17 – 23 Ekim Siber Güvenlik Bülteni

Rusya bağlantılı TA505 grubu finans sektörünü hedef alıyor

• Rusya bağlantılı hacker grubu TA505, birden fazla bölgede finans kuruluşlarını hedef alan yeni saldırı başlattı. Bunun için bir Office belgesini kullanan gurubun saldırılarının başlıca ABD, Kanada, Hong Kong ve Avrupa’da etkili olduğu belirtildi. Ayrıca saldırıların Google Drive, SharePoint ve OneDrive gibi sistemlerin kullanılmasıyla gerçekleştirildiği aktarıldı.

Reklam engelleyen Chrome uzantısı reklam eklerken yakalandı

• Siber güvenlik firması Imperva’nın araştırmasına göre Google Chrome ve Opera’da kullanılan reklam engelleyici, kullanıcılardan habersiz eklemeler yaptı. AllBlock olarak isimlendirilen eklenti, komut dosyası göndererek zararlı içerikleri de çalıştırabiliyor. Eklenti, JavaScript ile açılan her sekmeye ulaştı ve bu şekilde zararlı komut gönderildi.

Minecraft en çok zararlı yazılım bulaşan oyun oldu

• Atlas VPN tarafından yapılan araştırmaya göre Minecraft oyunuyla ilgili zararlı yazılım bulaş sayısının mobil cihazlarda 44 bin 335 olduğu tespit edildi. Ayrıca Kaspersky Minecraft ile ilgili 300 bin zararlı yazılım keşfetti.  Hem bilgisayar hem de mobil cihazlarda oynanabilen Minecraft kullanılarak 184 bin 887 bilgisayara erişim sağlandı. Oyunun 2021 yılı itibarıyla 131 milyondan fazla oyuncusu bulunuyor. Minecraft’tan sonra en çok zararlı yazılım için kullanılan oyunların Sims 4, PUBG, Free Fire ve Among Us olduğu da yapılan tespitler arasında yer aldı.

Beyaz şapkalı ‘hacker’a 300 bin dolar ödül

• Çin’de düzenlenen “4. Tianfu Kupası” etkinliğinde beyaz şapkalı bir hacker, iOS 15 ile iPhone 13 Pro’yu ‘hack’lediği için 300 bin dolar ödül kazandı. Hack ile ilgili hazırlanan raporda, zararlı yazılım oluşturularak Safari tarayıcısının tetiklendiği belirtildi. Sonrasında uzaktan komut çalıştırılabildiği, Safari’nin güvenlik sistemi atlandıktan sonra A15 yongasındaki birden çok zafiyet kullanılarak iPhone 13 Pro’da yer alan fotoğraf ve uygulamalara erişildiği ve verilerin silinebildiği aktarıldı.

Apple, Android’in iOS’tan 47 kat daha fazla virüs içerdiğini iddia ediyor

• Başta Avrupa Siber Güvenlik Ajansı olmak üzere birçok uluslararası ve ulusal kurum, Apple’a manuel uygulama yüklenebilmesi için baskı kuruyor ancak Apple tarafından yapılan açıklamada Android’in daha tehlikeli yapıda olduğuna dikkat çekildi. Apple, manuel yüklemelerin serbest olmasından sonra çok sayıda zararlı yazılımın iOS’u hedef alabileceğini belirtti. Bu fikri desteklemeyen kullanıcıların da durumdan olumsuz etkileneceğini belirten Apple, gizlilik ve güvenlik nedeniyle kişisel mahremiyete önem verdiğini aktardı. Bu durumun gerçekleşmesiyle taklit uygulamaların iPhone’da kullanılmaya başlanabileceği aktarıldı.

