Siber Güvenlik Bülteni - Temmuz 2022

Bültenimizin Temmuz ayına ait başlıkları;  Bir Milyar Kişinin Verileri Sızdırıldı AstraLocker Fidye Yazılımı Operasyonlarını Durdurdu Fortinet Yüksek Güvenlik Açıkları İçin Yama Yayınladı Sahte İş İlanları Can Yakmaya Devam Ediyor FileWawe Güvenlik Zafiyetleri Mobil Cihazlarda Tam Kontrol Sağlıyor

Bir Milyar Kişinin Verileri Sızdırıldı.

Veri sızıntı haberlerini neredeyse her gün görmeye başladık. Big Data (büyük veri) kavramıyla birlikte yoğun olarak veriler dijital ortama aktarılmaya başlandı. Bu dijitalleşme esnasında ise veriler yönetilemeyen ve korunamayan bir hale geldi. Bu durumun son vakası da şimdiye kadar en büyük ihlallerden biri olan 1 milyara yakın Çin vatandaşının verilerinin ifşası oldu.   Veri sızıntısının Polis sisteminde tespit edilen bir arka kapı aracılığıyla gerçekleştiği düşünülmektedir. Online olarak yayınlanan veritabanında kullanıcılar istediği kişinin verilerine ulaşabilir hale geldi. Bir hacker forumunda 23 terabayttan fazla verinin de "10 BTC karşılığı satılık" ilanı verilmesi sonucu web sitesi erişime kapatıldı. Çalınan veritabanının Şanghay polisi tarafından derlendiği ve veritabanında vatandaş isimleri, adresleri, cep telefonları, ulusal kimlik numaraları, doğum tarihleri ve yerleşim yerlerinin yanı sıra polis ile yapılan telefon görüşmesi kayıtlarının da yer aldığı iddia edildi.

AstraLocker Fidye Yazılımı Operasyonlarını Durdurdu

Fidye yazılımı saldırıları ve talep edilen miktarlar artmaya ve boyut değiştirmeye devam ediyor. Fidye yazılımı grubu AstraLocker geçtiğimiz ay fidye saldırılarını durdurduğunu ve daha önceki saldırılara ilişkin şifre çözücülerini yayınladığını duyurdu. Artık fidye yazılımları yerine, operasyonlarına kripto hırsızlığı tarafında devam edeceğini açıkladı. Daha önce bu tür karar alan gruplara yine şahit olmuştuk, bunların altındaki en büyük neden kolluk kuvvetlerinin yoğun baskılarının ve çalışmalarının olduğunu biliyoruz. Fakat bazı grupların operasyonları durdurma kararı sonrası, ekipten ayrılanların yine farklı gruplar halinde saldırılara devam ettiği de görülmektedir. AstraLocker 2.0 adıyla Microsoft Word belgeleri kullanarak oltalama saldırılarıyla karşılaşmıştık. Birçok fidye yazılımı grubu gibi AstraLocker'ın da Monero kullandığı bilinmektedir.

Fortinet Yüksek Güvenlik Açıkları İçin Yama Yayınladı

Fortinet çeşitli ürünlerinde çıkan zafiyetler için yama yayınladı. Bu zafiyetlerden etkilenen ürünler; FortiADC, FortiAnalyzer, FortiManager, FortiOS, FortiProxy, FortiClient, FortiDeceptor, FortiEDR, FortiNAC, FortiSwitch, FortiRecorder ve FortiVoiceEnterprise. Yaması yayınlanan zafiyetlerin 4'ü yüksek önem derecesine sahiptir, bunlar; CVE-2022-26117, CVE-2021-43072, CVE-2022-30302 ve CVE-2021-41031'dir. Daha öncede Fortinet VPN cihazlarındaki zafiyetler kullanılarak, iç ağa sızılmış ve fidye yazılımı saldırısı gerçekleştirilmiş, birçok şirket mağdur olmuştu. Bu tür saldırılardan etkilenmemek, dışarıya açık sistemlerinizin güvenliğini sağlamak için en son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebini buradan başlatabilirsiniz.

