07 Aralık 2021

Siber Güvenlik Bülteni - Kasım 2021

Bültenimizin Kasım ayına ait başlıkları; 

  • MediaMarkt Fidye Yazılımı Saldırısına Uğradı
  • 2.1 Milyon Kişinin DNA Verileri Çalındı. 
  • FBI, Satın Alma ve Birleşme Yapan Şirketleri Uyarıyor.
  • ABD Hükümeti Hackerlar İçin Kesenin Ağzını Açtı.
  • Pink Botnet 1.6 Milyon Cihaza Bulaştı.

 MediaMarkt Fidye Yazılımı Saldırısına Uğradı

Alman devi MediaMarkt fidye yazılımı saldırısına uğradı.

MediaMarkt 13 ülkede 1,000'den fazla mağazasıyla Avrupa'nın en büyük tüketici elektroniği mağaza zinciridir, yaklaşık 53,000 çalışanı vardır ve yıllık cirosu 20.8 milyar Euro'dur.

Saldırı, Almanya ve Hollanda'da da BT sistemlerinin kapanmasına ve depolama operasyonlarının kesintiye uğramasına sebep oldu. Hive fidye yazılımı şirket sistemlerine pazarı pazartesiye bağlayan gece vurdu ve sabah tüm sistemlerin şifrelendiği görüldü. Almanya ve Hollanda ağırlıklı olsa da Avrupa'da birçok mağaza da durumdan etkilendi. Şirket online satışlarına devam ederken, yazar kasalar üzerinden ödeme alınamadı, makbuz kesilemedi ve iade taleplerine cevap veremez duruma gelindi.

Yapılan analizlerde yaklaşık 3,100 sunucunun etkilendiği belirtiliyor.

Hive fidye yazılımı grubu, MediaMarkt'tan şifre çözmek için ütopik bir ücret talep etti; 240 milyon dolar. Şimdiye kadar talep edilen en yüksek fidyelerden biri olduğunu söyleyebiliriz fakat bu rakamların, büyük şirketlerde pazarlığa başlamak amaçlı seçildiğini de biliyoruz. Hive grubu talep edilen fidyenin verilmemesi karşılığında bazı dosyaları ifşa edeceğini de açıkladı.

Saldırgan Hive grubuna da kısaca değinmek gerekirse;

  • Genellikle oltalama saldırıları ile elde ettiği bilgileri kullanarak sisteme sızarlar.
  • Sisteme sızdıktan sonra ağda yatay (yanal) hareketler ile tüm sistemlere ulaşmaya çalışır.
  • Ulaştığı sistemleri hızlıca şifrelemeye başlar.
  • Mağdurun yedeklerden sistemi eski haline getirememesi için tüm yedekleri de silmeye odaklanır.
  • Linux ve FreeBSD sistemlerini şifrelemek içinde varyant geliştirmekte ve kullanmaktadırlar.
  • Şimdiye kadar yapılan saldırılar incelendiğinde herhangi bir hedef sektörü bulunmamaktadır.


Hive grubu Ağustos ayında da Memorial Sağlık Grubuna saldırmış ve tüm kurumda sistemleri etkisiz hale getirerek, çalışanları kağıt tablolar üzerinde çalışmaya zorlamıştı.

 2.1 Milyon Kişinin DNA Verileri Çalındı.

ABD merkezli DNA test şirketi DNA Diagnostics Center (DDC) 2,102,436 milyon kişiyi etkileyen bir veri ihlali açıkladı. Şirket, yaptığı incelemelerde, kurum ağına 6 Ağustos'ta sızıldığını fakat veri ihlalinin tespitinin geçtiğimiz haftalarda gerçekleştiğini belirtti. İhlaldeki verilerin 2004 - 2012 yılı arasındaki yedeklerden elde edildiği, hali hazırdaki sistemlerden ihlal olmadığını da eklediler.

DDC bünyesinde 1995 yılından itibaren 20 milyondan fazla DNA testi gerçekleştirmiştir. Bu testler içerisinde babalık, göçmenlik, COVID19DNA ilişkisi ve doğurganlık gibi kritik testler de yer almaktadır.

Günümüzde saldırı vektörleri her geçen gün şiddetini ve insan hayatına olan etkisini artırmaya devam ediyor. Sağlık sektörü son zamanlarda ciddi anlamda saldırıya maruz kalıyor ve her saldırı diğerinden daha güçlü ve etkili olmaya devam ediyor.

