07 Aralık 2020

Siber Güvenlik Bülteni - Kasım 2020

Satılık "C" Seviye E-Postalar!


Bir siber korsan, dünya çapındaki şirketlerden elde ettiği "C level" düzeyindeki yöneticilerin e-posta adreslerini ve parolalarını satışa çıkardı.

Rusça konuşulan bir formdan elde edilen bilgiye göre CEO, CFO, CTO, CMO, COO, yönetici asistanı, genel müdür yardımcısı, finans müdürü gibi seviyelerde bulunan çalışanlara ait bilgileri şirketin büyüklüğüne ve kullanıcının rolüne göre 100-1500 Dolar arasında satıldığı tespit edildi. 

Araştırmacılar, ABD orta ölçekli bir yazılım şirketinin CEO'su ile Avrupa merkezli bir perakende merkezinin CFO’suna ait bilgileri satın alarak doğruluğunu teyit ettiler. 

Araştırmacılar ayrıca, güvenliği ihlal edilmiş kurumsal e-posta kimlik bilgileri ile gerçekleştirilebilecek suçlara dikkat çekiyor. Saldırganların  büyük meblağlarda para aktarmak için manipüle edebileceği, hassas bilgilere erişebilmek, bilgi çalmak ya da toplamak için kullanılabileceği belirtildi.

Uzmanlar bu maillerin BEC saldırılarında kullanılabileceğini belirtti. FBI’ın bu yıl çıkarttığı rapora göre BEC saldırıları 2019’da en popüler suç türlerinden birisiydi. Uzmanlar, iki adımlı (2SV) veya iki faktörlü (2FA) kimlik doğrulamanın kullanılması noktasında uyardı.


Spotify Saldırısı Tehlikeyi Kanıtlıyor


Hacking, teknoloji dünyası için yeni bir tehdit değil, son zamanlarda Twitter, Facebook gibi büyük isimler dahi bilgisayar korsanlığı sorunlarıyla uğraşmak zorunda kaldı. Ancak İsveç merkezli çevrimiçi müzik platformu Spotify’ın karşılaştığı problem daha yaygın bir soruna ışık tutuyor.

Geçtiğimiz haftalarda 300 binden fazla Spotify kullanıcısının bulunduğu ve 380 milyondan fazla kaydın bulunduğu bir veritabanı ortaya çıktı. Ancak açığa çıkan bu veritabanı Spotify kaynaklı değil, Spotify oturum açma kimlik bilgilerini saklamak için kullanılan üçüncü taraf uygulamalar tarafından ele geçirildi.

Hackerların “Credential Stuffing” yani kimlik bilgisi doldurma saldırılarının devam eden başarısı, büyük ölçüde zayıf parola ve aynı parolayı farklı platformlarda kullanma takıntısına devam eden kullanıcılardan dolayı başarıya ulaşıyor. Saldırganlar, aynı kişileri yine hedef tahtalarına koyarak tekrar hackliyorlar. 

Bu ve parola kaynaklı saldırılardan etkilenmemek için en iyi yöntem öncelikle uzun ve tahmin edilmesi zor parolalar belirlemek, hesap bilgilerini 3. kişilerle paylaşmamak, bağlantılı hesapların parolalarını değiştirmek ve parola yöneticisi kullanarak hesapları güvence altında tutmak. 


Managed Fidye Yazılımı Saldırısına Uğradı



Yönetilen web barındırma sağlayıcılarının en büyüklerinden olan Managed.com, REvil fidye yazılımı saldırısı kurbanı oldu ve saldırı ile başa çıkmak için tüm sunucularını devre dışı bırakmak zorunda kaldı. 

16 Kasım günü gerçekleşen saldırıdan, halka açık web barındırma sistemlerinin bir kısmı da etkilenerek müşteri sitelerinin verileri şifrelendi ve şirket tüm sunucularını kapattı. 

Şirket, saldırıdan saatler sonra ise WordPress ve DonNetNuke tarafından yönetilen barındırma çözümleri, e-posta sunucuları, DNS sunucuları, RDP erişim noktaları ve FTP sunucuları gibi tüm altyapısını devre dışı bırakmak zorunda kaldı. 

Basına sızan haberlerde ise, saldırganların 500 bin Dolar değerinde Monero talep ettiği belirtiliyor. 

Bu olay, fidye yazılımı saldırılarının bir şirket ve müşterileri üzerinde yaratabileceği yıkıcı etkiye dikkat çekiyor. Fidye yazılımı tehditi büyümeye devam ettikçe, işletmeler kendilerini ve müşterilerini korumak veya marka itibarına zarar verme riskini azaltmak için adımlar atmalıdır. Bu yalnızca kendi markalarını düşünmekle kalmayıp, hizmetlerine güvenen müşteriler için de önemli bir kıstastır.

Tesla Aracı 90 Saniyede Hacklendi



Belçika’lı bir güvenlik araştırmacısı, Tesla Model X anahtarlıklarında bulduğu bir güvenlik açığı ile Tesla aracını 90 saniyede ele geçirmeyi sağlayan bir yöntem keşfetti. 

Tesla’nın kapılarını açmak için akıllı telefondaki uygulamaya ya da uzaktan kumandalı anahtarı Key Fob’a ihtiyaç duyuluyor.

Güvenlik araştırmacısı yaptığı çalışmada, Key Fob’da bulduğu bir açıktan yararlanarak tersine mühendislik yöntemi ile araçları ele geçirebildiğini kanıtladı. 

Anahtara 5 metre yaklaşarak dışardan satın aldığı elektronik kontrol ünitesi (ECU) ile anahtarın etkileşime girmesini sağlayan araştırmacı, ECU üzerinden anahtara kötü amaçlı yazılım güncellemesi aktararak, anahtar üzerindeki kilit açma kodunu kendine iletip kapının uzaktan açılması için gerekli koda sahip oluyor. Daha sonra elindeki ECU’yu araca bağlayan kişi Tesla aracını çalıştırarak götürebiliyor.

Araştırmacının bu hırsızlık için satın aldığı ürünlerin toplam bedeli ise 350 Dolar.


RansomEXX Linux İle Geliyor


Kaspersky yayınladığı bir raporda RansomEXX fidye yazılımının Linux sürümünü keşfettiğini açıkladı. Bu keşif, hedeflenen izinsiz girişlere yardımcı olmak için ilk kez büyük bir Windows fidye yazılımı türünün Linux’e taşınmasını işaret ediyor.

RansomEXX saldırılarında gördüklerimiz, yakın zamanda diğer büyük fidye yazılımı gruplarının da Linux sürümlerini piyasaya sürmesiyle birlikte endüstriyi belirleyen bir trend haline gelebilir. 

İlk kez Haziran ayında görülen fidye yazılımı Teksas Ulaştırma Bakanlığı, Tyler Technologies, Montreal toplu taşıma sistemi ve son olarak Brezilya’nın mahkeme sistemlerine yönelik saldırılarda kullanıldı.

RansomExx, Linux sürümlerini oluşturan ilk fidye yazılımı değil, geçmişte, Pysa (Menispoza), Snatch ve PureLocker da Linux türevlerini dağıttı.


Mitsubishi Electric Yine Hacklendi


Mitsubishi Electric, iş ortaklarıyla ilgili bilgilerin sızdırılmasına neden olabilecek büyük bir siber saldırıya maruz kaldı.