Sahte İş İlanları Can Yakmaya Devam Ediyor

Pandemi dönemiyle birlikte ülkemizde de uzaktan çalışma popüler hale geldi. Pandeminin son günlerde vaka sayılarının azalmasıyla birçok şirket ofislerine dönmeye başladı ve bazı çalışanlar bu durumdan çokta memnun kalmadı ve yeni iş arayışına girmeye başladı. Tam da buradaki insan odaklı zafiyeti gören saldırgan gruplar sahte iş ilanları oluşturup, bir başvuru formu gibi PDF olarak görünen zararlı yazılımları göndermeye başladı. Çok iyi ücretler ve imkanlar teklif eden saldırgan gruplar ağına birçok kıdemli çalışanı düşürmeyi başardı. Bu süreçte ağırlıklı kripto para borsalarında çalışanlara gerçekleştirilen saldırılar ile ağa sızan saldırgan gruplar kripto borsalarından milyonlarca dolarlık kripto para çaldılar. Ayrıca yapılan açıklamada blok zinciri projelerinin bu tür saldırılar ve zafiyetlerden kaynaklı kaybının yılın ilk altı ayında 2 milyar dolardan fazla olduğu belirtiliyor. Benzer saldırıları da yoğun olarak ülkemizde görmekteyiz. Kullanıcıları hedefleyen saldırganların en aktif kullandığı alanlar E-posta, Linkedin ve SMS olarak karşımıza çıkıyor. Kullanıcılara özel olarak hazırlanmış dosyaları veya linkleri paylaşan saldırgan gruplar, bu kullanıcılar aracılığıyla hem kullanıcıları hem de çalıştıkları şirkete sızmaya olanak sağlamış oluyor.

FileWawe Güvenlik Zafiyetleri Mobil Cihazlarda Tam Kontrol Sağlıyor

Şirketlerin akıllı cihazlara olan ihtiyacı her geçen gün artıyor. Bu cihazlara olan ihtiyaçlar haliyle kurumların dışarı açık başka bir kapı oluşturuyor, bunun için ise birçok kurum cihazların güvenliğini sağlamak adına MDM Cihaz Yönetimi (Mobile Device Management) çözümlerine başvuruyor.  Bu çözümler sayesinde BT ekibi merkezi bir sunucu üzerinden cihazların işletim sistemlerinin, güncellemelerin ve kullanılan uygulamaların yönetilmesine olanak sağlıyor ve şirketler bu şekilde hem cihazları hem de çalışanlarını ve bilgilerini kontrol altına alabiliyor.  Geçtiğimiz hafta FileWave'in MDM ürününde iki kritik zafiyet tespit edildi; kimlik doğrulama atlatma zafiyeti (CVE-2022-34907) ve sabit kodlanmış şifreleme anahtarı zafiyeti (CVE-2022-34906). Araştırmalara göre ürünü kullanan büyük işletmeler, eğitim ve devlet kurumları da dahil 1.100'den fazla kurum bu zafiyetlere maruz kaldı ve/veya kalabilir durumda. Şirket hızlıca bir güncelleme yayınladı ve kullanıcıların acil olarak sürümlerini güncellemelerini önerdi. Bu tür 3. parti ürünlerin güvenlik amaçlı kullanımı sırasında bir anda bir silaha dönüşebileceğinin farkında olunması ve bu doğrultuda planlama yapılmasının unutulmaması gerekiyor. Bu zafiyetler sonucu kurum ağına sızılarak tüm ağda tam yetki tanımı yapılarak ağda istenilen aksiyon alınabilir, bu testlerde ise kanıtlandı ve kurum ağında yetkiyi alan güvenlik uzmanları tüm ağa ransomware bulaştırmayı başardı. Geçtiğimiz yıl Kaseya tarafındaki zafiyet aracılığıyla birçok kurum etkilenmiş ve bizlere tekrar 3. parti firmalar ile olan çalışmalarda da ne kadar dikkatli olmamız gerektiğini göstermişti.

Siber Saldırılara Karşı TINA Çözümlerimiz

En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebini buradan başlatabilirsiniz.