Yerli ve millî uygulamalarla 500 binden fazla siber saldırının önüne geçildi

• Ulaştırma ve Altyapı Bakanı Adil Karaismailoğlu, Bilgi Teknolojileri ve İletişim Kurumu bünyesindeki uygulamalarla siber güvenlikte ciddi önlemler alarak yaklaşık 5 yılda 502 bin 386 siber saldırının engellendiğini açıkladı. Bakan Adil Karaismailoğlu yaptığı yazılı açıklamada, 2013 yılından bu yana Türkiye’de bin 900’ün üzerinde kurumsal Siber Olaylara Müdahale Ekibi’nin (SOME) kurulduğunu belirtti. Bakan Karaismailoğlu, “Ayrıca, Ulusal Siber Olaylara Müdahale Merkezi (USOM) ile SOME’ler arasında alarm, uyarı ve güvenlik bildirimlerini paylaşmak amacıyla SOME İletişim Platformu (SİP) geliştirildi.” ifadelerine yer verdi.  Alınan önlemler ve geliştirilen yerli ve millî uygulamalarla 1 Ekim itibarıyla bu yıl 60 bin 795 siber saldırının engellendiğine dikkati çeken Karaismailoğlu, 2017 Ekim 2021 döneminde engellenen siber saldırının ise 502 bin 386’ya ulaştığını bildirdi.

REvil fidye yazılımı etkisiz hale getirildi

• REvil fidye yazılımı, Tor ödeme portalı ve veri sızıntı forumunun ele geçirilmesinden sonra etkisiz hale geldi. REvil’a ait Tor siteleri, XSS ile ‘hack’lenmesinden sonra çevrimdışı hale geldi. Üçüncül bir kaynak, Tor servis anahtarlarıyla birlikte yedeklemeleri ele geçirdi ve REvil’ın kim tarafından ‘hack’lendiği bilinmiyor.

Windows 10, Linux, iOS, Chrome ve diğerleri Tianfu Cup’ta ‘hack’lendi

• Çin’de düzenlenen siber güvenlik yarışmasının dördüncüsü düzenlendi.    Tianfu Cup 2021 olarak isimlendirilen yarışmada Windows 10, Exchange Server, Ubuntu 20, Safari vb. yazılımlarda zafiyetler aranarak exploit yapıldı. Katılımcılara verilen toplam ödül 1,8 milyon doları buldu.

Excel’le yeni kimlik avı saldırısı

• Yeni başlayan bir kimlik avı saldırısı, “silahlaştırılmış” bir Excel belgesi olarak finans sektörünü hedef aldı. MirrorBlast olarak isimlendirilen kimlik avı saldırısı, ET Labs tarafından keşfedildi. Söz konusu saldırı Morphisec tarafından analiz edildi. Zararlı Excel belgelerinin güvenlik sistemlerini atlayarak bilgisayarlara bulaşabildiği aktarıldı. Zararlı belge için kullanılan yöntem incelendiğinde Rus destekli olduğu düşünülen TA505 grubunun tekniklerine benzerlik gösterdiği belirlendi.

İsrail’deki hastanenin uğradığı siber saldırı nedeniyle bazı kayıtlar silindi

• İsrail’de bulunan sağlık merkezinin uğradığı siber saldırı nedeniyle hastanenin sitemlerinde bulunan bazı medikal kayıtlar silindi. Hillel Yaffe Medical Center’ın uğradığı fidye yazılımı saldırısı sonucunda silinen dosyaların geri döndürülemez olabileceği yönünde endişeler, yetkililer tarafından paylaşıldı. Saldırıya uğrayan hastanenin devlet hastanesi olması nedeniyle saldırganlara fidye ödemesinin yasak olduğu belirtildi.

30’dan fazla ülke fidye yazılımlara karşı durma taahhüdü verdi

• ABD tarafından düzenlenen siber güvenlik zirvesine ABD ve Avrupa Birliği ile 30 farklı ülkeden temsilci katıldı. Katılımcılar, fidye yazılım riskini azaltmak üzere taahhüt verdi. Güçlü siber hijyen uygulamalarının benimsenmesiyle ağ dayanıklılığının artırılması gibi çabaların gösterilmesinin beklendiği aktarıldı. Fidye yazılım saldırılarına uğrayan kurbanlar, ilgili kolluk kuvvetleri ve siber acil müdahale ekipleri arasındaki bilgi paylaşımının desteklenmesinin yanı sıra fidye yazılım saldırılarına karşı efektif bir şekilde karşı koyulmasının amaçlandığına dikkat çekildi. Ayrıca finansal altyapıların istismar edilmesinin önüne geçilerek fidye ödeme aklamalarının engellenmesinin de belirlenen amaçlar arasında olduğu belirtildi.