Şirket yetkilileri, 8.653 iş ortağının banka hesap bilgilerinin sızdırıldığını açıkladı. Sızan veriler arasında hesap sahiplerinin isimleri, adresleri ve telefon numaraları bulunuyor. 

Mitsubishi Electric'in geçen yıl Çin’li bir bilgisayar korsanlığı grubu tarafından düzenlenen bir siber saldırı tarafından hedef alınmasının ardından geliştirilmiş bir siber güvenlik sisteminin kurulması gerekiyordu. Ancak Mitsubishi Electric, şirket yetkililerinin saldırıdan haberdar olduktan sonra yaklaşık altı ay boyunca kamu ve özel sektör ile ticari işlemlerle ilgili bilgilerin sızmasına neden olan siber saldırıyı açıklamamıştı.

Geçen yılki saldırının ardından Mitsubishi Electric, bilgisayar ağına erişim kısıtlamalarını güçlendirdi ve yeni siber güvenlik önlemlerini uygulamak için doğrudan şirket başkanına rapor veren yeni bir departman oluşturdu ancak görünüşe göre alınan tedbirler yeterli olmadı.

Yerel medyaya göre, Mitsubishi Electric'in Japonya'nın ulusal güvenliğini ve altyapısını desteklemedeki büyük rolü nedeniyle  APT gruplarının hedefinden çıkmıyor.


Covid Çalışmalarına Siber Saldırı

Microsoft, Covid-19 aşı çalışması gerçekleştiren 7 şirkete, 3 devlet destekli APT grubu tarafından siber saldırı gerçekleştirildiğini açıkladı.

Rusya’nın Strontium, Kuzey Kore’nin ise Lazarus ve Seryum grupları ile saldırı düzenlediğini açıklayan Microsoft, Rus grubun oturum açma kimlik bilgilerini çalmak ve kurban heasplarına girmek için Brute Force ve parola püskürtme yöntemlerini kullandığını, Kuzey Koreli grupların ise hedefli kimlik avı saldırıları düzenlediklerini belirtildi. 

Microsoft'a göre şirketler Kanada, Fransa, Hindistan, Güney Kore ve Amerika Birleşik Devletleri'nde bulunuyor.

Brezilya'da Covid Hastalarının Bilgileri Çalındı

Brezilya’da bir hastane çalışanı, GitHub hesabına devlet sistemlerine erişmek için gerekli kullanıcı adı, parola ve erişim anahtarlarını içeren elektronik bir tablo yükleyerek 16 milyondan fazla Covid-19 hastasının kişisel ve sağlık bilgilerinin sızdırılmasına sebep oldu.

Aralarında ülke başkanı Jair Bolsonaro, cumhurbaşkanının ailesi, 7 bakan, 17 vali ve 27 eyaletteki hastaların bilgilerinin de yer aldığı  veri tabanı internete sızdırıldı. 

Elektronik tablo GitHub'dan kaldırılırken, hükümet yetkilileri sistemlerini yeniden güvence altına almak için şifreleri değiştirdi ve erişim anahtarlarını iptal etti.


Eski Microsoft çalışanı Volodymyr Kvashuk isimli kişi, çalıştığı iki yıl boyunca 10 milyon Dolar değerinde dijital parayı kendi hesabına aktarmak suçundan 9 yıl hapis cezasına çarptırıldı. Yaşanan bu olay Amerika'da vergi alanındaki ilk Bitcoin davası olacak.

Sigorta yazılımları yapan Vertafore şirketi, kendilerinden kaynaklı bir problem yüzünden Şubat 2019 yılından önce ehliyet almış olan 27,7 milyon Teksas'lı sürücünün tüm kişisel bilgilerinin sızdırıldığını açıkladı.

Kasım ayında yayınlanan, 705 sağlayıcı kuruluştan 2.464 güvenlik uzmanının katıldığı bir ankete göre sağlık sektörüne yönelik siber tehditler 2021 yılında %300 artacak. Aynı ankete göre, deneyimli siber güvenlik profesyonellerinin sağlık sektöründe kariyer yapma olasılığının düşük olduğu belirtildi. 

Symantec'in yeni araştırmasına göre, Çin devletinin kontrolündeki saldırganlar, Zerologon güvenlik açığından yararlanarak 17 ülkede yer alan Japon firmalarına saldırı düzenliyor.  

Siber güvenlik şirketi Clario tarafından yapılan araştırmaya göre kimlik avı ve sosyal medya / e-posta saldırıları, 2020 yılında Amerika ve İngiltere'de en sık bildirilen siber suçlar listesinde ilk sırada yer aldı.

04 Kasım 2020

Siber Güvenlik Bülteni - Ekim 2020

Küresel Çapta Yeni Bir Botnet Keşfedildi




 Güvenlik araştırmacıları, kripto para madenciliği, spam gönderme ve zarar verme amaçlı her gün milyonlarca saldırı gerçekleştiren son derece sofistike bir küresel botnet operasyonunu keşfetti.

Kasım 2019 civarında başladığı tahmin edilen KashmirBlack" saldırı kampanyası, WordPress, Joomla, PrestaShop, Magneto, Drupal, Vbulletin, OsCommerence, OpenCart ve Yeager gibi popüler İçerik Yönetim Sistemi (CMS) platformlarını hedefliyor.

KashmirBlack'in birincil amacı, Monero kripto para birimi madenciliği için ele geçirilmiş sistemlerin kaynaklarını kötüye kullanmak ve bir web sitesinin yasal trafiğini spam sayfalarına yönlendirmek.

KashmirBlack, internet üzerinde tarama yaparak eski sürümleri kullanan siteleri tespit edip bilinen güvenlik açıkları ile sunuculara bulaşarak yayılmaya ve devam ediyor.

Eski yazılımları kullanan siteler için interneti tarayarak  siteye ve onun temelindeki sunucusuna bulaşmak için bilinen güvenlik açıklarına yönelik açıklardan yararlanıyor.

Botnet’in Kasım 2019’dan bu yana kötüye kullandığı 16 güvenlik açığı şu şekilde. 

  • PHPUnit Uzaktan Kod Yürütme - CVE-2017-9841
  • jQuery Dosya Yükleme Güvenlik Açığı - CVE-2018-9206
  • ELFinder Komut Enjeksiyonu - CVE-2019-9194
  • Joomla! Uzaktan Dosya Yükleme Güvenlik Açığı
  • Magento Yerel Dosya Ekleme - CVE-2015-2067
  • Magento Web Formları Yükleme Güvenlik Açığı
  • CMS Plupload Rasgele Dosya Yükleme
  • Yeager CMS Güvenlik Açığı - CVE-2015-7571
  • WordPress TimThumb RFI Güvenlik Açığı - CVE-2011-4106
  • RCE güvenlik açığını yükleyin
  • vBulletin Widget RCE - CVE-2019-16759
  • WordPress install.php RCE
  • WordPress xmlrpc.php Giriş Brute-Force attack
  • WordPress çoklu Eklentileri RCE
  • WordPress çoklu Temalar RCE 
  • Webdav Dosya Yükleme Güvenlik Açığı

Araştırmacıların son tespiti ise C2 alt yapısı için Dropbox kullanılmış olması. Uzmanlar bu durumun çok büyük tehlike yaratabileceği konusunda uyardı ve saldırının arkasındaki kişilerin tespitinin zorlaştığını belirtti.