Siber Güvenlik Bülteni - Haziran 2022

 

Bültenimizin Haziran ayına ait başlıkları;  Fidye Yazılım Grupları Taktik Değiştiriyor VPN Servisleri Dert Açmaya Devam Ediyor 900.000 Kubernetes Kümesi Açığa Çıktı QNAP NAS Cihazları Tekrar Hedef Oldu Tedarikçi Saldırıları Artıyor

Fidye Yazılım Grupları Taktik Değiştiriyor

Saldırgan çeteler, gelirleri birçok kurumsal şirketi geçmesine rağmen, her geçen gün saldırı ölçeklerini artırmaya ve daha da acımasız olmaya devam ediyorlar. Fidye yazılımı çeteleri bilindiği üzere kurum ağına sızarak, bilgileri şifreler ve çalar. Sızma metotları ise değişiklik göstermektedir. Kimi zaman çalışanlar hedeflenerek e-posta aracılığı ile, kimi zaman kurum dışarısına açık olan zayıf parolalı veya parolasız sistemler üzerinden gerçekleşir. Fakat özellikle son zamanlarda dışarıya açık olan VPN servislerinde çıkan zafiyetleri kullanarak sisteme sızmaktadırlar. ALPHV fidye yazılımı çetesi diğer adıyla BlackCat yeni bir metoda imza attı ve bir veritabanı web sayfası oluşturdu. Bu şekilde herhangi bir kurum veya bir personel kendi ile alakalı çalınmış bir veri var mı diye aratabiliyor, buradaki amaç ise KVKK/GDPR gibi otoriterelere olan yükümlülüğü kullanarak fidye saldırısına uğramış kurumların hızlıca ödeme yapıp bu veritabanından kendisini kaldırılmasını sağlamak. Bu yeni metot ilk kez bir otel saldırısı sonrasında gerçekleşti. Otele sızan grup çaldıkları otelde kalanlar listesi, çalışanların sosyal güvenlik numaraları ve Spa kullanan müşteri listelerini arama yaparak kontrol etme imkanı sağladı. Bu web sayfasının İnternet'e açık olması dolayısıyla, yakın zamanda ifşa olmuş birçok kurumun verilerinin arama motorlarında da listeleneceğini söylemek zor değil.

VPN Servisleri Dert Açmaya Devam Ediyor

Kurumlar pandemi öncesinde aktif olarak kullandıkları VPN servislerini, pandemi ile beraber vazgeçilmez bir noktaya taşıdılar. Bu durumdan ise en çok faydalanan kurumlar veya çalışanların aksine siber saldırganlar oldu. Son zafiyet ise Cisco'da tespit edildi. CVE-2022-20825 kodunu alan zafiyet, CVSS 10.0 üzerinden 9.8 önem derecesine sahip. HTTP paketlerinin yetersiz kullanıcı doğrulaması sebebiyle, dışarıya açık olan web yönetim arabirimine özel hazırlanmış bir istek gönderilerek, kök düzeyinde komut çalıştırmaya imkan sağlamaktadır. Buna rağmen Cisco, etkilenen sistemlerinden Small Business RV ürünlerinin desteği biten sürümleri için herhangi bir yama yayınlamayacağını açıkladı. Yapılan araştırmalara göre; Kurumların yaklaşık %93'ü aktif olarak VPN servislerini kullanıyor. Kurumların %72'si VPN servislerinin açık olmasından ve çıkan zafiyetlerden dolayı siber vakalardan endişe duyuyor. Kurumların %67'sinin geleneksel VPN kullanmanın ötesinde bir alternatif arayışı sürüyor. Kurumların %59'u VPN servislerinde çıkan zafiyetlerden dolayı Zero Trust (Sıfır Güven) gibi ek güvenlik yaklaşımlarına geçiş çalışmaları yapıyor. Gartner raporuna göre ise 2023 yılında kurumların %60'ının VPN'leri aşamalı olarak kaldırıp, Zero Trust Network Access (Sıfır Güven Ağ Erişimi) teknolojilerine geçiş yapacağını öngörüyor.