Donald Trump’ın sitesi Türk ‘hacker’lar tarafından ‘hack’lendi

• Türk ‘hacker’lar, eski ABD Başkanı Donald Trump’ın propaganda sitesini ‘hack’ledi. ‘Hack’ten sonra bilgisayar korsanları, Türkçe ve İngilizce olarak ayet yayınladı. RootAyyıldız olarak isimlendirilen grup, daha önce ABD Başkanı Joe Biden’a ait seçim kampanya sitesini ‘hack’lediğini duyurmuştu.

İran bağlantılı grup tekrar faaliyette

• Orta Doğu’da faaliyetlerde bulunan ve İran devletiyle bağlantılı olduğu düşünülen Lyceum grubu tekrar saldırılara başladı. Kaspersky tarafından yapılan araştırmada grubun Tunuslu 2 kuruluşa saldırı düzenlediği belirlendi. Lyceum’un zararlı yazılımını PowerShell komut dosyalarıyla, DanBot adı .NET tabanlı uzaktan yönetim aracıyla ve C++ ile geliştirdiği belirtildi.

TripleBlind A yatırım serisi esnasında 24 milyon dolar topladı

• Özel veri paylaşımı hizmeti sağlayıcısı TripleBlind’ın yaptığı açıklamaya göre şirket, A yatırım serisi esnasında 24 milyon dolar topladı. Böylece şirketin topladığı toplam yatırım 32 milyon dolara ulaştı. TripleBlind tarafından sağlanan veri paylaşma platformunun sağlık ve finans kuruluşları için ideal olduğu aktarıldı. Platformu kullanan müşteriler, platforma ait araçları kullanarak paylaşmak istedikleri verilerin girişini yapabiliyor ancak veriler, hiçbir zaman başka bir yere hareket ettirilmıyor ya da açığa çıkmıyor ve hatta TripleBlind’ın da verilere erişimi bulunmuyor.

Trickbot Truva atı 61 yeni tekniğe sahip

• 2016’da keşfedilen Trickbot’un ana işlevinin çevrimiçi bankacılık veri hırsızlığı olduğu tespit edildi. Ancak zaman içinde ‘hacker’lar, Trickbot’a yeni özellikler ekliyor.  Trickbot düzinelerce kimlik bilgileri ve hassas verileri çalmak adına modüllere sahip ve çalınan bilgilerle ağlarda sızma işlemi yapılıyor. Uzaktan erişim ve Proxy için ele geçirilen sistemler kullanılıyor. Trickbot’un etkilediği kişilerin yüzde 13.21 ABD, yüzde 10.25 Avustralya, yüzde 9.77 Çin, yüzde 6.61 Meksika ve yüzde 6.30 Fransa’da bulunuyor.

Birçok firma saldırılarda fidye ödemeyi daha akıllıca buluyor

• ThycoticCentrify tarafından yürütülen bir ankete göre ABD’de son 12 ayda neredeyse her beş şirketten üçü fidye yazılımı saldırısına maruz kaldı. Saldırıya uğrayan bu firmaların birçoğu da verilerini kurtarmak adına fidye ödemenin akıllıca olduğunu düşünüyor. 

ABD ordusu taktik araçlara yeni siber savaş yetenekleri kazandıracak

• ABD ordusu, Lockheed Martin ile taktik araçlarda siber kabiliyetleri geliştirmek için bir anlaşma imzaladı.  Anlaşma kapsamında taktik araçların tespit, tanımlama, konum, sömürü ve ilgili düşman sinyallerinin kesilmesi üzerine çalışmalar gerçekleştirilecek. Karasal Katman Sistemi (TLS) olarak isimlendirilen teknoloji; sinyal istihbaratı, elektronik savaş ve siber uzay operasyonları için yazılım ve donanıma sahip. Auto Evolution sitesinde yer alan haberde testlerin Stryker Piyade Taşıyıcı Araç üzerinde yapıldığı, TLS’nin 2. aşaması için 9,6 milyon dolarlık sözleşme imzalandığı belirtildi.