Fidye Saldırıları Amerika'da Hastaneleri Durdurdu


COVID-19 salgını ile savaşan Amerikan sağlık sistemi, dijital dünyada da sektörünü hedefleyen fidye yazılımı saldırısı sebebi ile yüksek alarm durumuna geçti. 

Aynı gün içinde 6 hastaneyi vuran siber vakalar zincirinin ardından CISA, FBI ve Sağlık Bakanlığı tarafından ortak bir duyuru yapılarak Trickbot isimli kötü amaçlı yazılımın; fidye saldırılarına, veri hırsızlığına ve sağlık hizmetlerinin kesintiye uğramasına sebep olduğu belirtildi

2016 yılında bir bankacılık truva atı olarak ortaya çıkan Trickbot, daha sonra siber korsanlar tarafından kimlik bilgileri, e-posta ve satış noktası verilerini çalan Ryuk gibi dosya şifreleyen fidye yazılımlarını dağıtmak için kullanıldı.

Trickbot geliştiricileri, geleneksel ağ güvenliği ürünlerini atlatmak ve iletişimleri şirket DNS trafiği ile uygun olarak yapmak için DNS tünelleme yoluyla kendilerine Anchor_DNS’i yaratarak kurban makinalardan veri göndermek ve almak için kullandılar.

Geçtiğimiz haftalarda, Amerika genelinde 400 hastanesi bulunan özel bir sağlık kuruluşu Ryuk fidye saldırısının kurbanı oldu ve BT operasyonu tamamı ile kesintiye uğradığından hasta kayıt ve sonuç bilgileri için kağıt işlemlere geçildi. Uzmanlar yaptıkları açıklamada bu saldırıda da Trickbot kullanıldığını tespit ettiklerini belirtti. 

CISA ayrıca benzer kuruluşları hedef almaya teşvik edebileceğinden dolayı fidye ödememeyi önerdi.


Fortigate VPN Kullananlar Dikkat


Pandemi döneminde uzaktan çalışan sayısı arttıkça VPN’e olan talep de her geçen gün yükseliyor. Kullanıcıların kurum ile güvenli iletişim sağlaması beklenirken, oluşturulan VPN’lerden kaynaklı güvenlik açıkları uzaktan çalışma altyapısındaki zayıflıklardan yararlanmak ve kötü amaçlı saldırılar gerçekleştirmek için hackerların iştahını kabartıyor.

Araştırmacı güvenlik firmasının yaptığı açıklama Fortigate VPN çözümünü varsayılan ayarlar ile kullanan 200.000’den fazla işletme ortadaki adam (MitM) saldırılarına karşı savunmasız halde bekliyor. Sebebi ise varsayılan ayarlar kullanıldığında SSL sertifikasının sunucu adı olarak yönlendiricinin seri numarasını kullanıyor olması. Fortinet, sunucu adlarının eşleşip eşleşmediğini kontrol etmek için yönlendiricinin seri numarasını kullanabilirken, istemcinin sunucu adını hiç doğrulamadığı görülüyor ve bu da sahte kimlik doğrulamasına sebep oluyor.

Fortinet, konu ile ilgili herhangi bir planının olmadığını belirtti ve kullanıcıların sertifikayı manuel olarak değiştirebileceğini böylece Ortadaki Adam saldırılarına karşı güvenli ortam oluşturulabileceğini öne sürdü.

Konu ile ilgili olarak Fortinet’in çözümü için aşağıdaki linke tıklayabilirsiniz.

https://kb.fortinet.com/kb/documentLink.do?externalID=FD49965


SonicWall Yama Yayınladı


Uzaktan çalışan sayısı göz önüne alındığında VPN zafiyetleri saldırganlar için çok daha açık bir hedef haline geldi. Güvenlik araştırmacıları SonicWall’un SonicOS yazılımında yığın tabanlı arabellek taşıması güvenlik açığı keşfettiler ve Shodan araştırmasına göre bu açık tetiklendiğinde büyük bir hasara sebep olabileceği belirtildi.

Hatayı keşfeden güvenlik araştırmacısına göre sorun, ürün yönetimi ve SSL VPN uzaktan erişimi için kullanılan HTTP / HTTPS hizmetinde. Zafiyet, özel bir protokol işleyicisini içeren kimliği doğrulanmamış bir HTTP isteği tarafından tetiklenebilir.

Etkilenen sürümler şu şekilde: 

Etkilenen sürümler şunlardır: SonicOS 6.5.4.7-79n ve öncesi, SonicOS 6.5.1.11-4n ve öncesi, SonicOS 6.0.5.3-93o ve önceki sürümler, SonicOSv 6.5.4.4-44v-21-794 ve önceki sürümler ve SonicOS 7.0.0.0- 1.

SonicWall, zafiyetlerle ilgili yama yayınladığını ve şu ana kadar herhangi bir müşterinin etkilendiğini gösteren bir haber almadıklarını açıkladı.


Kahve Makinesinden Hacker Çıktı

Son yılların yükselen değerlerinden birisi de IoT teknolojisi oldu ancak teknolojiyi geliştirirken dikkat edilmeyen güvenlik noktaları kötü niyetli kişilerin kahve makinanızın içine kadar girebilmesine sebep olabiliyor.

Bir güvenlik araştırmacısı kahve makinasının ağ üzerinde güvensiz şekilde açık olduğunu, akıllı telefon ile kahve makinası arasındaki bağlantının şifrelenmediği için farklı bir cihaz ile de kontrolü ele alabileceğini tespit etti. 

Kahve makinasının en önemli problem kaynağı, güncellemelerin telefon üzerinden ve şifreleme olmadan yapılması. Güvenlik araştırmacısı, gönderdiği zararlı kodlarla makina üzerinde kahve çekirdeklerini yakma, su püskürtme, durmadan uyarı sesi çıkartma gibi işlemler gerçekleştirebildi. Araştırmacı ayrıca kripto madenciliği de yapabildiğini ancak CPU hızı düşünüldüğünde oldukça anlamsız olduğunu belirtti. 

350 Milyon Kayıt Sızdırıldı


ABD merkezli bir VoIP sağlayıcısı, yanlış yapılandırılmış bir veritabanından dolayı 350 milyondan fazla müşteri kaydının sızdırılmasına sebep oldu.

Sızdırılan veri tabanından; tam arayan adı, kimlik numarası, telefon numarası, eyalet, şehir ve arama transkriptleri yer alıyor.

Sızdırılan arama transkriptlerinin bazıları tıbbi kliniklerde ve finansal hizmet firmalarına bırakılan sesli mesajlar gibi hassas ayrıntıları içeriyor.

Uzmanlar bu tarzda saldırılardan oluşabilecek kimlik avı saldırılarına karşı uyarıda bulunarak etkilenen kişilerin daha dikkatli olması gerektiğini belirtti.


50 Bin Kamera Hacklendi



Bir hacker grubunun çoğunluğu Singapur, Tayland, Güney Kore ve Kanada’da olmak üzere dünyanın bir çok noktasından 50.000 ev kamerasını hacklediği, elde ettikleri bazı görüntüleri internette sattıkları ve yetişkin sitelerine yükledikleri iddia ediliyor.

Satılan videoların arasında çocuklara ait bir çok görüntünün de olduğu belirtildi. Saldırganların, Discord üzerinden reklam yaparak videoları sattıkları, 4000’den fazla klip ve resim dahil olmak üzere 700 MB boyutunda demoyu ücretsiz olarak sunduğu belirtildi.