900.000 Kubernetes Kümesi Açığa Çıktı

Bulut teknolojilerin kullanımının artması hayatımızda birçok teknolojik çözümünde evrilmesine sebep oldu, bunlardan öne çıkan başlıca teknolojilerden birisi de şüphesiz ki Kubernetes'dir. Bu tür teknolojilere geçişlerin plansız ve uzman olmayan ekipler tarafından yönetiliyor olması ise yeni siber dünyadaki en son büyük risk olarak ortaya çıkıyor. Son bulguya göre yanlış yapılandırılmış 900.000 Kubernetes Kümesi dışarıya açık hale geldi, bu servislerin dışarı açılması şirketleri siber saldırıya maruz bırakıyor. Arama motorları üzerinden ve tarama araçlarıyla internete açık hale gelen %65'i (585.000) ABD, %14'ü Çin, %9'u Almanya, %6'sı Hollanda ve İrlanda'dan olmak üzere 900.000 Kubernetes Kümesi siber saldırıya açık halde bulunmaktadır. Bunların içerisinde veri ifşasına sebep olan birçok kümede de yer almaktadır. Açıkta bulunan sunucular arasında  en fazla kullanılan TCP portları 443, 10250 ve 6443 olarak yer almaktadır. Bu sunucular üzerinde direkt ele geçirilmesini engelleyen korumalar mevcuttur, fakat uzaktan sömürülebilir bir zafiyetin çıkmasıyla büyük veri hırsızlığına uğrayacaktır.

QNAP NAS Cihazları Tekrar Hedef Oldu

Geçtiğimiz dönemlerde yedekleme sistemi QNAP NAS cihazlarının çokça hedeflendiğini biliyoruz. Fidye yazılımı grubu ech0raix diğer adıyla QNAPCrypt, tekrar QNAP NAS sistemlerini hedeflemeye başladı. İnternete açık olan NAS cihazlarını hedefleyen grup bruteforce (kaba kuvvet) yöntemiyle 2019 yılından itibaren QNAP müşterilerine büyük ölçekli saldırılar gerçekleştirdi. QNAP'ı periyodik olarak hedefleyen grup Şubat 2022'den bu yana herhangi bir kayıtlı saldırı gerçekleştirmemiş fakat Haziran 2022 ile birlikte tekrar QNAP sistemlerini hedeflemiştir. Saldırı detayları ile alakalı QNAP tarafından yapılmış henüz bir açıklama bulunmamaktadır. NAS'ınızı saldırılara karşı koruma yöntemleri;   NAS sistemlerinizin güncellemelerini yakından takip ediniz. Hesaplarınız için güçlü bir parola oluşturmalısınız. Çevrimdışı olarak yedeklerinizin kopyalarını alınız. Bruteforce'u engellemek için IP erişim korumasını aktif hale getiriniz. Zero Trust yaklaşım ile dışarı açık olan tüm servislerinizi güvenli hale getiriniz.

Tedarikçi Saldırıları Artıyor

Fidye yazılımı grupları her geçen gün saldırı yüzeylerini genişletmeye devam ediyor. Fidye ödemeyi kabul eden kurumlar ile beraber gittikçe zenginleşen gruplar, hem hedef sektörlerini hem de taktiklerini genişletiyor. Son kurban ise Toyota Grubu'na ait parça üreticisi Toyota Boshoku'nun bir parçası olan TB Kawashima'nın yan kuruluşlarından biri oldu. TB Kawashima, ABD, Çin, Tayland, Endonezya ve Hindistan'da ofisleri ve fabrikaları bulunan otomobiller, uçaklar, trenler ve tiyatrolar için iç mekan kumaşı üretmektedir. Saldırı meşhur Lockbit fidye yazılımı grubu tarafından gerçekleştirildi. TB Kawashima tarafından henüz bir doğrulama gelmese bile Lockbit web sayfasında veritabanını satışa çıkardı. Kurumun web sitesi kapatılırken, hem siber güvenlik ekibi hem de kolluk kuvvetler konuyla alakalı araştırmalara başladı. Siber güvenlik üzerine Nisan 2020 ve Şubat 2022 arasında yapılan araştırmalara göre otomotiv ve ulaşım sektöründeki şirketler fidye yazılımı grupları için ilk 3'te yer almaya başladı. Daha önce fidye saldırısına uğrayan Tesla, Honda, Nissan, Toyota gibi dünya operasyonları olan şirketleri gördük, fakat tedarikçilerinde hedeflenmesi bu tür dünyaya yaygın operasyonu olan ve buradaki üretime bağlı olarak hareket eden tüm şirketleri ciddi zarara sürüklemekte ve itibar kayıplarına sebebiyet vermektedir. Lockbit fidye yazılım grubu ise her geçen gün fidyelerini daha hızlı alabilmek ve daha fazla kuruma erişmek için taktik değiştirmeye devam ediyor, son güncellemede kurumlara sızmak için yeni taktik ve bilgi verenler için "Kötücül - Bug Bounty ödül" programı açtığını duyurmuştu.