KVKK'nın da etkisiyle birçok kurum bu alanda çalışma gerçekleştiriyor fakat KVKK gibi regülasyonlar sadece standardı sağlamak içindir, kurumların kendilerine özel olarak belirlenmiş stratejik kapsamlar dahilinde detaylı tespit çalışmaları yaptırmaları bu tür saldırılara karşı önceden hazırlık olmasını sağlayacaktır.

 FBI, Satın Alma ve Birleşme Yapan Şirketleri Uyarıyor.

Fidye yazılım gruplarının saldırıları hız kesmeden devam ediyor. Fidye ödeyen kurumların çokça olmasına karşın, ödemeyen kurum sayısının da epeyce fazla olduğu biliniyor. Bu durumu bilen fidye yazılım grupları ödeme alabilmek için bazı stratejik dönemlerde saldırmayı tercih ediyor. FBI; genellikle şirketlerin büyük satın alma veya birleşme durumlarında kurumları hedeflediğini ve bu dönemlerde dikkatli olunması gerektiği konusunda uyardı.

FBI açıklamasında; saldırganların şirketleri genellikle finansal işlemlerinin yoğun olduğu dönemde hedeflediğini kurum itibarına, satın alma ve birleşmeleri engelleme korkusundan dolayı daha yüksek meblağlar alabildiğini belirtmiş. Ayrıca kurumların hisselerinin dalgalanmasını da ciddi anlamda siber saldırılarla etkileyebileceklerinin farkında olduklarından bu dönemlerde şirketleri hedefleyip, başarıya ulaşma oranlarını artırıyorlar.

Saldırıya uğrayan şirketleri ödemeye ikna etmek için, saldırıyı direkt olarak NASDAQ vb. borsalara bildirmekle tehdit ettiklerini de biliyoruz. Bunun yanı sıra 2020'de ise kurumlara sızan saldırganlar çalınan verileri inceleyip, şirkete ait bilançoları, stok durumu gibi şirketi direkt olarak etkileyecek verileri sızdırmakla da tehdit ediyorlar.

FBI ek olarak fidye ödememeleri konusunda birçok şirketi de uyarıyor, çünkü ülkemizde de gördüğümüz vakalarda ödeme sonrası ulaşılamayan birçok saldırgan gruplar mevcut. Ödemeyi yapsanız bile dosyalarınızı kurtarma ihtimaliniz çok düşük ve ödeme yapan kuruluşların ise saldırgan grupları motive ettiğini sonraki yıllarda tekrar tekrar aynı yerlere saldırı yaptıklarından da anlayabiliyoruz. Bu yüzden saldırıya maruz kalmamak adına bazı adımlar atılmalıdır. Bu adımlar hem çözüm için yatırımı hem de danışmanlık gereğini doğurur. Doğru ve bütçe dostu bir çözümü satın almak için ürünlerden bağımsız olarak bir kurumun güvenlik danışmanlığı tercih edilmelidir. Bu konuda destek gerektiren bir durumda bizlere ulaşabilirsiniz.

 ABD Hükümeti Hackerlar İçin Kesenin Ağzını Açtı.

DarkSide ilk olarak Ağustos 2020'de ortaya çıktı ve 15 ülkeden fazla fidye yazılımı dağıttılar. Bu ülkelerde finansal hizmetler, yasal hizmetler, üretim, perakende ve teknoloji başta olmak üzere birçok şirketi hedeflediler ve başarılı oldular.

Mayıs 2021'de ise ABD'nin en büyük yakıtını taşıyan Colonial Pipeline Company boru hattı firmasına saldırdılar ve bu saldırı firmanın sistemlerini kapatmalarına sebep oldu. Saldırıdan dolayı şirketin 1 hafta boyunca ABD'nin Doğu Sahiline yakıt tedariki kesintiye uğradı.

Grup kar amacı gütmeyen kurumlar yerine, finansal analizler gerçekleştirip büyük kurumları hedefliyor ve kurumlardan büyük fidye talep ediyor.

Bu saldırı sonrasında ABD yeni bir plan ortaya koydu. Bu tehlikeli gruba karşı bir ödül programı başlattı; grubun yetkililerinden herhangi birinin tespiti için kişilerin belirlenmesine veya konumlarının belirlenmesine yarayacak bilgi paylaşması sonucunda 10 Milyon Dolar ödül vereceğini açıkladı. Buna ek olarak ABD Dış İşleri Bakanlığı ise gruba destek veren veya destek vermek üzere hazırlananlar hakkında istihbarat veya ihbarda bulunanlara da 5 Milyon Dolar kadar ödül vereceğini açıkladı. Bu girişimlerin nasıl sonuçlar doğuracağını yakın zamanda birlikte takip ediyor olacağız.