Uzmanlar, evlerinde bu tarz IP kamera sahibi olanların güvenlik politikalarını değiştirmelerii konusunda uyardı.


Waze navigasyon uygulamasında, diğer kullanıcıların konumlarının gerçek zamanlı olarak izlenmesine izin verebilecek ciddi bir güvenlik açığı keşfedildi, Google açığı kapattı.

Clop isimli fidye çetesi tarafından saldırıya uğrayan Alman teknoloji firması Software AG hacklendi. Siber çete firmadan 20 milyon Dolar talep ediliyor.

Apple şirket ağında yaptığı araştırmalar sonucu 11'i kritik toplam 55 güvenlik açığı keşfeden 20 yaşındaki Sam Curry Apple'dan 288.500 Dolar ödül alacak.

Microsoft  Ekim 2020 Salı Yaması'nda, Windows TCP / IP yığını ve Microsoft Outlook'taki iki kritik uzaktan kod yürütme (RCE) kusuru dahil, 87 yeni keşfedilen güvenlik açığı için düzeltme yayınladı.

Google, kritik derecedeki güvenlik açıklarını ve bilgisayarları ele geçirmek için saldırganlar tarafından istismar edilen ZeroDay açıklarını kapatan, Chrome 86.0.4240.111 sürümünü yayınladı.

22 Ekim 2020

ISR BİLGİ GÜVENLİĞİ 8'NCİ YILINDA

 ISR BİLGİ GÜVENLİĞİ 8. YILINDA


Yerli ve milli imkanlarla siber güvenlik üzerine ARGE yapmak amacıyla kurulan, tüm bilgi birikimini ve sesini, ülkenin her köşesi ile paylaşan, Türk mühendisliğinin kalitesini geliştirdiği çözümler ile birleştirerek önce ülkemize sonra da dünyaya sunan şirketimiz 8nci yılına girmiştir.

Bilişim sektörü çalışanları da çok iyi bilir ki bizim dünyamızda hayat hiç durmaz ve hızla ilerler. Yaptığımız iş çok çalışmayı ve özverili olmayı gerektirir. Bu iş, bizler için sonsuz bir tutkudur.

8nci yılımızda da çalışmalarımıza ilk günkü heyecanımız ile devam edecek, Türk mühendisliğinin kalitesini ülke sınırlarının dışında daha fazla duyuracağız.

Gelecekteki sağlıklı ve huzurlu günler için; Kurumların dijital birikimlerini doğru denge ile koruyan teknolojileri ve hizmetleri, öngörüsü yüksek ve akılcı araştırma faaliyetleri yürütmeye 8nci yılımızda da devam edeceğiz.

Bu vesile ile yıllardır çalışma fırsatını bulduğumuz, bizi tercih eden herkese teşekkürlerimizi sunarız.


ISR BİLGİ GÜVENLİĞİ EKİBİ


13 Ekim 2020

ICCI 2020 - ENERJİDE SİBER GÜVENLİK RİSKLERİ

 

ICCI 2020'DEYİZ, DAVETLİSİNİZ


1994 yılından bu yana düzenli olarak organize edilen uluslararası ICCI Enerji ve Çevre Fuarı, bu sene Covid-19 dolayısıyla dijital konferans olarak gerçekleştirilecek ve Zoom, Youtube, Facebook, Twitter üzerinden canlı olarak yayınlanacak.

Enerji piyasasındaki değişim ve dönüşüm teması ile 14-15-16 Ekim tarihlerinde gerçekleştirilecek olacak dijital konferans enerji sektörüne yön ve ilham veren konuşmacıların da bulunduğu 28 oturuma ev sahipliği yapacak.


16 Ekim 2020  Saat 15:00’te başlayacak olan “Enerji Santrallerinde Siber Güvenlik” temalı 25. oturumda, ISR Bilgi Güvenliği Genel Müdür Yardımcısı Ünlü AĞYOL konuşmacı olarak yer alarak “Enerjide Dijitalleşme, Siber Güvenlik Riskleri ve ayrıca Siber Ölüm Zinciri” konuları ile ilgili açıklamalarda bulunacak.

Konferans ile ilgili daha fazla bilgi almak, kayıt yaptırmak ve programı görmek için aşağıdaki linke tıklayabilirsiniz.

https://icci.com.tr/dijital-konferans-kayit/



07 Ekim 2020

Siber Güvenlik Bülteni - Eylül 2020

Fidye Saldırısı Can Almış Olabilir


Almanya’da Düsseldorf Üniversite Hastanesi’nde yaşanan fidye yazılımı saldırısı 1 kişinin ölümüne sebep olmuş olabilir.

Birçok fidye yazılımı çetesi, salgının başlarında hastaneleri ve sağlık tesislerini hedeflemeyeceklerini söylese de son zamanlardaki sağlık sektöründe yaşanan olaylar gerçekleri göz önüne seriyor.

Eylül ayında yaşanan olayda siber saldırganlar, Citrix VPN sistemindeki bir zafiyeti kullanarak hastanenin otuzdan fazla sunucusunu şifreledi ve sistemlere zarar vererek çalışılamaz hale getirdi. Sistemleri çalışmayan hastane ise acil olarak gelen talepleri geri döndürmek zorunda kaldı.

Saldırının yaşandığı gün raniden ahatsızlanan bir kadın ambulans ile bu hastaneye taşınmak istendi ancak sistemleri çalışmayan hastane ambulansı 30 km uzaklıktaki başka bir hastaneye yönlendirdi. Durumu ağırlaşan hasta diğer hastaneye ulaşamadan yolda hayatını kaybetti.

Yetkililer ve uzmanlar, hastanın fidye yazılımından dolayı hastanede tedavi olamadığı ve bu yüzden öldüğü tespit edilirse fidye yazılımı soruşturmasına ek olarak cinayet soruşturulması da açılabileceğini ve siber saldırıdan dolayı yaşanan ilk ölüm olabileceğini belirtti.

Zararlı yazılımlar ve hedef arayan saldırganlar, internet üzerinde servis veren sunucuları otomatikleştirilmiş şekilde tarayarak, hedef seçerken zafiyet odaklı da otomatik seçim yapabiliyor. Bu durum, hiç kimse istemese dahi bu tip sonuçları da beraberinde getiriyor.


Zerologon Haberleri Duyulmaya Başlandı


Geçtiğimiz ay blog yazımızda paylaştığımız, kritik seviyesi 10 üzerinden 10 olarak belirtilen ve CVE-2020-1472) olarak numaralandırılan Zerologon zafiyeti ile ilgili saldırı haberleri gelmeye başladı.

Microsoft Security Intelligence (Microsoft Güvenlik İstihbaratı) twitter üzerinden açıklama yaparak hackerların Zerologon zafiyetini sömürdüğünü ve bazı saldırıları tespit ettiklerini belirtti.

Saldırganlar, Netlogon kimlik doğrulama sürecindeki güvenlik özelliklerini devre dışı bırakma ve Active Directory üzerindeki bir bilgisayarın parolasını değiştirebilme kusurundan yararlanabiliyor.


Eğitim Kurumları Hackerların Yeni Gözdesi



Covid 19 salgını ile birlikte gelen uzaktan eğitim zorunluluğu, siber saldırganların da ivmelerinin bu sektöre kaymasına sebep oldu. 

Hindistan merkezli çevrimiçi öğrenme platformu Edureka, siber saldırganların kurbanları arasında yer aldı. 2 milyona yakın kullanıcının kişisel verilerinin parola koruması bulunmayan bir veritabanından çekildiği belirtildi.  27 Gb boyutunda ve 45 milyon kaydın bulunduğu ve 2 milyon Edureka kullanıcısının isim, e-posta adresi, telefon numarası ve yaşadığı ülke bilgisi yer alıyor. 

Amerika’da yaşanan bir olayda ise merkezi Las Vegas’ta bulunan bir okula siber saldırı düzenleyen saldırganlar sistemleri şifreleyerek fidye talep etti. Fidye talebine olumlu dönüş yapmayan okul yönetimine karşı siber saldırganlar bazı öğrencilere ait kişisel bilgileri internette yayınlamaya başladı. Uzmanlar, bu yıl Amerika’da 50’den fazla eğitim kurumunun fidye yazılımı saldırısına uğradığını belirtti.

Avustralya’da ise, eğitim bakanlığının veritabanına sızan saldırganlar 1 milyona yakın öğrenci, öğretmen ve personelin kişisel verileri ile şifrelerini çaldı. Saldırının nasıl gerçekleştiği henüz kesinleşmiş olmasa da üçüncü parti bir yazılım olan ve ülke genelinde yüz binden fazla öğretmenin kullandığı K7Math isimli uygulamadan kaynaklandığı düşünülüyor.


REvil'in Son Kurbanı Banka Oldu


Şili’nin tek kamu bankası ve ülkenin en büyük 3 bankasından birisi olan BancoEstado yaşanılan siber saldırının ardından ülkedeki tüm şubelerini geçici olarak kapatmak zorunda kaldı.

Yapılan ilk açıklamaya göre bir çalışanın REvil fidye zararlısı içeren bir dosyayı açtığını ve hackerların bu dosya ile kendilerine arka kapı oluşturarak içeri sızdığı yönünde.

Cuma’yı Cumartesine bağlayan gece, saldırganlar oluşturdukları arka kapıdan sisteme girerek tüm bilgisayarları şifrelemeye başladı. Cumartesi günü nöbetçi  çalışanlar, şirket dosyalarına erişemediklerini bildirdiler ve yapılan incelemede tüm sistemlerin REvil fidye zararlısı ile şifrelendiği tespit edildi.

Banka tarafından yapılan açıklamada internet sitesi, bankacılık platformu, mobil uygulamalar ve ATM ağı saldırıdan etkilenmedi.

REvil fidye grubunun kurbanları arasında büyük isimler yer alıyor. Aynı grup 2019 yılında Şili’de ATM altyapılarını birleştiren bir şirkete de saldırı düzenlemişti.


QNAP Kullananlar Dikkat


Tayvan’lı donanım üreticisi QNAP, NAS cihazlarını kullanan firmaları yeni bir fidye yazılım türünün kurbanı olmamaları için yazılım ve uygulamalarını güncellemeye çağırıyor.

3 yıl önce keşfedilen ve bugün tekrar gündeme gelen açık, saldırganların uzaktan erişim açığını yoğun şekilde istismar etmesine ve veri sızdırmalarına sebep oldu. 

Yapılan yeni bir açıklamada ise AgeLocker isimli fidye yazılımı ilk olarak bu yılın Haziran ayında NAS cihazlarına bulaşmaya başladı ve etkilenen sistemlerin güncel yaması yapılmamış sistemler olduğu belirtildi.

Uzmanlar QNAP’ın cihazlarına erişim izni veren iki saldırı durumunu ele aldı. Birincisi cihazın yazılımı, ikincisi ise önceden yüklenmiş olarak gelen ve eski sürüm barındıran PhotoStation uygulaması. Uzmanlar ayrıca AgeLocker’dan etkilenen sistemlerin çoğunlukla macOS ve Linux cihazları olduğunu belirtti. 

Şirket son versiyon güncellemesinin mutlaka yapılmasını belirtti.


Dijital Savaşta Sular Durulmuyor


ABD’de yaklaşan seçimler öncesi Microsoft tarafından yapılan açıklama uluslararası gerginliğe sebep oldu.

Microsoft yayınladığı bir yazıda Çin, Rusya ve İran’a bağlı APT gruplarının ABD seçimlerini hedef alan siber saldırılar gerçekleştirdiklerinin tespit edildiğini açıkladı.

Çin’e bağlı APT grubu olan Zirconium’un Mart ayından Eylül ayına kadar Trump ve Biden için çalışan yakın kişileri, İran’a bağlı APT grubu Phosphorus’un Mayıs ve Haziran aylarında Trump’ın kampanyalarında yer alan idari yetkililerin kişisel ve iş hesaplarına, Rus APT grubu APT28’in, ABD ve Avrupa’daki siyasi ve politik düşünce grupları, ulusal ve devlet kuruluşları, siyasi partiler gibi 200’den fazla örgütü etkileyen saldırı kampanyası düzenledi.

Rusya, Microsoft tarafından yapılan açıklamanın paranoyakça ve gerçekleri yansıtmadığını  belirtti. Uzmanlar ise ABD karşısında bu yılki seçimlerde en büyük tehditin Çin olduğunu belirtiyor.


Kripto Para Borsasında Soygun


Singapur merkezli kripto para borsası KuCoin 26 Eylül’de yaptığı açıklamada KuCoin’in sıcak cüzdanlarından 281 milyon Dolar değerinde kripto para ve  ERC 20 token çalındığını açıkladı.

Şirlet CEO’su Johnny Lyu, saldırıdan etkilenen kullanıcıların zararlarının sigorta fonundan karşılanacağını belirtti. 

KuCoin yetkilileri, saldırı ile ilgili geriye dönük araştırma yapıp saldırganların izini sürerek buldukları ip uçlarını kolluk kuvvetleri ile paylaştı. 

Yapılan incelemelerin ardından 5 farklı borsada satış yapan saldırganlar 17.1 milyon dolarlık token satarak ETH elde ettiği de tespit edildi. 

KuCoin’e yapılan bu saldırı, Coincheck ve Mt. Gox’tan sonra  en büyük kripto hack vakası olarak kayıtlara geçti.




Kısa bir süredir aktif olmayan son zamanların popüler zararlısı Emotet tekrar görüldü. Fransa, Japonya ve Yeni Zelanda’nın ardından İtalya ve Hollanda’dan da Emotet ile ilgili uyarılar yükseldi. Mail yolu ile yayılan zararlıya karşı Microsoft açıklama yaparak, zararlı yazılımla ilgili bilgilendirmelerde bulundu.

22 Ağustos’ta FBI tarafından fidye yazılımı çetesi üyesi olmaktan dolayı tutuklanan Egor Igorevich Kriuchkov isimli Rus vatandaşın hedefinde Tesla olduğu ve içeriye zararlı yazılım yerleştirmek için bir çalışana teklifte bulunduğu tespit edildi.

2020'nin ilk yarısında petrol gaz ve bina otomasyonu sistemlerine yapılan saldırılar geçen senenin aynı dönemine göre artış gösterdi. Siber saldırganlar bu sektörlere hedefli saldırı düzenliyor.

Dünya Ekonomik Forumu (WEF)’nun her sene yayınladığı “Global Risks Report 2020” raporunda "siber saldır" riski üst sıralarda yer aldı. Rapora göre dünyada her 39 saniyede bir hack olayı yaşanıyor.

Android telefonları hedef alan bankacılık zararlılarından birisi Türkiye'de görüldü. SMS ile yayılan zararlı 1000 TL Pandemi Desteği Kampanyası başlığı ile geliyor. Yönlendirilen internet sayfasından içinde bankacılık zararlısı bulunduran uygulamanın telefona indirilmesi zararlı yazılım telefona bulaşıyor.

15 Eylül 2020

Önemli Siber Güvenlik Bildirimi: Domain Controller Zafiyeti - Zerologon

 Domain Controller Zafiyeti
Zerologon

Microsoft tarafından Ağustos ayında yaması yayınlanan ve CVE-2020-1472  olarak numaralandırılan, Domain Controller üzerinde yetkisiz kod çalıştırılmasına izin vererek kurumsal ağların kolay bir şekilde ele geçirilmesine olanak sağlayan kritik zafiyet ile ilgili ayrıntılar ortaya çıktı.

Kritik seviyesi 10 üzerinden 10 olarak belirtilen ve Zerologon ismi verilen zafiyet, Netlogon kimlik doğrulama sürecinde kullanılan zayıf bir kriptografik algoritmadan faydalanıyor. 

Zafiyet, saldırganın ağdaki herhangi bir bilgisayarın kimliğine bürünerek sunucuyu manipüle etmesine ve çok kısa bir süre içinde ağda yer alan tüm bilgisayarların ele geçirilmesine olanak sağlıyor.

Zerologon’un bu yapısı şirket ağındaki bir bilgisayara bulaşıp daha sonra birden fazla bilgisayara yayılmasına dayanan kötü amaçlı yazılım ve fidye yazılım çeteleri için de büyük bir nimet. Zerologon ile bu görev önemli ölçüde basit bir hale geliyor.


YAMALAR HAYAT KURTARMIYOR

Bu zafiyete yama uygulamak Microsoft için kolay bir iş değil, çünkü milyarlarca cihazın kurumsal ağlara bağlanma şeklini değiştirmek ve operasyonlarını kesintisiz bir şekilde devam ettirmek çok zordu.

Bu yüzden Microsoft bu işlemi iki aşamada gerçekleştirecek şekilde planladı. Birincisi, Ağustos ayında yayınlanan geçici yama ile gerçekleşti. Bu yamada Netlogon güvenlik özelliklerini tüm Netlogon kimlik doğrulamaları için zorunlu hale getirerek Zerologon saldırılarını etkili bir şekilde kırdı.

Bununla birlikte, saldırganların Ağustos yamalarına karşı farklı bir yol bulması ihtimaline karşı, Şubat 2021 için daha eksiksiz bir yama planlıyor. 

Zafiyet ile ilgili açıklamalarda bulunan Secura ekibi ayrıca, zafiyeti kanıtlamak için python scripti yayınlayarak bu güvenlik açığından yararlanabildiğini kanıtladı.

Aşağıdaki linke tıklayarak güncellemeye ulaşabilirsiniz.

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472

03 Eylül 2020

Siber Güvenlik Bülteni - Ağustos 2020

 

Siber Saldırılar Kapımızda



KVKK’nın veri ihlali bildirimlerindeki son aylardaki artış ve etkilenen kişilerin sayısının fazla olması siber saldırıların kapımızda olduğunu bizlere bir kez daha hatırlattı. 

Geçtiğimiz aylarda anne ve bebek ürünleri satışı yapan bir şirketin siber saldırıya uğraması henüz hafızamızda tazeyken Ağustos ayında sadece iki büyük  şirkette yaşanan veri ihlalinden toplamda 85 bin kişiye ait kişisel veri sızdırıldı. Kimlik ve iletişim bilgileri, hesap giriş mail ve parola bilgileri, profil fotoğrafı, yaşadığı il ilçe bilgileri gibi çeşitli veriler siber korsanların eline geçti.

Bu ve benzeri olaylardan etkilendiğinizi düşünüyorsanız öncelikli olarak dolaylı ve bağlantılı hesaplarınızın parola ve iletişim bilgilerini mutlaka güncellemelisiniz. Ayrıca yaşanabilecek bir oltamala saldırısına karşı da bundan sonra dikkatli olmalısınız.

Şirketlerin ise satın aldıkları ek güvenlik çözümlerinin dışında periyodik olarak farklı firmalara sızma testi yaptırmalarını ve çalışanlarına farkındalık eğitimi vermelerini öneriyoruz.

Intel Saldırıya Uğradı


Dünyanın en büyük teknoloji şirketlerinden olan Intel, siber saldırganların hedefi oldu ve şirket içinde gizli kalması gereken 20 GB boyutundaki dosya internete sızdırıldı.

Till Kottmann isimli bir yazılım mühendisinin ismiyle internette paylaşılan dosyaların bir çoğunun üzerinde gizli ve sır ibareleri yer alıyor. Yayınlanan dosyaları Mayıs ayında isimsiz bir siber korsandan aldığını itiraf eden Till Kottmann’ın açıklamalarına göre Intel’in aylardır saldırganların hedefinde olduğu anlaşılıyor.

Çalınan dosyaların içinde çeşitli platformlar için kaynak kod paketleri, yol haritaları, eğitim videoları, hata ayıklama araçları, referans kodları, SpaceX için üretilen kamera sürücüleri için ikililer gibi çok fazla değerli ve gizli bilgi yer alıyor. 

Intel tarafından yapılan açıklamada ise dosyalara erişim izni olan birisinin bu verileri indirip paylaşmış olabileceği belirtildi.


Kurbanlar Fidyeleri Ödüyor!


Son dönemlerde fidye saldırılarında özellikle büyük şirketler ve kurumların isimleri geçmeye başladı. Hedefli saldırılar gerçekleştiren siber saldırganlar kurumun ölçeğine göre çok büyük fidyeler talep ediyor.

Giyilebilir teknoloji devi ve ünlü GPS firması Garmin ile Utah Üniversitesi Temmuz ayında gerçekleşen fidye saldırısından sonra hackerlara fidye talebi ödediklerini açıkladı.

Utah Üniversitesi dosyaların yedekleri olmasına rağmen öğretim üyeleri ve öğrencilerin çalınan bilgilerinin güvenliği için 457 bin Dolar fidye ödemeyi kabul etti.

Garmin’de yaşanan saldırı sonrası ne kadar fidye ödendiği tam olarak açıklanmasa da siber korsanların 10 milyon Dolar talep ettikleri belirtildi.  Garmin’de yaşanan saldırı sonrası yaşanan kesintilerde, Garmin sistemini kullanan pilotların uçuş planlarını indiremediği belirtildi.


235 Milyon Hesap Bilgisi Sızdırıldı 


Güvenceye alınmamış veri tabanları oldukça ciddi güvenlik sorunları haline gelmeye başladı ve son zamanlarda büyük boyutlarda veri sızıntıları yaşanıyor. 

Bunlardan sonuncusu ise Comparitech isimli bir güvenlik araştırma şirketi tarafından tespit edilen, Hong Kong merkezli bir şirkete ait olan ve içinde Instagram, TikTok ve YouTube hesabı olan 235 milyon kullanıcı profilinin açığa çıktığı olay oldu

Çalınan verilerin yaklaşık 190 milyonu Instagram hesabı olurken 40 milyon veri ile TikTok uygulamasına ait veriler takip ediyor. Çalınan verilerin arasında profil ismi, gerçek ismi, profil fotoğrafı, cinsiteyi, takipçi satısı, takipçi, büyüme ve izlenme istatistikleri gibi veriler yer alıyor. Çalınan profillerin beşte birinde cep telefonu numarası veya e-posta adresi bilgisinin bulunduğu belirtildi.


VPN Pulse Secure Saldırıya Uğradı


Koronavirüs salgınından dolayı birçok şirketin evden çalışmaya geçmesi VPN'e olan ilgiyi arttırdı. Bu da siber saldırganların kurumsal sunuculara olan odaklarının daha da genişlemesine sebep oldu.

Bu ay gerçekleşen bir olayda ise 900’den fazla Pulse Secure VPN sunucusu kullanıcısının isim ve parolaları düz metin halinde bir hack formunda yayınlandı yayınlandı.

Yapılan açıklamada siber saldırganların CVE-2019-11510 zafiyetinden faydalanarak IP adresleri, Firmware sürümleri, VPN oturum çerezleri, son giriş bilgileri, lokal kullanıcıların listesi, SSH keyleri gibi bilgileri ele geçirdiği belirtildi.

Pulse Secure VPN kullananların CVE-2019-11510 zafiyetine karşı update yapmalarını, kullanıcı ismi ve parolalarını değiştirmelerini öneriyoruz.


TeamViewer Kullananlar Dikkat


Son zamanlarda koronavirüs sebebi ile uzaktan erişim uygulamalarına olan ilgi fazlasıyla arttı. Zoom’da tespit edilen güvenlik açıklarının ardından TeamViewer uygulamasında da çıkan açık tehdit yaymaya ve korku yaymaya başladı.

Zafiyetteki asıl endişelendiren olay ise, kurbanın çok fazla etkileşimini gerektirmeden, sadece zararlı yazılım yerleştirilmiş bir internet sayfasını ziyaret etmesi ve internet sayfasındaki bir URL’ye tıklaması oluyor.  Saldırganlar SMB kimlik doğrulama saldırısı tetikleyerek kurbanın Ip ve giriş bilgilerini ele geçirerek sistemdeki kullanıcı adı ve NTLM hashlerini saldırgana iletiyor.

TeamView 8 ile 15 sürümü arasındaki her versiyon için zafiyet ile ilgili güncelleme yayınladı.


Türkiye'de de çok fazla kullanıcısı olan ücretsiz görsel indirme platformu Freepik siber saldırıya uğradı. 8 milyon kullanıcının bilgileri çalındı.

Siber saldırganların en çok saldırdığı sektörler arasında sağlık, üretim, inşaat, finans ve perakende sektörü bulunuyor.

FBI yaptığı açıklamada İran'lı siber saldırganların F5'ın BIG IP açığını kullanarak şirketlere saldırdığını belirtti. 

2010 yılından bugüne kadar İngiltere'deki üniversitelerin üçte biri ransomware saldırısına uğradı.

Microsoft bu ay 13 farklı ürününde 120 güvenlik açığı için güncelleme yayınladı. 17'si kritik düzeyde olan saldırıların 2 tanesi sıfırıncı gün zafiyeti için.

05 Ağustos 2020

Siber Güvenlik Bülteni - Temmuz 2020

Microsoft Çok Kritik Bir Açık İçin Güncelleme Yayınladı




Microsoft bu hafta yayınladığı güncellemeler ile bir çok kritik güvenlik açığını kapattı. Bunlardan en önemlisi ise RCE (Uzaktan Kod Yürütme) CVE-2020-1350  olarak numaralandırılan, DNS Server üzerinde Windows Server 2003-2019 arasındaki tüm işletim sistemlerini etkileyen bir güvenlik açığı. 
Uzmanlar, 17 yıldır var olan ve CVSS önem derecesi 10.0 olarak belirtilen güvenlik açığı ile ilgili kuruluşların acil olarak server yapılarını düzeltmeleri konusunda uyardı.  
Bu zafiyet ile uzaktan kod çalıştırılabilmesi imkanı doğuyor. Zafiyetin diğer kritik noktası ise saldırganların herhangi bir insan etkileşimi olmadan bir bilgisayardan başka bir savunmasız bilgisayara kötü amaçlı yazılım yardımıyla yayılmasına izin veren zincirleme bir reaksiyon başlatabiliyor olması.
Bazı gruplar tarafından en erken 2009 yılından bu yana dönem dönem bazı vakalarda bu zafiyetin kullanıldığına dair bulgularımız mevcut. Aşağıdaki linke tıklayarak güncelleştirme hakkında bilgi alabilirsiniz. Güncellemeyi hızlı bir şekilde uygulamak mümkün değil ise, kayıt defteri tabanlı geçici bir çözüm kullanılabilir.


Twitter'da Hack Skandalı



Bu ay içinde herkesin gözleri önünde bir siber saldırı gerçekleşti. Kirk kod ismini kullanan bir siber saldırgan, Twitter’da doğrulanmış profilleri ele geçirerek bir kaç saat içinde 100 bin Dolar’dan fazla para toplayarak kayıplara karıştı.

Elon Musk, Bill Gates, Jeff Bezos, Apple, Uber gibi hesaplardan paylaşım yapan saldırgan, belirttiği Bitcoin cüzdanına 30 dakika içinde gönderilen her 1000 Dolar’a karşılık  2 katını göndereceğini yazdı.  

Twitter tarafından yapılan açıklamada, saldırganların az sayıda çalışanı sosyal mühendislik yöntemi ile manipüle ettiğini, ele geçirilmiş çalışanların bilgileri ile iç sisteme girmeye başardıklarını ayrıca ele geçirilen hesaplardan 8 tanesinin özel verilerinin saldırganlar tarafından indirildiği belirtildi.

İndirilen veriler arasında şunlar yer alıyor.

  • Özel mesajlar, videolar, fotoğraflar,
  • Mobil uygulama üzerinden aktarılan telefon rehberi
  • Uygulamanın yedeklendiği konum bilgisi
  • Engellenmiş ve sessize alınmış hesaplara ait bilgiler
  • Twitter’ın kullanıcı hareketlerinden oluşturduğu ilgi alanı bilgileri

Polisin takibi ve düzenlediği operasyonla yakalanan 17 yaşındaki Graham Clark, 19 yaşındaki Mason Sheppard ve 22 yaşındaki Nima Fazeli tutuklandı. Mason Sheppard, elektronik para transferi ve kara para aklamak için komplo kurmaktan 45, Nima Fazeli ise yardım ve yataklıktan 5 yıl ile yargılanacak. Kirk kod isimli Graham Clark'ın alacağı ceza henüz kesinleşmedi.

Maze Fidye Virüsü Yine İş Başında


ABD hava kuvvetlerinin Minuteman III kıtalararası balistik füze sistemi projesinde alt yüklenici olarak çalışan Westech International, Maze fidye yazılımı saldırısına uğradı.

Siber saldırganlar, ağdaki bilgisayarları ve sunucuları şifrelemeden önce tüm dosyaları çektiler ve şirketi fidye ödemesi yapmaya zorlamak için çalınan veriler içinden bordro bilgileri ve bazı e-posta yazışmalarını internette sızdırmaya başladılar. 

Saldırıya uğrayan şirketin müşterileri arasında ABD kara deniz ve hava kuvvetleri, Booz Allen Hamilton, General Dynamics, Lockhead Martin Bilgi Teknolojisi gibi büyük firmalar da bulunuyor. Saldırının tam boyutu bilinmezken, Maze fidye saldırısı dosyaları şifrelemesinin yanında otomatik olarak etkilenen tüm dosyaları saldırganların sunucularına yedekliyor.