Siber Saldırılara Karşı TINA Çözümlerimiz

Siber Güç etkinliğinde ziyaretçilerimize bahsettiğimiz en son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebini buradan başlatabilirsiniz.

ToddyCat Hacker Grubu, MS Exchange Sunucularını Hedefliyor

Çin bağlantılı olduğu düşünülen ToddyCat grubu, ağırlıklı olarak kamu ve askeri kuruluşlar olmak üzere Asya ve Avrupa'yı hedeflemeye devam ediyor.

Aralık 2020'den beri aktif olarak saldırıları görülüyor. Mart 2021 ProxyLogon zafiyetinden de faydalanarak Asya ve Avrupa'da özel ve kamu kuruluşlarının e-posta sunucularını hedeflediği biliniyor.

ToddyCat APT

ToddyCat grubunun genel olarak kullandığı senaryo; 

Genel olarak 2 farklı zararlı yazılım kullanıldığı biliniyor, Samurai ve Ninja. 

Samurai; saldırganlara İnternet'e yönelik Web sunucularında kalıcı erişim sağlamak için tasarlanmış pasif bir arka kapıdır.

Ninja; güvenliği ihlal edilmiş sistemlerde sömürü sonrası faliyetleri gerçekleştirmek için kullanılan zararlı yazılımdır.

Dışarı açık olan genellikle 80. ve 443. portlarda çalışan Samurai zararlı yazılımı ile zafiyeti bulunan Microsoft Exchange sunucularını hedefleyerek ProxyLogon zafiyetini kullanarak sistemlere sızdığı ve devamında Ninja yazılımı ile iç ağda yanal hareketler gerçekleştirerek ağdaki diğer sistemlere de ulaşarak ağda yüksek profilli bir kullanıcı hakkı elde ettiği görülüyor. ProxyLogon zafiyetini ilk kullanan gruplardan biri olarak dikkat çekiyor. Uzak sistemleri kontrol etmek, tespit edilmesini engellemek, dosya sızdırmak, proxy bağlantısı ile kendi trafiğini oluşturmak ve hedeflenen ağın derinliklerine sızmak en büyük özellikleri arasında yer alıyor.

Grup ilk saldırılarında Tayvan ve Vietnam devlet ve askeri kuruluşlarını hedefledi. ProxyLogon zafiyeti sonrasında ise Rusya, Birleşik Krallık, Slovakya, Hindistan, İran, Pakistan, Endonezya ve Malezya gibi ülkelerde de saldırılarına devam etti.

Bu tür saldırılardan etkilenmemek, dışarıya açık sistemlerinizin güvenliğini sağlamak için BU SALDIRIDA TINA NE FAYDA SAĞLAYABİLİRDİ? alanında çözümlerimizi bulabilirsiniz. bizlerle ZOOM üzerinden de iletişime geçebilirsiniz.

Ninja C2
149.28.28[.]159
eohsdnsaaojrhnqo.windowshost[.]us

File paths
C:\inetpub\temp\debug.exe
C:\Windows\Temp\debug.exe
C:\Windows\Temp\debug.xml
C:\Windows\Microsoft.NET\Framework64\v2.0.50727\Temporary ASP.NET Files\web.exe
C:\Users\Public\Downloads\dw.exe
C:\Users\Public\Downloads\chrome.log
C:\Windows\System32\chr.exe
C:\googleup.exe
C:\Program Files\microsoft\exchange server\v15\frontend\httpproxy\owa\auth\googleup.log
C:\google.exe
C:\Users\Public\Downloads\x64.exe
C:\Users\Public\Downloads\1.dll
C:\Program Files\Common Files\microsoft shared\WMI\iiswmi.dll
C:\Program Files\Common Files\microsoft shared\Triedit\Triedit.dll
C:\Program Files\Common Files\System\websvc.dll
C:\Windows\Microsoft.NET\Framework\sbs_clrhost.dll
C:\Windows\Microsoft.NET\Framework\sbs_clrhost.dat
C:\Windows\Microsoft.NET\Framework64\v2.0.50727\Temporary ASP.NET Files\web.xml
C:\Users\Public\Downloads\debug.xml
C:\Users\Public\Downloads\cache.dat
C:\Windows\System32\config\index.dat
C:\Windows\Microsoft.NET\Framework\netfx.dat
%ProgramData%\adobe\2.dll
%ProgramData%\adobe\acrobat.exe
%ProgramData%\git\git.exe
%ProgramData%\intel\mstacx.dll
%ProgramData%\microsoft\drm\svchost.dll
%ProgramData%\microsoft\mf\svchost.dll
%ProgramData%\microsoft\mf\svhost.dll
%program files%\Common Files\services\System.Core.dll
%public%\Downloads\1.dll
%public%\Downloads\config.dll
%system%\Triedit.dll
%userprofile%\Downloads\Telegram Desktop\03.09.2021 г.zip
%userprofile%\Downloads\Telegram Desktop\Тех.Инструкции.zip
%userprofile%\libraries\1.dll
%userprofile%\libraries\chrome.exe
%userprofile%\libraries\chrome.log
%userprofile%\libraries\config.dll
C:\intel\2.dll
C:\intel\86.dll
C:\intel\x86.dll

Registry Keys
$HKLM\System\ControlSet\Services\WebUpdate
$HKLM\System\ControlSet\Services\PowerService
$HKLM\SOFTWARE\Classes\Interface\{6FD0637B-85C6-D3A9-CCE9-65A3F73ADED9}
$HKLM\SOFTWARE\Classes\Interface\{AFDB6869-CAFA-25D2-C0E0-09B80690F21D}

BU SALDIRIDA TINA NE FAYDA SAĞLAYABİLİRDİ?

TINA "Breaking The Attack Chain" metodolojisi ile siber savunma sağlar; başarılı bir siber saldırıları için gereken çeşitli aşamaları kırmak ve saldırıyı engellemek üzere farklı teknolojiler üretmektedir. 

- Görünürlüğü Engelleme: TINA'nın en yeni ürünü ile servislerin İnternet üzerinden görünürlüğü ve erişilebilirliği kontrol edilebilmekte ve saldırı riski minimize edilmektedir.

- Yatay İlerlemeyi Engelleme: TINA Advanced Threat Protection modelleri, ağ içerisine sızma olması durumunda yatay ilerlemeleri tespit etmektedir.

- Merkeze Dönüş Bağlantılarını Engelleme: TINA Advanced Threat Protection modelleri, ağ içerisine sızma olması durumunda saldırının devamındaki çalışmalar için gereken merkez ile iletişime geçme (C&C) bağlantılarını engellemek üzere geliştirilmiş teknolojileri de barındırmaktadır.

Siber Güç etkinliğinde ziyaretçilerimize bahsettiğimiz en son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ZOOM toplantı talebini buradan başlatabilirsiniz.

Siber Güvenlik Bülteni - Mayıs 2022

 

Bültenimizin Mayıs ayına ait başlıkları;  Hatırlatma! Siber Güç Türkiye'de Buluşalım Follina, Microsoft Zeroday Zafiyeti Türkiye Havayolu Şirketi Verileri Açığa Çıktı Mobil Uygulamalarla Savaş Devam Ediyor Öğrenci Verileri İfşa Oldu Sosyal Mühendislik Saldırıları Hız Artırıyor

Siber Güç Türkiye'de Buluşalım

“Siber Güç Türkiye” Yatırımcı / Girişimci Buluşmaları ve İş Geliştirme Etkinliği TÜBİTAK Marmara Teknokent'te 8 Haziran 2022 Çarşamba günü saat 08:00 – 16:00 saatleri aralığında bizlerin de katılımıyla “Siber Güç Türkiye” Yatırımcı / Girişimci Buluşmaları ve İş Geliştirme etkinliği gerçekleştirilecektir.   Etkinlikte bizler de ISR Bilgi Güvenliği olarak ev sahipliğinde bulunacağız.   Uzun bir aradan sonra tekrar yüz yüze gelecek olmak ise ayrıca heyecan verici! Çay, kahve ve siber güvenlik üzerine sohbet etmek isteyen herkesi bekleriz.   HABERLERİ BİR DE BİZDEN DUYUN! Etkinlikte sizlere sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan en son TINA çözümümüz hakkındaki çalışmalarımızı ve mevcut Anti-Threat serisi ürünlerimizdeki gelişmeleri de anlatacağız. Yürüttüğümüz bu çalışmalarımıza yönelik fikirleriniz bizler için çok değerli; hem sizleri dinlemek hem de bizden haberleri paylaşmak üzere standımıza da bekleriz. Katılım tüm kurum / kişilere açık ve ücretsizdir. SİBER GÜÇ TÜRKİYE NEDİR? “Siber Güç Türkiye” Yatırımcı / Girişimci Buluşmaları ve İş Geliştirme etkinliğinde, şirketlerin iş birliğini arttırma ve iş geliştirme süreçlerinin yönetilebilmeleri için özel etkileşim alanları oluşturulacak, siber güvenlik firmalarının projelerini sunabileceği özel buluşma alanları sağlanacaktır. Katılım tüm kurum / kişilere açık ve ücretsizdir. Etkinliğe girişimci, firma veya yatırımcı olarak katılım sağlamak isteyenler www.sibergucturkiye.org adresinden başvuru yapabileceklerdir.

