Siber Güvenlik Bülteni - Nisan 2018

WannaCry Geri Döndü! Geçtiğimiz sene dünyanın bir çok noktasında büyük zararlar veren WannaCry geri döndü. Avustralya’da 55 trafik kamerasını devre dışı bırakan ve ve Redflex tarafından yönetilen hız kameralarını bozduğu tespit edilen WannaCry Asya’da da etkilerini gösterdi. Geçen sene, günde ortalama 1000 araç üretilen Honda’nın Japonya’daki Sayama tesislerini etkileyerek üretimin durdurulmasına sebep olan WannaCry, sadece Sayama tesislerinin değil bu sene sistemlerinde güncelleme yapmak isteyen Kuzey Amerika, Çin, İngiltere, Fransa, Hindistan ve Avrupa bölgelerindeki fabrikalarının da saldırından etkilendiği duyurdu. Sayama’da yer alan fabrikalar içerisinden etkilenen sadece Honda’nın üretim tesisiymiş gibi gözükse de Renault ve Nissan’ın da geçtiğimiz ay WannaCry’dan aynı şekilde etkilendiği öğrenildi.

1.5 Milyar Hassas Dosya İnternette! Güvenlik araştırmacıları açık kaynak kodlu bir internet sitesinde tıbbi taramalardan patent uygulamarına, kadar 1.5 milyar civarında çevrimiçi dosyanın görünür halde olduğunu belirtti.   Açıkta kalan verilerin büyük çoğunluğunu kredi kartı, bordo ve vergi iadesi dosyalarının oluşturduğu belgelerde 2.2 milyon vücut taramasının da incelemeye açık olduğu gözlendi. Verilerin yaklaşık %7’si yanlış yapılandırılmış Amazon bulut servisi işlem depolama alanında yer alıyor.  Sorunlu dosyalardan en çok etkilenen ülke, %23 ile Amerika oldu.  Korumasız olarak internette bulunan bu dosyalar, Panama Papers belgelerinden 4bin kat daha büyük ve 12 petabayt boyutunda.

20 Milyon Kullanıcı, Tehlike Altında! Google Chrome için geliştirilen ve içinde zararlı yazılım barındıran 5 adet sahte eklenti, 20 milyon kişi tarafından indirildikten sonra Google tarafından kaldırıldı. Google, AdRemover for Google Chrome, uBlock Plus, Adblock Pro, HD for YouTube, Webutation isimli uygulamaları mağazasından kaldırarak zararlı eklentinin daha fazla kişiye yayılmasını engelledi. AdRemover for Google Chrome eklentisi 10 milyondan fazla kişi tarafından indirildi. Fidye Virüsü, Ukrayna Enerji Bakanlığı'nı Vurdu! Ukrayna, siber saldırılardan etkilenmeye devam ediyor. Geçtiğimiz senelerde de siber saldırıların hedefinde olan Ukrayna Enerji Bakanlığı’nı, bu sefer de websitesinin hacklendiğini açıkladı. Ukrayna Enerji Bakanlığı’nın sitesini hackleyen hacker’lar 0.1 bitcoin talep ettiler. Saldırıda diğer hükümet sistemlerinin veya ülkenin devlet enerji şirketlerini etkilemediği açıklandı.

Fidye Virüsleri Kılık Değiştiriyor! 2016 yılında adından sıkça bahsettiren, 2017 yılında WannaCry ve NotPetya saldırıları ile hafızalarımıza kazınan fidye virüsleri saldırıları bulunduğumuz yıl içerisinde sessizliğini korurken uzmanlar, hacker’ların yeni saldırılar üzerinde çalıştıklarını belirtti. Indiana’da bir hastanenin ve Atlanta’da devlete ait birçok bilgisayar sisteminin SamSam saldırısından etkilenmesi, WannaCry’ın hala etkilerinin gözükmesi bazı fidye yazılımı ailelerinin sürekli kullanılacağını ve geliştirileceğini gösteriyor. Kripto para madenciliğindeki yükseliş, fidye virüsü saldırılarının önüne geçse de kurumlara yönelik yapılan fidye virüsü saldırılarında artış söz konusu. Hacker’lar Otel Odamızda! Tomi Tuominen ve Timo Hirvonen isimli iki hacker İsveç’li kilit üreticisi Assa Abloy’un geliştirdiği ve 166 ülkede 42.000’den fazla tesiste kullanılan kilit sistemini “master key” ismini verdikleri anahtar ile açmayı başardılar.  Hacker’lar özel bir yazılıma sahip mini bilgisayarla kablosuz radyo frekansının tanımlanıp manyetik karttan veri çalabildiklerini açıkladı. Geçtiğimiz sene benzer bir olay Avustralya'da yaşanmış ve 4 yıldızlı Romantik Seehotel Jäegerwirt adındaki otelin sistemi hackerlarca ele geçirilmişti. Bilgi işlemdeki bir bilgisayara fidye virüsü bulaştıran bilgisayar korsanları, müşterilerin odalarında kilitli kalmasına neden olmuştu.

Outlook’taki Açık, Bilgisayarınızın Ele Geçirilmesi İçin Yeterli! CERT Koordinasyon Merkezi’nden Will Dorman RTF‘li (Zengin Metin Formatı) e-posta açıldığında OLE sayesinde SMB bağlantısını otomatik olarak başlatan bir güvenlik açığı tespit etti. Saldırgan, kendisinin oluşturduğu bir SMB sunucusu üzerinden yükleme yapan, içerisinde OLE bağlantısı yer alan RTF dosyasını e-posta olarak kurbana gönderdiğinde bu güvenlik açığından yararlanabiliyor. Cert koordinasyon Merkezi “ Bu saldırı, kullanıcının IP adresini, alan adını, kullanıcı adını, ana makine adını ve parola hash’ini sızdırıyor olabilir. Kullanıcının parolası yeterince karmaşık değil ise saldırgan kullanıcı parolasını kısa sürede çözülebilir.” açıklamasını yaptı. Henüz yapmadıysanız CVE-2018-0950 Microsoft güncellemesinin yapınız.  Gelen ve giden SMB için kullanılan portları (445/tcp, 137/tcp, 139/tcp, 137/udp ve 139/udp) engelleyin. NTLM Single Sign-on kimlik doğrulamasını engelleyin. Karmaşık parolaları kullanın. Böylece parola hash’leriniz çalınsa bile kolayca kırılamazlar.

Android Cihazlar Monero Madenciliğinde Kullanılıyor! Android Nougat ve sonraki sürümler dışındaki işletim sistemlerindeki bir açıktan yararlanan kötü amaçlı bir yazılım, Android işletim sistemli akıllı cihazların CPU’larını Monero madenciliği için kullanıyor. Zararlı yazılım, cihaz yöneticisi özelliğinin kaldırılmasını önlemek için, kullanıcı bu işlemi yapmak istediğinde cihazın ekranını kilitleyerek parola soruyor. Daha önce cihazların bataryalarını patlatan Loapi Monero’ya benzetilen zararlı yazılım Hindistan ve Çin’de birçok kullanıcıyı etkilemiş durumda. Bugüne kadar HiddenMiner yazılımı ile birlikte 5.360 Dolarlık  bitcoin üretildi. Android Remote Trojan Android işletim sistemindeki bir güvenlik açığından yararlanan kötü amaçlı bir yazılım ile birçok bilgi çalınabilir hale geldi. Sisteme sızmak için gömülü bir Microsoft denklem nesnesini kullanarak, Office’teki CVE-2017-11882 güvenlik açığından yararlanmaya çalışan RTF dosyası, bitcoin ve Çin hakkında bilgi veren Korece azılmış bir belgeden oluşuyor. KevDroid ismi verilen bu zararlının ilk versiyonu yüklü uygulamalar, telefon numarası, telefonun benzersiz kimliği, konum, kayıtlı rehber bilgileri, depolanmış SMS, arama kayıtları, kayıtlı e-postalar ve fotoğraflar gibi bilgileri toplayabiliyor. Uzmanlar, büyük bir KevDroid saldırısının siber casusluğa yol açabileceğini söylüyorlar.

İsrail’in Ben Gurion Üniversitesi’nde yer alan araştırmacılar geçtiğimiz senelerde bir bilgisayardan ışık, ses, ısı, elektromanyetik, manyetik ve ultrasonik dalgalar yoluyla veri çalmak için çeşitli bant dışı iletişim yöntemlerini denemişti. Geçtiğimiz hafta ise akım hattındaki dalgalanmaları kullanarak bilgisayarların CPU kullanımını kontrol etmeyi başardıklarını açıkladılar.   Son Zamanarda En Çok Görülen 5 Popüler Zararlı CryptoLoot: Kurbanlarının CPU ve GPU gücünü kripto para madenciliği için kullanan, kullanıcı bilgisi olmadan bilgisayarlara yüklenen zararlı yazılım. RoughTed: Kötü amaçlı web siteleri, adware, exploit kitleri ve fidye yazılımları dağıtmak ve işletim sistemine saldırmak için kullanılır. Fireball: Kullanıcıların kimlik bilgilerini çalmaktan, cihazlarına başka zararlı yazılım indirmeye ve arama motorlarını sahte arama motorlarına dönüştürerek web trafiğini kontrol edip reklam geliri elde etmek için manipüle eden zararlı yazılım. LokiBot: Özellikle popüler bankacılık uygulamalarının arayüzlerini kopyalayarak kullanıcıların bilgilerini çalan, fark edilip yönetici izinleri kaldırıldığında fidye virüsüne dönüşerek mobil cihazı şifreleyip fidye talep eden Android işletim sistemli cihazlarda gözüken zararlı. Triada: Android işletim sisteminde yer alan, root haklarını kullanarak, sistem dosyalarıyla yer değiştiren modüler bir Trojandır. Genellikle cihazın RAM’inde bulunur ve önce sistem hakkında bilgi toplar. En büyük özelliği ise SMS’leri kontrol ederek gelenleri filtreleyebilmesi.