Keeper Grubu E-Ticaret Sitelerini Vuruyor


Bir araştırma şirketi, Keeper ismini verdiği bir siber saldırı grubunun 1 Nisan 2017’den itibaren 55 farklı ülkede 570’den fazla e-ticaret sitesine Magecart saldırısı (mağazalardaki kredi kartı bilgilerinin ele geçirilmesi için yürütülen siber saldırılar) düzenlediğini belirtti.

Siber saldırganlar alışveriş yapılırken ödeme formlarına girilen kart bilgilerini kendilerine ileten kötü amaçlı yazılımı sistemlere ekleyerek ödeme bilgilerini çaldı.

Mağdur sitelerin %85’den fazlasının Magento kullandığı, saldırıdan en çok etkilenen ülkelerin ABD, İngiltere ve Hollanda olduğu ayrıca e-ticaret sitelerine zararlı kod yüklemek için kullanılan 64 domain ve ele geçirilen kart ödeme bilgilerinin aktarıldığı 73 domain tespit edildi. 

Uzmanların verdiği bilgiye göre grubun elinde 700.000’e yakın kart ödeme bilgisi yer alıyor ve dark web üzerinden 10 Dolar’a sattıkları göz önüne alınırsa 7 milyon Dolar gelir elde etmiş olabilecekleri belirtildi.

Magecart saldırısına uğrayabilecek Magento CMS üzerinde faaliyet gösteren 250.000’den fazla platform bulunduğu ve saldırganların aylık 500.000 ile 1.000.000 ziyaretçisi bulunan sistemleri hedeflediği belirtildi.


Huawei'ye İngiltere'den Ambargo


İngiltere Başbakanı Boris Johnson, 2027 yılına kadar Huawei ekipmanlarının İngiltere’nin 5G ağından tamamen kaldırılmasını emretti.

Ocak ayındaki görüşmelerde, Huawei’nin 5G çalışmalarına izin verilmiş ancak asli 5G ağının dışında kalacağı, nükleer santraller ile askeri tesislerde faaliyet gösteremeyeceği ve piyasa payı %35 ile sınıflandırılması kararları alınmıştı. Temmuz ayında alınan kararla bu şartlı izin de rafa kaldırıldı ve yıl sonundan itibaren 5G şebekesi için ekipman alımını yasakladı.

Ülkenin en büyük GSM operatörlerinden Vodafone, Three ve BT, Huawei ekipmanlarının 3 seneden önce sistemlerden çıkarılmaları halinde sinyallerde kesintiler olabileceğini ve operatörlere 2 milyar Sterlin’e mal olacağı belirtti.

Geçtiğimiz aylarda İngiltere ve Çin arasında yaşanan gerilimden sonra Çin hükümeti İngiltere’yi uyararak düşmanca davranması durumunda sonuçlarına katlanacağı yönünde uyarıda bulunmuştu.

ABD ve Avustralya da Huawei’nin ulusal güvenlik için tehdit olduğunu belirterek yasak getirmişti.


REvil Fidye Zararlısı Arjantin'de Kaos Yarattı



Arjantin’in en büyük İnternet Servis Sağlayıcılarından olan Telecom Argentina, REvil fidye yazılımı saldırısına uğradı. Saldırganlar şifreyi açmak için 7.5 milyon Dolar değerinde kripto para talep etti.

Saldırganlar çalışanlardan birisine e-posta eki ile zararlı yazılım göndererek sisteme sızdılar ve domain admin yetkisi alarak 18 Temmuz’da 18.000’den fazla bilgisayarı şifreleyen bir siber saldırı gerçekleştirdi. Yaşanan saldırı Arjantin’in en büyük saldırılarından birisi olarak anılıyor.

İnternet servisi alan müşterilerin bağlantılarında herhangi bir kesinti olmadı ancak şirkete ait internet siteleri çevrimdışı oldu.

Fidye grubunun Darkweb’te bulunan ve fidye ödemeyen şirketlerden çaldığı verileri satan marketinde Telecom Argentina ile ilgili henüz bir duyuru yapılmadı. Fidye grubu daha önce de Sri Lanka’nın en büyük internet servis sağlayıcısını hedef almıştı. 

İran'ın Hacker Eğitim Videosu İnternete Sızdı


İran bağlantılı APT35 grubu, yanlış yapılandırdığı ve güvensiz bir şekilde bıraktığı sunucu ile olay yarattı. Bir güvenlik şirketi tarafından tespit edilen sunucu içinden 40 GB boyutunda veri ve genç hackerları eğitmek için kullandıkları videolar ortaya çıktı.

5 saatlik video içinde saldırıya uğramış bir Yahoo ve Gmail hesabına erişim, içeriklerin indirilmesi ve Google tarafından barındırılan diğer ek verilere erişimi görüntüleri, Spear Phishing saldırı aşamaları, oluşturulmuş hesaplar üzerinde yönetim gibi farklı eğitimler yer alıyor.

Çalınan 40 GB boyutundaki veri içinde ise aralarında ABD ve Yunanistan askeri personelinin de olduğu hesaplardan elde edilmiş bilgiler olduğu belirtildi ve araştırmacılar hackerların fotoğraflar, e-postalar ve kişisel bilgilere sahip olduklarını doğruladılar.



Marsh ve TÜSİAD iş birliği ile yapılan bir araştırmaya göre Türkiye’de firmaların %78’i siber saldırı olmadan harekete geçmiyor.

FAST VPN, Super VPN, Free VPN, UFO VPN, Rabbit VPN, Secure VPN, Flash VPN isimlerine sahip VPN servisleri ortak bir sunucuda tutulan 20 milyondan fazla kullanıcının verileri sızdırıldı. Sızan veriler arasında kişisel bilgilerden ayrı olarak cihaz bilgileri, bağlantı logları ve ağ bilgileri yer alıyor.

GDPR tarafından 2 yılda 340 kuruma 160 milyon Euro’ya yakın para cezası kesildi.

2019 yılında siber saldırıya uğrayan ABD'li MGM otellerinden 10.6 değil 142 milyon kullanıcı verisi çalındığı ortaya çıktı.

Amerika'da Yevgeniy Nikulin isimli kişi LinkedIn, Dropbox ve Formspring'e ait kullanıcı verilerini satmakla yargılanıyor. 2012'de LinkedIn'i hackleyen saldırgan 117 milyon kişinin kayıtlarını ele geçirmişti. Dava Eylül 2020'de sonuçlanacak.

Güvenlik araştırmacıları 300'den fazla Android uygulamasını etkileyen BlackRock isimli yeni bir bankacılık zararlısı tespit etti. Zararlı yazılım klavye takibi, sms gönderme, ekran kilitleme gibi özelliklere sahip.

Türkiye'nin siber güvenlik alanında eğitim verecek olan ilk lisesi 2020-2021 döneminde Teknopark İstanbul'da eğitim öğretime başlayacak.

Eski Yahoo çalışanı Reyes Daniel Ruiz, arkadaşlarının ve hoşlandığı genç kadınların e-postalarından verilerini kopyalamak suçundan ceza aldı. Toplamda 6000'den fazla hesaba erişen zanlı  125.000 Dolar para cezası ve 5 yıl ev hapsi aldı. Zanlının 4000 fotoğraf/video ile 2 TB veri kopyaladığı belirlendi.


Popüler Yayınlar