Follina, Microsoft Zeroday Zafiyeti

Microsoft Office belgeleri ile tetiklenebilen, MSDT (Microsoft Support Diagnostic Tool) kullanarak powershell üzerinde uzaktan komut çalıştırmaya olanak sağlayan, topluluk tarafından "Follina" olarak adlandırılan kritik bir zafiyet tespit edildi. Follina güvenlik açığı CVE-2022-30190 olarak tanımlandı. Araştırmacılar analiz yapılan örneklerle Follina'nın daha önce Rusya, Hindistan, Filipinler, Nepal gibi noktaları hedeflediğini gördüler. Microsoft tarafından zafiyetin çok ciddiye alınmaması ve yeterli açıklama yapılmaması ise kullanıcılarda bir çok soru işareti bıraktı. Şu an protokolün yer aldığı aktif tüm sistemler etkilenmektedir. Follina zafiyetini önemli kılan diğer bir husus ise, Microsoft Office macroları devre dışı olsa bile çalışabilir olmasıdır. Henüz yayınlanmış resmi bir güncelleme mevcut değildir. Bunun için MSDT URL protokolünün devre dışı bırakılması önerilmektedir (Bu protokolü devre dışı bırakana kadar, gelen e-postalardaki office dosya eklerine karşı çalışanlarınızı lütfen uyarınız); MSDT URL protokolünü devre dışı bırakma; 1. Cmd'yi yönetici olarak çalıştırın, eğer sisteminizde Cmd mevcut değilse Powershell'i yönetici olarak çalıştırın. 2. MSDT protokol anahtarını yedeklemek için; reg export HKCR\ms-msdt D:\Backup\msdt. reg komutunu çalıştırın. 3. MSDT protokolünü devre dışı bırakmak / silmek için; reg delete HKCR\ms-msdt 4. MSDT protokolünü tekrar devreye almak için 2. adımda oluşturduğunuz yedek dosyası üzerinden çift tıklayarak veya komut satırından reg import D:\backup\msdt. reg ile tekrar kayıt defterine ekleyebilirsiniz.

Türkiye Havayolu Şirketi Verileri Açığa Çıktı

Küçük bir Türk Havayolu şirketi, AWS (Amazon Web Services) üzerindeki yanlış yapılandırmalar sonucunda uçuş verileri ve kişisel bilgilerin de içerisinde olduğu 6.5 TB veri sızdırdı. Açığa çıkan dosyalar 23 milyon adedi bulmuş durumda, içerisinde hassas uçuş verileri, uçuş çizelgeleri, revizyonlar, sigorta belgeleri, uçuş öncesi kontrollerde tespit edilen sorunların ayrıntıları ve mürettebat hakkında kişisel veriler bulunmaktadır. Yanlış yapılandırılan sunucu üzerinde Pegasus Havayolları tarafından geliştirilen EFB yazılımının da kaynak kodlarının açığa çıktığı, düz metin halde parolalar ve gizli anahtarlar da tespit edildi. Bu anahtarlar ve parolalar kullanılarak yazılımda manipülasyon yapılabilir hale gelmiş oldu. Durum ile alakalı yetkilileri bilgilendiren uzmanlar yaklaşık 3 haftada gerekli iyileştirmelerin yapıldığını açıkladı. Henüz kayıtlara girmiş bir istismar girişimi bulunmamaktadır.

Mobil Uygulamalarla Savaş Devam Ediyor

Bilgisayarlar üzerinde bir uygulama kurmak eskiden çoğu kişi için çok zordu ve çevresinden destek almak zorundaydı. Mobil cihazlar ile uygulamalar da artık hayatımızın vazgeçilmezi haline geldi ve artık uygulamalara ulaşmak ve indirip kurmak akıllı telefon kullanan herkesin destek ihtiyacı olmadan ve hızlıca halledebildiği bir çözüm halinde sunuluyor. Durum böyle olunca kullanıcıların büyük çoğunluğu uygulamaları sorgulamadan yükleyebiliyor, en önemli sebebi de uygulama marketlerinin arkasında Apple, Google gibi büyük firmaların bulunmasında yatıyor. Bu konuda otorite olarak sayılabilecek Apple ve Google'da güvenli uygulamaları sunmaya yönelik birçok yatırım ve iyileştirmeler yaparak dolandırıcılığa açık uygulamaların önünü kesmeye devam ediyor. Fakat bu yatırımlar şu an yetersiz kalıyor ve kullanıcılar bu tür uygulamalar ile tamamen baş başa kalıyor. Siber Farkındalık ise burada kullanıcıyı bu tür dolandırıcılıklara karşı savunma adımında öne geçiriyor. 2021 yılı içerisinde dolandırıcılığa teşvik ettiği düşünülen pek çok uygulama yayından kaldırıldı. Apple bu konuda 1.6 milyon uygulamayı marketlerinden kaldırırken, Google 1.2 milyon uygulamayı marketlerinden kaldırdı. Banka bilgileri, sağlık bilgileri, özel ve hassas bilgileri gibi değerli verilerin barındırıldığı telefonlara herhangi bir uygulama indirirken erişim talepleri dikkat ile incelenmeli ve mümkün olduğu kadar ihtiyaç duyulan uygulamaların yüklenilmesine dikkat edilmelidir.

Öğrenci Verileri İfşa Oldu

Şikago'da yapılan fidye yazılımı saldırısı sonrasında devlet okullarında 500.000 öğrenci ve 60.000 çalışanın verileri ifşa oldu. Öğrenci ve öğretmen performans analiz sistemi Battelle for Kids uğradığı saldırı sonucunda öğrenci verileri ifşa oldu, sistemde kayıtlı yaklaşık 267 okul ve 2.8 milyon öğrenci bulunmakta. Yasalara göre veri ihlalinin hemen bildirilmesi gerekmesine rağmen, ihlalin anlaşılması ve bildirilmesi 4 ayı buldu. Bu saldırıdan bağımsız olarak Mart ayında ise 870.000 öğrenci verileri ifşa edildi. Bu veri ihlalleri sonrasında birçok öğrencinin sistemlere erişim bilgileri satılmaya başlandı. Bu tür saldırılar ülkemizde de gerçekleşiyor fakat tespit edilmesi çok uzun sürmekle beraber, tespit edilemeyen de çok fazla ihlal mevcuttur. Veri çalmaya odaklı ve ileri seviye saldırıları engellemek için TINA Security ürünlerini inceleyebilirsiniz.

Sosyal Mühendislik Saldırıları Hız Artırıyor

Sosyal mühendislik türü saldırılar ve bunlara dair örnekler artık birçok kullanıcı tarafından bilinmekte, fakat yine de bir firma için en ağır sonuçlara sebep olmaya devam ediyor. Covid-19 ve uzaktan çalışmayla beraber sosyal mühendislik saldırıları da %65 artmış durumda. Bu tür saldırılar kurumları da ciddi anlamda zora sokmaktadır. Kurumsal e-postaların ele geçirilmesi (BEC) ile kurumlara verilen maddi zararın boyutu ciddi anlamda artmaktadır. 2016-2021 tarihleri arasında küresel finans kurumları tarafından bildirilen kayıp 43 milyar doları aştı. BEC saldırıları ile gerçekleştirilen saldırı senaryoları da daha etkili ve gerçekçi olmaktadır. Bu yüzden kurum çalışanların farkındalığı halen savunmada ön plana çıkmaktadır. Kullanıcılarınız farkındalığını test etmek ve farkındalığını artırmak için ISR Bilgi Güvenliği hizmetlerini inceleyebilirsiniz.