Çin bağlantılı bir grup arama kayıtlarına erişim sağladı

• Çin bağlantılı olduğu düşünülen bir hacker grubu, dünyanın farklı yerlerindeki mobil telefon ağlarına sızdı. Ağlara sızmayı başaran hacker grubu, özelleşmiş araçlar kullanarak telekomünikasyon operatörlerinden arama kayıtları ve metin mesajlarını ele geçirdi. Çin bağlantılı olduğundan şüphelenilen grubun faaliyetleri CrowdStrike tarafından açıklandı.

Amerikan tehdit istihbarat şirketi Nicos, Kuzey İrlanda’da merkez kurdu

• Amerikan istihbarat şirketi Nicos, İrlanda’da yeni bir merkez kuracak.  Belfast’ta kurulacak merkezin oldukça uzmanlaşmış bir yazılım geliştirme ve teknik merkezi olacağı aktarıldı. Şirketin müşterileri için siber istihbarat ve tehdit araştırma tekniklerini birleştirerek bir siber tehdidin müşterilerine zarar vermeden önce tehditleri belirleyip engellemeyi amaçlayan hizmetler sağladığı belirtildi.

FBI sahte devlet sitelerine karşı uyarıyor

• FBI siber alandaki saldırganlara karşı uyarıları artırıyor. Amerikan vatandaşları, sahte internet siteleri aracılığıyla ‘hacker’ların tuzağına düşüyor. ABD vatandaşları, sahte ve kandırıcı işsizlik ödeneği internet siteleriyle kurbanlara ait hassas finansal ve kişisel bilgileri toplayan saldırganlara karşı uyarıldı. Sahte internet siteleri, orijinal devlet platformlarına oldukça benzeyecek şekilde tasarlanıyor ve kurbanlar, kişisel bilgilerini vermeleri için kandırılıyor. Saldırganların, kurbanların sistemlerine kötü amaçlı yazılım bulaştırdığı da aktarıldı.

ABD hükümeti, hacking araçlarının otoriter rejimlere satışını yasakladı

• ABD Ticaret Bakanlığı tarafından 20 Ekim Çarşamba günü yapılan açıklamada ‘hacker’ların kullanılabileceği araçların ve yazılımların otoriter rejimlere satışının yasaklandığı bildirildi. Alınan kararın 90 gün içerisinde yürürlüğe gireceği ve yeni kuralların Rusya ve Çin’e yapılacak ihracatları engellemeyi amaçladığı belirtildi.

Google çok sayıda oltalama saldırısını engelledi

• Teknoloji devi Google, siber tehditlere yönelik tedbirlerini artırmaya gayret ediyor. Google, Mayıs 2021’den beri 1.6 milyon oltalama (phishing) e-postasını blokladı. Google tarafından engellenen phishing e-postaların, YouTube hesaplarına yönelik düzenlenen büyük bir kötü amaçlı yazılım saldırısının parçası olduğu aktarıldı. Engellenen e-postaların kripto para dolandırıcılığı amacıyla kullanıldığı kaydedildi.

İsrail’den Pegasus yazılım üzerindeki gerilimi azaltma çabası

• İsrail Ulusal Güvenlik Danışmanı Eyal Hulata, NSO Group tarafından geliştirilen Pegasus casus yazılımı üzerindeki gerilimi azaltmak adına gizlice Paris’e gitti. Fransa’da Başkan Emanuel Macron ve üst düzey yetkililerde Pegasus yazılımının keşfedilmesinin ardından Fransa’nın İsrail’le diplomatik, güvenlik ve istihbarat ilişkilerini durdurduğu bildirildi. İsrail’in Fransa’yla olan krizi çözüme kavuşturmak istediği aktarıldı.

Japonya Olimpiyatları altyapısını hedef alan 450 milyon siber saldırı denemesi gerçekleşti

• