05 Ağustos 2021

Siber Güvenlik Bülteni - Haziran/Temmuz 2021

 

Bültenimizin Haziran-Temmuz aylarına ait başlıkları; 
  • Olimpiyatlar, Siber Saldırılar ile Start Aldı!
  • Bu Zararlı Mobil Uygulamalar 6 Milyon Kez İndirilmiş!
  • Volkswagen Müşterileri Veri İhlali
  • Siemens PLC Kod Çalıştırma Zafiyeti
  • Güncellenmemiş Sonicwall'lara Dikkat!
  • Sağlık Sektöründe Hassas Bilgi Krizi
  • 2012'den Süregelen APT Saldırısı
  • Veri Hırsızlığı Büyümeye Devam Ediyor
  • Kuzey Kore, Güney Kore'yi Hedef Aldı

Olimpiyatlar, Siber Saldırılar İle Start Aldı!

Japon araştırmacılar Olimpiyat temalı olan ve Japon kullanıcıları hedefleyen siber saldırıyı tespit etti


Gündemi takip eden, gündem içerikleri ile son kullanıcıları kandırmaya çalışan saldırganların en son örneği 2021 Tokyo Olimpiyatları oldu.

Henüz daha Olimpiyat açılış gösterileri öncesinde tespit edilen zararlı yazılımın, Japon işletim sistemlerini bulmaya yönelik tasarlandığı ve silme becerisi ile oluşturulduğu, Japon güvenlik firması araştırmacıları tarafından tespit edildi.

Araştırma ekibince "Acil ve Önemli" benzeri başlıklar ile kullanıcılara gönderilen bir e-postaya konulan zararlı içerik ile saldırının yapıldığı belirtiliyor.

Zararlı kod barındıran dosyanın Virustotal (zararlı yazılım analiz sitesi) üzerinden kontrol edilmek üzere daha önce de Fransa üzerinden yüklenerek analiz ettirildiği ve kontrol sırasında antivirüs yazılımları tarafından da tespit edildiği belirtildi. Yazılım belirli bir hedefe yönelik ve belirli dosya türleri için geliştirilmiş (DOTM, DOTX, PDF, CSV, XLS, XLSX, XLSM, PPT, PPTX, PPTM, JTDC, JTTC, JTD, JTT, TXT, EXE, LOG) ayrıca kullanıcının Windows kullanıcı klasörüne özgün saldırıda bulunuyor.

Yazılımın kullanıcı dosyalarını silme zararının yanı sıra, erişkin içerikli sitelere de istem dışı erişim sağlayıp içerik indiriyor. Bu durum pek çok kurumsal kullanıcı için büyük problemler de yaratabilir, çünkü yazılım bu işlemleri gerçekleştirdikten sonra kendini de silerek tüm suçu kullanıcıya yüklüyor!
 

Kullanıcı Olarak Ne Yapabiliriz?

Gündem ile ilişkili bu tür saldırılar; bizlerin hem merakını, hem de dikkatsizliğini hedefler. Saldırgan, hedeflediği kitlenin konuya duyarlı olduğunu bilir ve bir ileti beklenilmese dahi konuya ilgi duyulmasını sağlayabilir.

Bu saldırıların bir çoğunu güvenlik sistemleri yakalıyor, "SPAM, ÖNEMSİZ E-POSTA, ŞÜPHELİ İÇERİK" gibi uyarılar ile etiketleniyor. Ancak bazen, özellikle de yeni üretildikleri anlarda, sistemleri başarı ile atlatabiliyorlar.

İlginizi çeken başlık ve konu içerikleri yer alan bir e-posta, içerisinde bir PDF dosyası barındırıyor, sizi bu dosyayı okumaya teşvik eden, merak uyandıran veya baskı uygulayacak sözler ile kandırmaya çalışan saldırgan, bu dosya çalıştırıldığında PC üzerinde arka planda çalışmaya başlıyor, yalnızca sizin değil, sizin bağlı olduğunuz kablolu/kablosuz ağın da içerisindeki tüm sistemlere karşı tehdit oluşturuyor.

E-postalar içerisinde karşılaştığınız, bu tip şüpheli dosya ve/veya bağlantılar (linkler) mutlaka açılmadan önce bilişim uzmanına bilgi verilmeli ve uzmanlar tarafından gözden geçirilmelidir. Nasıl bomba görünümlü şüpheli bir pakete yaklaşmıyor ve açmıyorsak, bu iş için de uzmanlarına bilgi vermeli, kontrollü şekilde incelenmesini sağlamalıyız. Zira zararlı erişim, ilk tıklamadan sonra saniyeler içerisinde otomatik olarak başlıyor ve zararlı yazılımlar çalışırken bir bilgi mesajı da sunmuyor.

Bu Zararlı Mobil Uygulamalar
6 Milyon Kez İndirilmiş!

10 zararlı uygulamanın 9'unun Google Play üzerinden indirildiği tespit edildi


Mobil cihazlarımız için güvenli indirme alanlarını tercih etsek bile saldırganlar çoğu zaman bilgileri çaldıktan sonra açığa çıkıyor.

Bu yazılımlar tamamen normal fonksiyonlarını yerine getirerek çalışmakta, kullanıcı tarafından şüphe duyulmamakta, ancak erişim bilgilerini dışarıya sızdırmakta. Olağan haliyle bir uygulama ve basit bir giriş bilgilerini talep etme durumu gibi görünmesine karşın, bu yazılımların Facebook kullanıcı bilgilerini ve oturum çerezlerini çalarak, bir sunucuya gönderdiği ve siber suçlular ile paylaştığı tespit edildi.

Tespit Edilen Zararlı Yazılımlar

PIP Photo (5,000,000+ yükleme)
Processing Photo (500,000+  yükleme)
Rubbish Cleaner (100,000+  yükleme)
Horoscope Daily (100,000+  yükleme)
Inwell Fitness (100,000+  yükleme)
App Lock Keep (50,000+  yükleme)
Lockit Master (5,000+  yükleme)
Horoscope Pi (1,000+  yükleme)
App Lock Manager (10+  yükleme)

Google Play güvenlik ekibi, bu tip suistimalleri engellemeye karşı yeni politikaları devreye alıyor, genel iyileştirme çalışmaları doğrultusunda 2 basamaklı (2SV) doğrulama kullanımını da devreye almaya başladığı da bilinmekte.

Kullanıcı Olarak Ne Yapabiliriz?

Çözüm çoğu zaman kullanıcının bilinçli yaklaşımında yatıyor. Kullanıcıların app - uygulama yüklemeleri sırasında uygulamaya verdiği izinleri gözden geçirmesi gerekir. Dijital varlıklarımızın güvenliği için gerçekten gerekmeyen programları yüklememeli, fonksiyonu için ihtiyaç duymasa da her izni isteyen programları tercih etmemeliyiz.

Biliyor muydunuz?
Siber güvenlik uzmanları olarak bizler, cihaz güvenliğimizi sürdürmek amacıyla pek çok yazılımı gündelik hayatımızda kullanmıyoruz! Yalnızca gerçekten ihtiyaç duyduğumuz yazılımların, risk doğuran bir erişim izni talep edip etmediğini yükleme sırasında okuyarak gözden geçirip onaylıyoruz. Ne kadar popüler olursa olsun riskli gördüklerimizi telefonlarımıza yüklemiyor ve pek çok keyifli oyundan, renkli programlardan mahrum kalıyoruz :)

Volkswagen Müşterileri Veri İhlali

Volkswagen Amerika, ürünlerinin satış ve kiralamasını gerçekleştiren 3. taraf bir firmadan, müşteri verilerinin açığa çıktığını açıkladı


2014-2019 yıllarında otomobil satın almış 3.3 Milyon müşteri olduğu açıklandı. Sızan veriler ağırlıklı olarak ad, soyad, kişisel veya ticari e-posta, telefon numarası bilgilerinden oluşuyor. 90 Bin müşterinin ise araç tahsis numaraları, satın alınan veya kiralanan araçların renk, yıl, model gibi bilgileri ve ek olarak kredi kartı numarası, ehliyet numarası, sosyal güvenlik numaraları bulunmaktadır.

İlk incelemelere göre veri sızıntısı sebebinin, firmanın verileri güvensiz olarak çevrimiçine taşıması olduğu düşünülüyor.

Açığa çıkan veriler ile ilgili henüz bir ihlal gözlemlenmemiş; fakat, ilerleyen süreçlerde bu bilgiler ile oluşturulacak saldırı senaryolarıyla kurum müşterilerinin oltalama saldırılarına maruz kalacağını öngörmek çok zor değil.

 

Kullanıcı Olarak Ne Yapabiliriz?

Sizden kaynaklı olmayan bu tür veri sızıntılarında, değiştirilmesi mümkün olan bilgileri değiştirmeniz gerekmekte, değiştirilemeyen bilgiler için ise gelebilecek saldırıları öngörüp, veri sızıntısı yaşanan konu ile ilgili gelebilecek yazışma ve taleplere karşı ek dikkat ile yaklaşmak gerekiyor.

Sizi arayan veya e-posta gönderen kişinin hakkınızda bir çok bilgiye sahip olması, sizin bir talebiniz ve beklentiniz olmadığı müddetçe, karşı tarafa olan güveninizi kesinlikle artırmamalı; şüphe ile yaklaşılmalıdır. Maalesef veri sızıntısı sebebiyle, uzunca bir süre gelebilecek oltalama telefonları veya e-postalara karşı şüphe ile yaklaşmak gerekecektir.

Siemens PLC Kod Çalıştırma Zafiyeti

Siemens yakın zaman önce SIMATIC S7-1200 ve S7-1500 PLC ürünlerine yönelik uzaktan kod çalıştırmaya imkan sağlayan zafiyetler için yazılım güncellemesi yayınladı. Söz konusu zafiyet bellek koruma bypass zafiyeti CVE-2020-15782 olarak tanımlanmıştır.

Siemens tarafından yayınlanan raporda TCP 102. portuna erişimi olan kimliği doğrulanmamış bir saldırganın, korumalı bellek alanlarına rastgele veri ve kod yazabileceği veya daha fazla saldırıları artırmak için hassas verileri okuyabileceği belirtildi.

Bahsi geçen bu saldırı metotları ise Siemens PLC'ler için yeni bir zafiyet değil, daha önce de dünyada siber saldırı tarihinde önemli yeri olan Stuxnet, Siemens PLC üzerinde izinsiz kod çalıştırmaya imkan sağlıyordu. Bu zafiyet ile İran Nükleer Santralleri'nde felakete sebebiyet verecek bir saldırı düzenlenmişti, ancak her ne kadar etkili olsa da istenilen sonuca ulaşılamamıştı.

 

Ne Yapılmalı?

Siemens üzerinde yayınlanan güncellemelerin düzenli olarak takip edilmesi, uygulanması ve bu tür sistemlerin bilişim ağında izole edilmiş kontrollü bir şekilde bulunması gerekmektedir. Bu konuda gereken teknik tespitleri, dönemsel sızma testleri ile de gerçekleştirebilirsiniz.

Siemens'in yayınladığı rapora buradan ulaşabilirsiniz.

Güncellenmemiş Sonicwall'lara Dikkat!

Sonicwall ürünlerini hedef alan yeni Ransomware saldırısı


Amerika devlet yetkilileri ülkede etkin şekilde ortaya çıkmasından sonra bazı modellerin "acilen fişlerinin çekilmesine" yönelik uyarıda bulundu(!). Bu elbette bizim tarafımızdan önerilen bir önlem metodu değil, ancak zamanında yenilenmeyen veya sistemlerini destekleyen ek güvenlik önlemi bulunmayan bir çok işletme için böyle acil durumlarda söylenebilecek başka bir uyarı da kalmıyor.

Botlar ve otomasyon yazılımlar kullanarak yapılan saldırılar, eskiye kıyasla oldukça hızlı gelişiyor ve yayılıyor. Bu tip saldırılar maddi kayıplara dönüşüyor ve kayıplar büyüyor, çünkü başarılı olan saldırganın bir noktadan gelir elde etmesi durumunda, daha da fazla saldırı yapmak üzere motive olmasına vesile oluyor.
 

Etkilenen Sistemler


SRA 4600/1600  (2019'da sonlandırıldı)
Önerilen müdahale; devredışı bırakılması. Parolaların yenilenmesi.

SRA 4200/1200  (2016'da sonlandırıldı)
Önerilen müdahale; devredışı bırakılması. Parolaların yenilenmesi.

SSL-VPN 200/2000/400 (2013, 2014'te sonlandırıldı)
Önerilen müdahale; devredışı bırakılması. Parolaların yenilenmesi.

SMA 400/200 (Sınırlı destek devam ediyor) 
Önerilen müdahale; acilen 10.2.0.7-34 veya 9.0.0.10 versiyonuna güncellenmesi. Parolaların yenilenmesi. Multi-factor authentication (çok basamaklı doğrulama) devreye alınması.

Sonicwall'un yayınladığı bildiriye buradan ulaşabilirsiniz.

Sağlık Sektöründe Hassas Bilgi Krizi

Ransomware (Fidye Zararlısı) saldırıları halen bitmedi! Her geçen gün artmaya ve saldırı hedeflerini genişletmeye devam ediyor.


Alıştığımızın dışında son olarak bu saldırılar sağlık sektöründe iki alanı daha hedefledi ve fidye talep etti!

Bunlardan biri doğum kliğini diğeri ise psikiyatri kliğini. Bu kliniklere sızan siber saldırganlar 40.000'den fazla kişinin, doğum süreç bilgilerini, ad, soyad, klinik test sonuçları, psikiyatri servisi süreçleri ve hasta seans notları gibi özel ve hassas verilerini çaldı ve fidye talep etti. Gerekli fidyelerin ödenip, ödenmediği henüz açıklanmadı fakat önceki benzer saldırılarda bu tür verileri ifşa olduğunu unutmamak lazım.

Kişinin en özeli olan, dostlarımızla, ailemizle hatta eşimizle bile paylaşamadığımız veriler, dijital ortamda saldırganlar tarafından erişilebilir hale gelebiliyor. Bu tür saldırılar insanlarda geri dönülemez yıkımlara da sebep olabilir.

Artan dijital dönüşümler dolayısıyla, siber saldırılar karşısında artık kurumların siber güvenlik yatırımlarını da sormamız gerektiği dijital çağa gelmiş bulunuyoruz.

2012'den Süregelen APT Saldırısı

APT Saldırganları 
Suriye e-devlet portalı üzerinden Android trojan dağıttı


APT zararlısı yazılım, 2021 Mayıs ayında Suriye e-devlet portalı görünümü ile web sitesi üzerinden dağıtılarak android uygulaması kullanıcıları hedeflendi.

İlk kez açık olarak web sitesi üzerinden kullanıcılara gerçekleştirildiği gözlemlenen APT saldırısının, farklı metotlar ile aynı amaçlar doğrultusunda 2012'den bu yana sürdürüldüğü ve Suriye'nin yanı sıra Türkiye'yi de odağına alan saldırı amacı taşıdığı da bilinmekte idi.

Bu saldırı ile yüklenmiş olan telefon üzerinde adres rehberi, hücresel ve kablosuz ağ bilgileri, konum bilgisi gibi önemli bilgilerin elde edilmesinin yanı sıra ayrıca çıkarılabilir hafıza alanına da yazma yaptığı görülmekte.

APT zararlısı ile ayrıca mobil cihazın arka planda uzun süreli işlem yapması mümkün olurken, saldırı komuta merkezi (command-and-control server)'ne de şifreli olarak bağlantı kurduğu ve saldırı hareket türünü değiştirebilen ayarlar aldığı tespit edilmiş durumda.