 Pink Botnet 1.6 Milyon Cihaza Bulaştı.

Çoğunluğu Çin'de bulunan yaklaşık 1.6 Milyon cihaza bulaşan Pink Botnet şimdiye kadar görülen en büyük botnetlerden biridir.

Pink Botnet kullanıcıların HTTP (web) trafiğine reklam enjekte etmek için kullanılıyor. Araştırmacılar son 6 yıldaki en büyük botnet olabileceğini ve 2019'da günlük 1,962,308 tekil IP'den trafik tespit edildiğini belirtiyorlar.

2020'de ise 5 milyondan fazla IP'den trafik oluştuğunu ve bu IP'lerin arkasında daha fazla cihaz olabileceğini de ekliyorlar. Pink Botnet ağırlıklı olarak MIBs tabanlı fiber routerları hedefliyor. Botnet, siber güvenlik firmalarına yakalanmamak için 3. taraf servisler, P2P ve C&C sunuculardan faydalanıyor.

Pink Botnet, Github ve Baidu Tieba üzerinden de uzak erişimi sağlıyor ve bu erişim için DNS-over-HTTPS (DoH) kullanıyor. Aynı zamanda dosya indirme, sistemde komut yürütme, DDoS atak, cihaz bilgilerini bildirme, ağda tarama yapma, kendi kendini güncelleme, P2P düğüm listesini senkron etme vb. komutları da barındırmaktadır.

03 Kasım 2021

Siber Güvenlik Bülteni - Ekim 2021

 

Bültenimizin Ekim ayına ait başlıkları; 
  • Dropbox Üzerinden Saldırı
  • Hasta Verileri Yine Çalındı
  • Accenture Fidye Yazılımı Saldırısına Uğradı
  • Kurbanların %83'ü Fidye Ödemeyi Kabul Ediyor
  • Üniversitede Veri İhlali

Dropbox Üzerinden Saldırı

İranlı hack gruplarının Dropbox üzerinden Ortadoğu'da havacılık ve telekomünikasyon endüstrilerine yönelik saldırı gerçekleştirildiği bildirildi. Saldırıyı gerçekleştiren grubun MalKamak isimli grup olduğu ve bu grubun İran hükümeti tarafından desteklendiği iddia ediliyor. Bu grubun 2018 yılından beri aktif olarak havacılık ve telekomünikasyon endüstrilerine karşı saldırı gerçekleştirdiği bilinmektedir; grup geçmişte Orta doğu dışında grup ABD, Avrupa ve Rusya'da da benzer saldırılar gerçekleştirdi.

MalKamak grubunun saldırdığı kurumlara yerleştirdiği RAT (Remote Access Trojan) ağdan bilgi toplayıp, ağda komut çalıştırmaya olanak sağlamaktadır. MalKamak grubu  içeri yerleştirilen RAT ile olan iletişimi Dropbox API üzerinden sağlamakta, içerideki zararlı yazılımı Dropbox üzerinden güncelleyebilmekte ve bilgi toplamaktadır. Dropbox üzerinden gerçekleştirildiğinden dolayı bu iletişimin ağ izleme araçları tarafından tespiti oldukça zordur.

2018 yılından beri aktif olan zararlı ShellClient'ın günümüze kadar geldiği ve Temmuz 2021 yılında ilk olarak tespit edildiği düşünülüyor. Farklı bir açıdan bakarsak; zararlı yazılımların ne kadar güçlendiği ve hali hazırda güven kazanmış uygulamalar üzerinden de bizlere ulaşabileceği ve 3 yıl sonra ancak tespit edilebildiği de düşünüldüğünde, siber dünyada ne kadar zor bir alanda savunma mücadelesi verdiğimizi unutmamak gerekiyor.

Hasta Verileri Yine Çalındı

Pandemiyle beraber sağlık sektörüne yapılan saldırılar hız kesmeden devam ediyor. Sağlık alanında en çok saldırı hastanelere ve tabiki hasta bilgilerine yönelik olarak gerçekleşiyor. Son gerçekleşen saldırıda bir hastanenin 68,792 hastası etkilendi. KVKK ile birlikte her ne kadar kişisel veriler koruma altına alınmaya çalışılsa da henüz yeterli ölçüde temel önlemler alınmamakta; bir çok kurum veri toplamaya çok rahat bütçe ayırırken maalesef veri koruma konusunda yeteri hassasiyeti göstermemektedir.

Dünyada olduğu gibi ülkemizde de hastaneler her geçen gün hedef olmaya ve ciddi anlamda bu saldırılardan etkilenmeye de devam ediyor. Sağlık sektörüne yönelik gerçekleştirilen saldırılar geçtiğimiz yıla göre %30 artmış durumda ve artmaya devam edecek gibi görünüyor.

Hastaneye yapılan son saldırıda, hastaların ifşa olan verileri içerisinde ise şu bilgiler yer almaktaydı:
  • Hasta İsimleri
  • Doğum Tarihleri
  • Sosyal Güvenlik Numaraları
  • Ehliyet Numaraları
  • Pasaport Bilgileri
  • Banka Hesap Numaraları
  • Tıbbi Bilgiler (Tanı, Tedavi, Tıbbı Kayıt ve Hasta Bilgileri)

Accenture Fidye Yazılımı Saldırısına Uğradı

Danışmanlık devi Accenture Ağustos 2021'de ifşa edilen bir fidye yazılımı saldırısında özel bilgilerin çalındığını doğruladı. Saldırı Lockbit fidye operatörleri tarafından gerçekleşti ve saldırgan grup 6 terabayttan fazla veri çaldığını iddia ederek, 50 milyon dolarlık fidye talep ettiler.

Accenture yetkilileri bir fidye yazılımı sonrasında gerekli yedeklerden sistemin aktif hale getirildiğini belirtirken, hangi verilerin sızdırıldığı noktasında araştırmaların devam ettiğini ancak henüz net bir bilgi olmadığını belirttiler. Operasyonel olarak müşterilerin etkilenmediğini, ancak kurumun finansal olarak sorun yaşayabileceğini öngördüklerini de eklediler.

Geçtiğimiz haftalarda yayınlanan FinCEN (ABD Hazine Bakanlığı Mali Suçları Engelleme Ağı) raporuna göre Bitcoin transferlerinin 5.2 milyar dolarlık bir kısmının en popüler 10 fidye yazılımı ödemelerine ait olduğu düşünülüyor.

Bu kadar büyük bir ekonomik değer hesaba katıldığında, bundan sonraki dönemlerde de Accenture gibi büyük ölçekli firmalara milyon dolar seviyesinden fidye talep edilen saldırıların devam edeceği öngörülüyor ve unutmamak gerekir ki fidye saldırıları sadece büyük şirketleri değil, verisi olan her kurumu ve şahsı da tehdit eden bir saldırı türü olmaya devam ediyor.

Kurbanların %83'ü Fidye Ödemeyi Kabul Ediyor

Uluslarası bir kurumun yaptığı araştırmaya göre son 12 ayda fidye yazılımı saldırısına denk gelen kurumların %83'ü fidyeyi ödemekten başka çarelerinin olmadığını düşünüyor.

300 ABD'li BT yöneticisi ile yapılan ankette kurumların %64'ünün son 12 ayda en az bir kere fidye yazılımı saldırısına uğradığı belirtiliyor. Yine anketten ortaya çıkan diğer sonuçlar ise fidye yazılımı saldırısı sonrasında kurumların %50'sinin gelir kaybı ve itibar kaybı yaşadığını, %42'sinin ise müşteri kaybettiğini gösteriyor. Durum böyle olunca da birçok kurum fidye ödemekten başka çaresi olmadığını tekrar ediyor.

Ankete katılan BT yöneticileri fidye saldırıları vektörlerini şu şekilde sıralıyor:
- %53'i e-posta
- %41'i uygulamalar
- %38'i bulut sistemleri

kaynaklı.

Saldırıların pandemiyle beraber artış gösterdiği ve kurumlarında buna yönelik bütçelerini artırdığı görülüyor, saldırıya uğrayan kurumların %93'ü bütçe artırımına gidiyor. Ama unutmamak gerekir ki bu saldırılarda para kaybından daha da önemli olanı "itibar" ve "güven" gibi yıllara yaygın birikimlerin kaybını engellemektir; bundan dolayı bu tür saldırılara karşı profesyonel destek almak ve saldırılara karşı hazırlıklı olmak gerekiyor.

Gerek saldırılara karşı önceden tedbir almak, gerekse saldırı anında destek almak üzere bizlere ulaşabilirsiniz.

https://www.isr.com.tr/#SiberGuvenlik

Üniversitede Veri İhlali

ABD'de bir üniversitede eski ve yeni öğrencilere ait kişisel veriler sızdırıldı. Saldırıya uğrayan Colorado Üniversitesi yayınladığı güvenlik bildiriminde yaması uygulanmamış yazılımdaki güvenlik açığından kaynaklandığını belirtti. Uygulama öğrenci bilgilerini barındırıyordu ve zafiyetten kaynaklı olarak uygulamadan öğrencilere ait; adları, okul numaraları, adresleri, doğum tarihleri ve telefon numaraları gibi bilgiler sızdırıldı.

Konuyla alakalı olarak öğrenciler bilgilendirildi ve gerekli yamalar yapıldı; fakat yamanın 3 ay önce yayınlandığı ve kurumdaki saldırının başarılı olmasının Bilgi İşlem ekibinin yamayı yapmakta gecikmesinden kaynaklı olduğu ortaya çıktı. Çalınan verilerin henüz nerede ne şekilde kullanıldığı konusunda ise herhangi bir bilgi bulunmamaktadır.

07 Ekim 2021

Siber Güvenlik Bülteni - Eylül 2021

 

Bültenimizin Eylül ayına ait başlıkları; 
  • Sanayi Kuruluşlarının %91'i Sızılabilir Durumda
  • Siber Saldırganlar Hızlandı
  • Birleşmiş Milletlerde Veri Sızıntısı
  • Fortinet VPN Bilgileri Sızdırıldı
  • Üniversite WiFi Ağlarında Risk

Sanayi Kuruluşlarının %91'i Sızılabilir Durumda

Endüstriyel Kontrol Sistemleri her geçen gün hayatımızdaki kullanım alanını artırmaktadır. Günümüzde içtiğimiz sudan, kullandığımız elektriğe, doğal gaza, yola çıktığınızda kullandığınız trafik ışıklarına kadar, bu sistemler kullanılmakta; otomatize olarak süreçlerinin yönetildiği ve kararları alan bu sistemlere EKS (Endüstriyel Kontrol Sistemleri) diyoruz. Aynı zamanda EKS ülkeler için de büyük önem arz etmektedir ve bunun için düzenli olarak planlamalar ile simülasyonlar gerçekleştirir, ulusal güvenlik içerisinde EKS'de önemli yer almaktadır.

EKS alanı oldukça geniştir; Gıda Tesisleri, Enerji Altyapıları, İletişim Altyapıları, Barajlar, Savunma Sanayii, Acil Servisler, Finansal Hizmetler, Sağlık Hizmetleri, Su ve Atık su Sistemleri, Ulaştırma Sistemleri gibi. Gündemimizde olan Covid-19 dolayısıyla, sağlık sisteminin otomatize ve düzgün çalışmasının ne kadar önemli olduğunu bir kez daha anlıyoruz. Aşı üretim tesislerinde de EKS kullanılmakta; oluşabilecek herhangi bir hatanın nelere mal olabileceğini düşünmek çok da zor olmasa gerek.

EKS odaklı çalışmalar yürüten global bir güvenlik çözümleri üreticisince geçtiğimiz ay hazırlanan rapora göre 10 endüstriyel kuruluşun 9'dan fazlası siber saldırılara karşı savunmasız durumda. Bu şirketlere sızıldıktan sonra içeriden dışarıya erişim sağlanma oranı %100 ve özel verilerin çalınma oranı ise %69 olarak belirtildi. Ayrıca yapılan test çalışmalarında test edilen kurumların %75'inin ağına sızıldığı ve %56'sında ise EKS (Endüstriyel Kontrol Sistemleri)'ne erişim sağlandığı belirtildi. Türkiye'de yapılan çalışmalar ile oldukça büyük benzerlik gösterdiğini ekleyebiliriz.

EKS üzerinde genel olarak eski yazılımlar kullanılmaktadır ve bu yazılımlarda eski işletim sistemleri ile uyumlu şekilde yazıldığından eski işletim sistemlerine bağlı büyük risk içermektedir. Bu yazılımları ve kullanılan işletim sistemlerini yenilemek sanıldığı kadar kolay değildir, üretimin veya çalışan yapının durması tekrardan planlanması anlamına gelmektedir. Bu da birçok kurum için önceden iyi planlanması gereken bir konudur ve geçişler genelde sancılı olmaktadır. Bunun yanı sıra bazı sistemler ise yazılım desteği sunmadığından tamamen yeni sistemlere geçmeyi, tamamen yeni bir altyapı değişimi satın alınmasını gerektirebilmektedir.

Şunu unutmamak gerekir ki bu kadar kritik ve önemli sistemler de insanların kolaycılığına hedef olmaktan maalesef kurtulamıyor. EKS'de de fazlasıyla dışarıdan erişime izin verildiği, güncellemelerin yapılmadığı, erişim parolalarının kolaylığı gibi önlenebilir hatalar göze çarpıyor. Bu tespitleri yapabilmek, önlenebilir riskleri gözlemlemek için sistemlerinizi oluşabilecek risklere karşı düzenli olarak test ettirmeniz ve güvenlik politikalarınızı sürekli olarak güncellemeniz gerekmektedir.

Siber Saldırganlar Hızlandı

248.000 uç noktada yapılan analizler gösteriyor ki; saldırganların ilk erişimden sonra yanal hareketlere geçme süresi geçtiğimiz yıla oranla %67 kısaldı. Yani sisteme sızan bir saldırganın, ağdaki diğer sistemlere geçmesi normal sürenin de çok altına inmiş durumda, haliyle bu durum güvenlik ekiplerini tedirgin etmeye devam ediyor. Çünkü ağda bir saldırıyı tespit etmek için bir çok analiz yapılması ve çıktıların yorumlanmasını gerektiriyor, güvenlik ekibi saldırıyı tespit ettiğinde saldırgan çoktan sonuca ulaşmış oluyor.

Geçtiğimiz yıl ağa sızan bir saldırganın, ağdaki diğer cihazlara geçme süresi ortalama 1 saat 32 dakika iken, bugün %36'sında 30 dakikanın altına düşmüş durumda. Yapılan analizler gösteriyor ki, saldırganlar ağda ilerlerken ağırlıklı olarak bilinenin aksine yeni zararlı yazılımlar değil, herkes tarafından kullanılan test yazılımları ile zafiyetleri tespit edip, istismar ediyor ve kullanıyor. Temmuz 2020 ve Haziran 2021 arasında pandemiden dolayı uzaktan çalışmaya geçilmesi ve VPN kullanımının artmasıyla sistemlere yapılan izinsiz giriş denemeleri %60 oranında artmış görünüyor.

Bu tür saldırılara karşı etkili bir çözüm olan; ağda sızmaya karşı çeşitli saldırı aşamalarını tespit edip, saldırganı pek çok aşamada engelleyen, otomasyon güvenlik ürünümüz TINA'yi inceleyebilirsiniz.

Birleşmiş Milletlerde Veri Sızıntısı

Geçtiğimiz günlerde Birleşmiş Milletler sistemlerine sızıldığı ve buradan veri sızdırıldığı tespit edildi. Yapılan araştırmalarda bir BM çalışanının kimlik bilgilerine erişilmesi sonucu içeriye sızıldığı düşünülüyor. Sisteme, Umoja (BM'nin 2015 yılında devreye aldığı kurumsal kaynak planlama sistemi) hesap bilgilerinin ele geçirilmesiyle ulaşıldı. Saldırıda kullanılan hesap bilgilerinin muhtemelen darkweb üzerinden satın alındığı düşünülüyor.

BM ağlarına sızıldıktan sonra ağda birçok sisteme erişildiği ve istihbarat verisi amaçlı hedeflendiği öngörülüyor. BM gibi kuruluşlar bu tür istihbarat amaçlı veri sızdırma saldırıları için olağan hedef olmaya devam ediyor. BM sistemlerine 5 Nisan 2021'de iç ağa erişim sağlandığı ve 7 Ağustos'a kadar devam ettiği tespit edilmiş durumda. Herhangi bir sisteme zarar verilmediği doğrulanmış, bu da sisteme zarar vermek için değil, istihbarat ve veri toplamak için sızıldığını göstermekte. Dünya üzerinde birçok kuruluşa benzer saldırı gerçekleşiyor ve maalesef birçok kuruluş sisteme zarar verilmediği müddetçe iç ağdaki sızmayı tespit edemiyor.

Fortinet VPN Bilgileri Sızdırıldı

Fortinet 8 Eylül 2021'de siber saldırganlar tarafından SSL VPN bilgilerinin sızdırıldığını açıkladı. Veriler 2019 yılındaki bir zafiyet aracılığı ile tespit edildi. O dönemde günümüzü konuyla alakalı olarak birçok bülten, açıklama yayınlanmasına rağmen müşterilerin iyileştirme yapmamasından kaynaklı olduğunu açıklandı.

Bu zafiyet sonrası sistem üzerinde iyileştirmeler yapılsa bile, parolaların daha önceden alınmış olabileceği ve parolalarında değiştirilmesi önerilmektedir.

Ayrıca bazı destekleyici önlemler aşağıda belirtilmiştir.

  • Etkilenen cihazınızı en üst sürüme yükseltin.
  • Üründeki tüm parolalar değiştirilerek daha önceden elde edilmiş parola riskine karşı emin olun. Zafiyetli ürününüzde kullanılan parolayı farklı bir sistemde de kullanıyorsanız, tüm sistemlerdeki parolayı değiştirin.
  • Ürününüzde çok faktörlü kimlik doğrulamasını aktif hale getirin.
  • Sistemlerinizi bu tür saldırılara karşı periyodik kontrolleri sağlamak amaçlı, 3. göz bakış açısıyla sızma testleri yaptırın.

Üniversite WiFi Ağlarında Risk

Üniversitelerin birçoğunda aktif olarak kullanılan Eduroam kullanıcı bilgilerinin açığa çıktığı tespit edildi. Eduroam'dan kısaca bahsetmek gerekirse, belirli güvenlik standartlarını kullanarak eduroam üyesi kurumların kullanıcılarının diğer eğitim kurumlarında da kendi kullanıcı adı ve parolasıyla internet kullanımı sağlamasına izin veren bir oluşumdur. Eduroam ülkemizde de anlık verilere göre 145 üniversite de aktif olarak kullanılmaktadır.

Araştırmacılar Eduroam bağlı üniversiteler üzerinde yaptığını çalışmalarda EAP protokolünün yanlış yapılandırması sonucu binlerce üniversiteyi de etkileyen kullanıcı hesaplarının açığa çıktığını açıkladı. Şimdiye kadar incelenen 3.100 üzerinde sistemin yaklaşık yarısından fazlasının istismar edilebildiği tespit edildi.

Unutulmamalıdır ki bu Eduroam'un servis ve hizmet zafiyetiyle alakalı bir durum değil, Eduroam üyelerinin bu konudaki yanlış yapılandırma hatalarından kaynaklı bir problemdir. Bu yüzden ülkemizdeki üniversiteler dahil, bu tür sorunları kendi bünyelerinde hızlıca çözmeleri gerekir, bu tür sorunlara karşı güvenlik politikaları devreye girmelidir.

02 Eylül 2021

Siber Güvenlik Bülteni - Ağustos 2021

Bültenimizin Ağustos ayına ait başlıkları; 

  • GIGABYTE Fidye Saldırısına Uğradı
  • T-Mobile'da Müşteri Veri İhlali
  • ABD Terör Listesi Açığa Çıktı.
  • F5 Cihazlarında Kritik Zafiyetler

GIGABYTE Fidye Saldırısına Uğradı

GIGABYTE'a ransomware saldırısı gerçekleştirildi.

Bilgisayar donanım üretim (ana kart ve grafik kartı) liderlerinden olan GIGABYTE, geçtiğimiz günlerde çevrim içi servislerinin hizmet vermemesinin sebebinin fidye saldırılarından kaynaklı olduğunu açıkladı. Satış ve operasyon tarafında herhangi bir risk teşkil etmediğini açıklamalarına rağmen bazı sunucuları kapatmak zorunda kaldılar.

GIGABYTE daha fazla detay vermedi fakat saldırgan grup, hacking forumlarında RansomEXX fidye zararlısına uğradıklarını belirtti. Ayrıca saldırgan grup kurumdan 112 GB veri çaldığını ve çalınan verilerin içerisinde Intel, AMD, American Megatrends ile yapılan NDA (Gizlilik Sözleşmesi) dosyalarının olduğunu ve gerekli ödemenin yapılmaması durumunda ifşa edeceğini açıkladı. Ne kadarlık bir fidye talebi olduğu henüz netleşmiş değil.

RansomEXX fidye grubu daha öncede dünyaca ünlü Italya Lazio bölgesi sistemleri (Covid 19 aşı kampanyalarını etkiledi), Konico Minolta, Tyler Technologies, Brezilya Mahkeme Sistemleri ve CNT gibi kuruluşları da hedef almış ve başarılı olmuştu.

T-Mobile'da Müşteri Veri İhlali

T-Mobile'a siber saldırı sonucu 40 milyondan fazla müşteri kayıtlarına erişim sağlandı.

T-Mobile'ın 40 milyondan fazla müşteri verisi açığa çıktı. Veri ihlali, bilgilerin bir hacking formu üzerinde satışa çıkarılmasıyla tespit edildi ve T-Mobile tarafından inceleme başlatıldı. Yapılan incelemelerde çalınan verilerin kullanıcı adları, sosyal güvenlik numaraları, doğum tarihleri ve ehliyet bilgilerinden oluştuğu tespit edildi. Tespitlerin ardından T-Mobile ekibi otomatik aramayla müşterilerinin PIN'lerini değiştirmesi talebinde bulundu. Saldırının çok karmaşık şekilde olduğu bilgisi paylaşıldı.

Twitter üzerinden açıklama yapan bir şahsın, 100 milyondan fazla veriyi elinde tuttuğu ve bu verilerin 1990lı yılların ortalarından itibaren kayıtları içerdiğini ifade etti. T-Mobile ayrıca bu durumdan etkilenen tüm müşterilerine 2 yıllık kimlik hırsızlığı koruma hizmeti sunacağını açıkladı, bu hizmetlerin hali hazırda tüm müşterilere ücretsiz sunulmaması ise günümüzde siber saldırıların geldiği noktada, gerçekten anlaşılması çok güç bir durum.

ABD Terör Listesi Açığa Çıktı.

Sunucu yapılandırma hatası, FBI'ın gizli terörist izleme listesini açığa çıkardı

Yapılandırma hataları, kuruluşları zora sokmaya devam ediyor. Verinin dijitalleşmeye doğru evrilmesi her geçen gün riskleri de beraberinde getiriyor. FBI'ın özel ve gizli olarak tuttuğu şüpheli terörist listesi, Elasticsearch sunucusunun yanlış yapılandırması sonucu ifşa oldu ve bu veriler ile alakalı gerekli düzeltmeler ancak ifşadan 3 hafta sonra yapıldı. Veriler bir güvenlik uzmanı tarafından 19 Temmuz'da tespit edilip, gerekli kurumlara bilgi verildi ve verinin güvenli bir alana tamamiyle alması ise 9 Ağustos'u buldu.

Sızan veriler arasında yaklaşık 1.9 milyon veri bulunmaktadır, bunların arasında; ad soyad, doğum tarihi, uyruğu ve vatandaşlık bilgileri, cinsiyeti, doğum tarihi, pasaport numarası vb. bilgiler yer almaktadır. Bu sızan bilgiler ile, listede yer alan kişiler ve ailelerine karşı baskı oluşturulabilir ve insanlar dolandırılabilir.

FBI, ABD üzerinde ilk veri ihlali yaşayan kurum değil, 2017 yılında ABD Savunma Bakanlığı'nın da AWS S3 servisini yanlış yapılandırmasından dolayı dosyaları ifşa olmuştu.

Bulut sistem ile birlikte birçok kurum güvenlik dahil her türlü kontrol ve yürütmenin bulut sistemi şirketlerinde olduğu algısına kapılıyor, bu yüzden bulut sistemi kiralayan şirketler sizlere sadece bulut üzerindeki alanı verirler ve burada yapılacak konfigürasyonlar ve güvenlik denetimleri tamamen sizlere aittir. Bulut geçişleri sonrasında maalesef birçok şirketin verileri, yeterli kontrollü geçiş veya dış denetim ekibi olmamasından kaynaklı olarak açığa çıkıyor, bu yüzden bulut geçişleri sonrasında muhakkak güvenlik testlerinizi, dış denetimlerinizi yaptırın.

F5 Cihazlarında Kritik Zafiyetler

Kurumsal güvenlik ve ağ ürünleri şirketi F5 üzerinde kritik zafiyetler tespit edildi. F5 BIG-IP ve BIG-IQ cihazlarının birden fazla versiyonunda 29 zafiyet tespit edildi ve bu zafiyetlerin 13 tanesi yüksek seviye15 tanesi orta seviye ve 1 tane düşük seviyeden oluşmaktadır.

Bu zafiyetleri kullanan kimliği doğrulanmış kullanıcı sistemde kod yürütme, dosya oluşturma ve silme, cihazları pasif hale getirme gibi imkanlara sahip olabiliyor ve bu zafiyetler sistemlerin güvenliklerinin tamamen aşılmasına sebep olabiliyor. Bu ürünleri kullanan kuruluşların güvenilir olmayan kullanıcı erişimlerini tamamen kaldırması gerekiyor.

F5 ürünlerinde çıkan bu zafiyetler sonrasında, saldırganlar tarafından hedeflendiği görülmüştür, kullanan kuruluşların güncellemeleri hızlıca yapması ve güncellemesi olmayan sistemlerde ise kullanıcı yetkilerini kontrol etmesi gerekmektedir.

F5 tarafından çözüm getirilmiş olan güvenlik açıklarının listesi aşağıdadır;

  • CVE-2021-23025 (CVSS score: 7.2)
  • CVE-2021-23026 (CVSS score: 7.5)
  • CVE-2021-23027 ve CVE-2021-23037
  • CVE-2021-23028 (CVSS score: 7.5)
  • CVE-2021-23029 (CVSS score: 7.5)
  • CVE-2021-23030 ve CVE-2021-23033
  • CVE-2021-23032 (CVSS score: 7.5)
  • CVE-2021-23034, CVE-2021-23035, ve CVE-2021-23036 (CVSS score: 7.5)

Popüler Yayınlar