumsal güvenlik ve ağ ürünleri şirketi F5 üzerinde kritik zafiyetler tespit edildi. F5 BIG-IP ve BIG-IQ cihazlarının birden fazla versiyonunda 29 zafiyet tespit edildi ve bu zafiyetlerin 13 tanesi yüksek seviye15 tanesi orta seviye ve 1 tane düşük seviyeden oluşmaktadır.

Bu zafiyetleri kullanan kimliği doğrulanmış kullanıcı sistemde kod yürütme, dosya oluşturma ve silme, cihazları pasif hale getirme gibi imkanlara sahip olabiliyor ve bu zafiyetler sistemlerin güvenliklerinin tamamen aşılmasına sebep olabiliyor. Bu ürünleri kullanan kuruluşların güvenilir olmayan kullanıcı erişimlerini tamamen kaldırması gerekiyor.

F5 ürünlerinde çıkan bu zafiyetler sonrasında, saldırganlar tarafından hedeflendiği görülmüştür, kullanan kuruluşların güncellemeleri hızlıca yapması ve güncellemesi olmayan sistemlerde ise kullanıcı yetkilerini kontrol etmesi gerekmektedir.

F5 tarafından çözüm getirilmiş olan güvenlik açıklarının listesi aşağıdadır;

  • CVE-2021-23025 (CVSS score: 7.2)
  • CVE-2021-23026 (CVSS score: 7.5)
  • CVE-2021-23027 ve CVE-2021-23037
  • CVE-2021-23028 (CVSS score: 7.5)
  • CVE-2021-23029 (CVSS score: 7.5)
  • CVE-2021-23030 ve CVE-2021-23033
  • CVE-2021-23032 (CVSS score: 7.5)
  • CVE-2021-23034, CVE-2021-23035, ve CVE-2021-23036 (CVSS score: 7.5)

Popüler Yayınlar