Bu erişimlerinin devamında ise tüm adres rehberi bilgileri, cihazda yer alan Word, Excel, PDF, resim belgeleri, güvenlik anahtarları ve kayıtlı dosyaları komuta merkezine ilettiği görülmekte.

Bazı uzmanların görüşlerine göre, yazılımların web sitesi üzerinden indirilerek dağıtılmasının sağlanması, android store üzerinde yaratılan güvenlik çemberinin kırılmasına yol açmakta ve riski artırmakta. Bu görüşe katılmakla birlikte, güncel örneklerde de görüldüğü gibi gerçek anlamda bir güvenliği sağlamanın ilk şartının kullanıcının verdiği yetkileri gözden geçirmesi, e-devlet uygulaması dahi olsa, yetki aşımına karşı izin vermemesi, gerektiğinde yazılım sahibine geri bildirimde bulunması kesin çözüm olarak görünüyor.

APT problemine yönelik sunduğumuz yerli çözümümüz TINA ve APT tespit hizmetimizi de konusu gelmişken tekrar hatırlatmak isteriz.

Veri Hırsızlığı Büyümeye Devam Ediyor

Hassas veri, kimlik bilgileri ve çerezler dahil toplam 1.2 TB veri elde edildi.


Geçtiğimiz aylarda yeni keşfedilen zararlı yazılım; 2018-2020 tarihleri arasında yaklaşık 2 yıl içerisinde hassas veri, kimlik bilgileri ve çerezlerden oluşan toplam 1.2 TB veri topladı. 3.2 milyon sistemden 6.6 milyon dosya, 26 milyon kimlik bilgisi, 11 milyon tekil e-posta adresi ve 2 milyar web giriş çerezleri topladığı belirlendi.

Habere konu bu tür zararlı yazılımlar en yaygın olarak; kullanılan kaçak - crackli yazılımlar, kaynağı belli olmayan 3. parti uygulamalar ve korsan araçlardan kaynaklı bulaşmaktadır.

Her geçen gün kullanıcı dikkatinin azaldığı dijital dünyada, bu tür verileri toplayan zararlı yazılımlar 100$ gibi çok ucuz fiyatlara satılmaktadır. Çalınan dosyaların içerisinde %70'i metinlerden (parola, log, kişisel notlar, word, pdf) oluşurken geri kalan %30'u ise png ve jpeg gibi resim formatlarından oluşmaktadır.
 
 Hedeflenen Top 10 Uygulamalar

  • Google Chrome
  • Mozilla FireFox 
  • Opera
  • Internet Explorer/Microsoft Edge
  • Chromium
  • CocCoc 
  • Outlook
  • Yandex Browser 
  • Torch 
  • Thunderbird

Saldırganların hata yaparak kendi çevrimiçi alanlarını ifşa etmesiyle bu veriler keşfedildi, ne mutlu ki saldırganlar da son kullanıcılar gibi hata yapabiliyor.

Kuzey Kore, Güney Kore'yi Hedef Aldı

Güney Kore devleti tarafından işletilen Korea Atomic Energy Research Institute (KAERI) 'e geçtiğimiz hafta sızıldığı açıklandı.


Henüz olumsuz bir sonuç tespit edilememiş durumda, fakat yapılan incelemelerde VPN üzerinden içeriye erişim olduğu düşünülüyor.

Bilindiği üzere pandemiyle beraber birçok kurum uzaktan çalışmaya geçti ve bununla birlikte VPN kullanımı ciddi oranda arttı. Bu yüzden saldırganların VPN sistemlerini yoğun olarak hedefledikleri ve başarılı oldukları görülüyor.

Saldırı, Kimsuky adlı siber saldırı grubu (Kuzey Kore destekli) tarafından gerçekleştirilmiş; bahsi geçen bu grup 2012 yılından beri aktif olarak Güney Kore'deki sosyal toplum kuruluşlarını ve nükleer güç operatörlerini hedef almaktadır.

Grubun henüz hangi VPN sistemi üzerinden içeriye eriştiği tespit edilememiş, fakat geçtiğimiz bültenlerde de belirttiğimiz bir çok üretici, son aylarda da aktif olarak Pulse Secure, Sonicwall, Fortinet FortiOS ve Citrix ürünleri tarafında ciddi zafiyetler bulunmuş ve yama yapmayan bir çok kullanıcı kuruluş ise hedef olmuş ve halen de aktif olarak hedef olmaya devam etmektedir.

Kurumsal işletmelerin dijital kaynaklarını ve bilgilerini korumaları, risklerini azaltmaları için önerimiz; periyodik olarak hem iç kontroller gerçekleştirmeleri, hem de siber güvenlik uzmanlarının gerçekleştireceği sızma testleri ile risklerini ve çözümlerini tespit ettirmeleridir.

01 Temmuz 2021

PrintNightmare: Kritik Windows Zafiyeti

Windows üzerinde aktif olarak gelen Print Spooler servisinde kritik bir zafiyet keşfedildi.


Zafiyet, PrintNightmare (CVE-2021-1675) olarak adlandırıldı. Microsoft düşük öncelikli olarak belirttiği zafiyet için 8 Haziran'da yama yayınladı, fakat zafiyetin uzaktan kod çalıştırmaya (RCE) imkân sağladığı potansiyelinden dolayı, kritik olarak güncelledi.

Yayınlanan yamanın bazı Windows sistemlerinde (Windows Server 2019) etkisi olmadığı gözlemlendi.  PrintNightmare zafiyeti dışarıdan bir saldırganın SYSTEM üzerinde komut çalıştırabileceğini gösterdi. Ayrıca Domain Controller gibi kurumun önemli sistemlerini hedef alıyor, Domain Controller üzerinde yetkiyi ele geçiren saldırgan, domain üzerinde tam yetki ile birçok noktaya erişim sağlayıp, veri değiştirme, kod çalıştırma vs. imkânı sağlamaktadır.

PrintNightmare zafiyeti için yayımlanan istismar kodu neredeyse tüm Windows sistemlerini etkiliyor. Etkilenen sistemler;  Windows Server (2004, 2008, 2008 R2, 2012, 2012 R2, 2016, 2019, 20H2) ve Windows (7, 8.1, RT 8.1, 10).

Geçtiğimiz yıl da Microsoft'un Print Spooler servisinde, PrintDemon  (CVE-2020-1048)  isimli bir zafiyet tespit edilmiş, bu zafiyetin sistemde herhangi bir yere rastgele veri yazdırılmasına sebep oluyordu ve yaması yayınlanmıştı.

Çözüm;

Maalesef henüz tam anlamıyla zafiyeti engelleyebilecek bir yama yayınlanmamıştır. Bunun için Print Spooler servisinin kapatılması veya kaldırılması önerilmektedir.  

Komut satırından servisi durdurmak için;

  • CMD servisini yönetici olarak çalıştırın.
  • Komut satırında; net stop spooler yazarak, servisi durdurun.
  • Tekrar başlatmak istediğinizde net start spooler komutu ile başlatabilirsiniz.

08 Haziran 2021

Siber Güvenlik Bülteni - Mayıs 2021

 

Fidye Saldırılarının Popüler Kapısı: Pulse Connect Secure VPN

Pandemi sürecinde kullanım sıklığı artan VPN ürünlerinin zafiyetleri her geçen gün artmaya devam ediyor. Pulse Connect Secure VPN üzerinde geçtiğimiz ay çıkan zafiyetlerden sonra yeni ve kritik bir zafiyet daha tespit edildi. Yeni çıkan zafiyette root kullanıcıyı ele geçiren saldırganlar sistem üzerinde kod çalıştırmasına imkân sağlamaktadır.

Bu zafiyeti kullanıp sistemlere saldıran grupların Çin bağlantılı olduğu da tespit edildi. Yoğun olarak dünya üzerinde savunma sanayi ve devlet kurumlarını hedefledikleri ve gizli verinin açığa çıkarıldığı görüldü. Sistemlere sızan siber saldırgan gruplarının sadece dışarı veri çıkarmadığı, kalıcı olarak sistemlerde kalmaya da zorlandığı görülüyor.

Kuruluşların hızlıca Pulse Connect Secure VPN ürünlerini son sürüme güncellemeleri gerekmektedir. Bunun dışında düzenli olarak zafiyet taraması ve sızma testi gibi hizmetleri alıp, sistemleri periyodik olarak kontrol ettirmeli ve güvenlik strateji ve politikalarını bu çıktılara göre güncellemelidir.

App Store'da Bekleyen Büyük Risk

Geçtiğimiz aylarda Google ile alakalıda benzer bir operasyon gerçekleşmiş ve yüz binlerce uygulama güvenlik ihlali sebebiyle kaldırılmıştı. Apple, yayınlanan rapora göre 2020 yılı içerisinde sadece para ve bilgi ihlali yapan 215.000 uygulamayı yayından kaldırdı ve bu uygulamalar üzerinden yaklaşık 1,5 milyar dolarlık haksız kazanca engel olarak kullanıcılarını korudu.

Raporda yer alan diğer bilgilere göre, uygulamalar üzerindeki puanlama ve yorumlar ile alakalı yanlış bilgilendirmeler gerçeklemiş. Genel kullanıcı kitlesi uygulama indirirken baktığı 3 ana etken var, indirilme sayısı, puanlama yapan sayısı ve yorum sayısı oluyor. Raporda belirtildiği üzere; 250 milyondan fazla puanlama ve yorum kaldırıldı, bunun sebebi ise insanları yanlış yönlendiriyor olması, hali hazırda internet üzerinden uygulamalarına yorum yazacak ve puanlama yapacak birçok uygulama geliştirici şahıs ve şirket görebilirsiniz. Bu da bizlere gösteriyor ki, uygulamaların indirilmesi sayısı, puanları ve yorum sayıları Apple gibi bir şirket üzerinde bile rahatlıkla manipüle edilebiliyor.

Bu kadar büyük bir organizasyon üzerinde kullanım arttıkça, kötü niyetli kişi ve gruplarında aktif olarak yer aldığını görebiliyoruz, bu yüzden banka bilgilerimiz, sağlık bilgilerimiz, özel ve hassas bilgilerimiz gibi değerli verilerimizi barındırdığımız telefonlarımıza herhangi bir uygulama indirirken şüphe ile yaklaşmalı ve mümkün olduğu kadar ihtiyaç duyulan uygulamaları yüklemeliyiz.

Conti Fidye Zararlısı, Sağlık Sektörünü Hedefliyor.

Conti fidye grubu sağlık sektörünü hedefliyor. Geçtiğimiz yıl birçok ülkenin sağlık sistemlerini ve acil servis hizmetlerini sekteye uğratan Conti fidye grubu dünya çapında 400'den fazla sistemi etkiledi ve halen sağlık sistemi, acil servis hizmetleri ve belediye hizmetlerine sekte vurmaya devam ediyor.

Conti grubu da standart bir fidye zararlısı grubu gibi, verileri şifreler ve fidye talep eder, eğer ödeme belirtilen sürede gerçekleşmez ise, veriler bu grup tarafından açığa çıkarılarak kurumun hukuki ve itibari sıkıntıya düşürülmesi sağlanır. Conti grubu sızdığı sisteme göre fiyat belirlemekte ve son olarak sızdığı bir ülke sağlık sisteminden 25 milyon dolar talep etmiştir.

Çalınan RDP kullanıcı hesaplarını satın alan grupların kuruluşlardaki fidye saldırıları kapışması başlıyor ve aynı bilgilere sahip farklı grupların da kurum içerisinde şifreleme esnasında birçok dosyayı bozduğu da görülüyor.

Aynı zamanda fidye gruplarının yoğun olarak sağlık, enerji, telekom, savunma gibi sektörleri tercih sebebi de, herhangi bir sistem durması halinde direkt kitlelerin etkilemesi ve birçok kuruluşta savunma ve acil durum planının uygulanmasının bile, fidye ödeyip sistemleri aktif hale getirmekten daha uzun sürmesi olduğu belirtiliyor.

RDP, Saldırıların Vazgeçilmezi Oldu.

Geçtiğimiz yıl yapılan bir araştırma gösteriyor ki, saldırgan grupların yaklaşık %90'ı RDP den faydalanıyor ve bunların %81'i fidye saldırılarında kullanılıyor. RDP, fidye saldırılarında ilk erişim sırasında aktif olarak kullanılıyor ve %69 olarak ağda yatay hareketler için de kullanılmaktadır, saldırılarda yatay hareketler kuruluşun sistemlerini tanıma, önemli sistemlerinde tespiti gibi noktalarda da önem arz etmektedir.

Birçok kuruluş birden fazla, gerek donanımsal gerek yazılımsal güvenlik ürünü kullanmaktadır ve bu sistemlerden aynı anda birçok alarm üretilmektedir. Birçok kuruluş için en önemli faktör halen insan olmaktadır, güvenlik ürünlerinin artması ve dinamiklerin değişmesi sebebiyle yeterli birikime sahip olmayan teknik personelin de, bu alarmları yorumlayabilmesi hayati önem taşımaktadır. Çünkü bu tür saldırılar anlık gelişmekte ve doğru yorumlanmadığında sızma gerçekleşir, içeriye yerleşen saldırgan geç kalınan savunma metotlarından kurtulmaktadır.

Pandemiyle beraber kullanımı artan RDP, saldırgan grupları işini çok fazla kolaylaştırmaktadır, 2020 yılının 1. ve 4. çeyreği arasında RDP saldırılarında %768 artış görülmüştür ve bu artış korkutucu bir şekilde de artmaya devam etmektedir.

Mobil Uygulamalar Bizi Tehdit Etmeye Devam Ediyor.

Bilgisayarlar üzerinde bir uygulama kurmak eskiden çoğu kişi için çok zordu ve çevresinden destek almak zorundaydı. Mobil cihazlar ile uygulamalar da artık hayatımızın vazgeçilmezi haline geldi ve artık uygulamalara ulaşmak ve indirip kurmak akıllı telefon kullanan herkesin destek ihtiyacı olmadan ve hızlıca halledebildiği bir çözüm olarak sunuluyor. Durum böyle olunca kullanıcıların çoğunluğu uygulamalara fazlasıyla güveniyor, sebebi de uygulama marketlerinin arkasındaki Apple, Google gibi firmaların bulunması yatıyor.

100 milyondan fazla indirilmiş 40 uygulama üzerinde yapılan analizde, bu uygulamaların bulut sistemi - AWS - anahtarlarının uygulamaya gömülü şekilde geldiği (içerisinde kimlik ve erişime olanak sağlayan bilgilerde yer alıyor) ve bu yüzden uygulamaların güvenilir olmadığı tespit edilmiştir. Bu uygulamaların içerisinde büyük ve kurumsal uygulamalar da mevcut, bunlardan bazıları; Adobe Photoshop Fix, Adobe Comp, Hootsuite, IBM's Weather Channel, Club Factory ve Wholee.

Bulut sistemler üzerinde yanlış yapılandırmalar geçtiğimiz yıllarda da birçok kurumun verisinin açığa çıkmasına sebep olmuştu, buradaki temel sorun bulut sistemlerinin güvenliğinin ötesinde, kullanıcı kurum ve kuruluşların bulut sistemi yeteri kadar anlamaması ve gerektiği şekilde konfigüre edemiyor olmasından kaynaklı, Türkiye'de zafiyet gözlemlediğimiz projelerde birçok firmanın yanlış bilgilendirmelerden dolayı güvende olduğunu zannettiğini, bulut sistem hizmetini satın aldığı firmanın güvenlik ve sistem takibi adına tüm gereksinimleri yerine getireceğine inanıldığını gözlemledik. Bulut sistemler de yerelde kullandığınız sistemlerde olduğu gibi, konfigüre edildiği kadar güçlü ve güvenlidir.

03 Mayıs 2021

Siber Güvenlik Bülteni - Nisan 2021

 

Cring Fidye Saldırısı Kapısı:
Forti VPN

2021 yılında da fidye saldırılarının hız kesmeden devam ettiğini görüyoruz. Siber Suçluların, endüstriyel işletmelere Cring olarak adlandırılan fidye yazılımı bulaştırmak için Fortinet VPN CVE-2018-13379 kodlu zafiyeti kullandığı tespit edilmiştir. Cring zararlısı, eriştiği cihazlardaki kritik dosyaları şifrelemekte ve daha sonra şifrelenen dosyaların kurtarılması için ücret talep etmektedir.

2019 yılında tespit edilmiş ve yaması yayınlamış olmasına rağmen, bu zafiyetin hâlâ kullanılabilmesi, birçok saldırıda olduğu gibi güncellemenin vaktinde yapılmamasının sonuçlarını net olarak ortaya koymaktadır.

Cring yazılımı bulaştırıldığı sistemde, ilk etapta açık kaynak kodlu Mimikatz aracını kullanarak hedef cihazdaki kullanıcı bilgilerini toplamaktadır. Topladığı bilgiler ile birlikte ağda tüm cihazlara yerleşmeyi deneyerek mümkün olan en fazla sayıda cihaza bulaşmaya çalışmaktadır, bulaştıktan sonra ise APT'lerin genel mantığı olan kalıcılık için, bir arka kapı oluşturmakta ve saldırgana dışarıdan erişim imkanı vermektedir.

Korunmak için;

  • CVE-2018-13379 için hazırlanmış olan yamayı uygulayınız.
  • Kritik sistemlerin yedeklerini düzenli olarak yedekleyip, yedekleme planlamanızı uygulayınız.
  • Kurum sistemlerinin güvenliğini kontrol altında tutmak için güvenlik danışmanlarından faydalanınız. Bu konuda desteğe ihtiyaç duyduğunuzda ISR Bilgi Güvenliği 'nin uzman kadrosuyla her zaman yanınızda olduğunu unutmayın.
  • Ağınızdaki sistemlerin anlık analiz edilebilmesi ve korunması için çözüm sunan siber saldırı algılama ve engelleme sistemleri kullanınız. Bu konuda desteğe ihtiyaç duyduğunuzda TINA Security 'nin ürün ailesinin her zaman yanınızda olduğunu unutmayın.

Hedefte Bu Kez SAP var

Güncel olmayan ve yanlış yapılandırılmış sistemler SAP'yi de vurmaya devam ediyor. Saldırganlar hassas verilerin çalınmasına, finansal dolandırıcılığa, fidye saldırılarına, kkritik iş süreçlerinin kesintiye uğratmasına ve diğer operasyonel kesintilere sebep olmaktadır. SAP günümüzde kritik önem taşıyan gıda dağıtımı, tıbbi sistemler, ilaç sektörü, kamu sistemleri, savunma sektörü gibi yaygın bir şekilde kullanılıyor.

Dünya üzerinde yaklaşık 400.000 den fazla kuruluşta kullanıldığı bilinmektedir. SAP şimdiye açığa çıkmış tüm zafiyetlerini yamalamıştır fakat yamalanmamış sistemlerin sayısı epey yüksektir ve bu sistemler her geçen gün saldırıya uğramaktadır.

Hali hazırda sık kullanılan SAP zafiyetleri şu şekilde listelenmektedir:

CVE-2020-6287
CVE-2020-6207
CVE-2018-2380
CVE-2016-9563
CVE-2016-3976
CVE-2010-5326

Google Play Faturalandırma Saldırıları

Geçtiğimiz aylarda Google Play Store üzerinde birçok uygulama kaldırıldı, bilindiği üzere Google Play Store son yıllarda artan uygulama ve kontrol denetimlerinde tespit edilemeyen birçok uygulamayı da güvenlik ihlali dolayısıyla bir süre sonra kaldırıyor. Bu sefer tespit edilen ve kaldırılan uygulamalar SMS bildirimlerini ele geçiren uygulamalar oldu. Tespit edilip Google Play Store'dan kaldırılmadan önce uygulamaların yaklaşık 750.000 kişi tarafından indirildiği tespit edildi. İndirilen uygulamalar, arka planda kişi telefonunda yapılan ödemelerin onay kodu SMS'lerini arka planda alarak, kurbana faturalandırmaktadır.

Bu yazılımların genel çalışma mantığı, Google Play Store üzerinde ilk yayınlandığı sürümlerin normal bir uygulama olarak çalışması ve ilerleyen dönemlerde güncellemelerde gönderilen kodlar ile birlikte kullanıcı telefonlarını gizlice saldırıya açık hale getirmesidir.

Telefonunuza indirdiğiniz uygulamaların sizlerden ne tür izinler talep ettiğini incelemenizi ve standart global popüler uygulamalar dışında herhangi bir uygulamayı telefonunuza yüklememenizi öneririz.

Tespit Edilen En Popüler Uygulamalar:

  • Keyboard Wallpaper (com.studio.keypaper2021)
  • PIP Photo Maker (com.pip.editor.camera)
  • 2021 Wallpaper and Keyboard (org.my.favorites.up.keypaper)
  • Barber Prank Hair Dryer, Clipper and Scissors (com.super.color.hairdryer)
  • Picture Editor (com.ce1ab3.app.photo.editor)
  • PIP Camera (com.hit.camera.pip)
  • Keyboard Wallpaper (com.daynight.keyboard.wallpaper)
  • Pop Ringtones for Android (com.super.star.ringtones)
  • Cool Girl Wallpaper/SubscribeSDK (cool.girly.wallpaper)

​1.3 Milyon RDP Server Erişim

UAS (Ultimate Anonymity Services), RDP bilgileri satılan platform üzerinden yaklaşık 1.3 milyon RDP giriş bilgileri satıldığı tespit edildi. Bu giriş bilgilerinin birçoğu önceki saldırılardan elde edilen kullanıcı adı ve parolalardan oluşmaktadır. RDP (Uzak Masaüstü Protokolü) kurum ağındaki sistemlere uzaktan veya yerel ağdan sisteme direkt erişim olanağı sağlamaktadır ve pandemi ile birlikte birçok kurum tarafından hızlı ve kolay erişim sağlaması sebebiyle kullanılmaktadır fakat büyük risk içerdiği geçtiğimiz yıllarda gerçekleşen saldırılarda da kendini göstermiştir.

Fidye saldırılarında da aktif olarak kullanılmaktadır hatta siber korsanlar piyasada açık olan ve kullanıcı adı parolasına sahip oldukları RDP giriş bilgilerini ortalama $ 3 ile $ 70 arası satmaktadır. FBI yaptığı araştırmalarda göstermiştir ki fidye saldırılarına yol açan ihlallerin ortalama %70 - %80 i RDP kaynaklıdır. Bilinen birçok fidye yazılım grupları sadece RDP üzerinden kurumların iç ağlarına erişim saldırıları gerçekleştirmektedir.

UAS üzerinde yapılan incelemelerde büyük bir ağın oluştuğu, burada satışa çıkarılmış RDP sunucuların, canlı olup olmadığı, bilgilerin güncel olup olmadığı, CPU, lokasyon, versiyon bilgisi, Download ve Upload Hızı gibi sunucular hakkında derinlemesine ve detaylı bilgi içermektedir. Bu platforma sızan güvenlik araştırmacılarının verdiği bilgilere göre 2018 'in sonundan bu yana 1.379.609 RDP hesabı, IP adresleri kullanıcı adı ve parola bilgilerini topladılar.

Bazı istatistikleri de burada paylaşacağız:

  • Yaklaşık 63 ülkeden devlet kurumları dahil birçok kuruma ait bilgi bulunmaktadır.
  • En çok erişim bilgisi bulunan RDP sunucu lokasyonları Amerika Birleşik Devletleri, Çin, Brezilya, Almanya, Hindistan ve Birleşik Krallık'tır.
  • Son 2 yılda fidye saldırısına uğramış birçok büyük kuruluş bilgileri de bu listede yeralmaktadır.
  • RDP sunucu bilgisi en fazla sağlık sektöründen kuruluşları içermektedir.
  • En çok kullanılan kullanıcı adları; 'Administrator', 'Admin', 'User', 'test', ve 'scanner'
  • En çok kullanılan parolalar; '123456', '123', 'P@ssw0rd', '1234', ve 'Password1'.

Pandemi En Çok VPN'leri Etkiledi.

Saldırganlar pandemi sürecinde kurumların aktif olarak kullandığı VPN sistemleri hedefledi ve kurumsal ağlara sızma yolları olarak VPN zafiyetlerini kullanmaya başladı. Geçtiğimiz haftalarda Pulse Secure VPN sistemleri üzerinde keşfedilen zafiyetler kısa sürede siber saldırganlar tarafından kullanılmaya başlandı. Araştırmalar gösteriyor ki Pulse Secure VPN sistemleri için hali hazırda aktif olarak kullanılan 12 zararlı yazılım ailesi mevcut.

VPN sistemlerindeki zafiyetlerden dünya üzerinde on binlerce kuruluşun etkilendiği düşünülmektedir. Açığa çıkan zafiyetler her ne kadar yamalanmış olsa da, yamayı uygulayan kuruluş sayısı çok azdır, bu ve benzeri büyük çaplı saldırılarda genellikle yaması çıkmış olmasına rağmen, yama yapılmamış sistemlerin kullanılmasıdır. Bu risk her geçen gün artmakta ve ülkelerin de özel ve kamu birçok kuruluşunu zor durumda bırakmaktadır. ABD'de mahkeme özel kuruluşlar dahil FBI'ya tespit edilen zafiyetli sistemlere gerekli yamayı uygulama yetkisi vermiştir.

Pandemiyle kullanımı yoğun olarak artan VPN sistemleri, zafiyet çıktığında yama uygulanması gereken ilk sistemler arasında yer almaya başladı, eğer sizler için ilk sıralarda değilse, bu konuda acil olarak kurumunuzdaki güvenlik politikalarını güncellemenizi öneririz.

Popüler Yayınlar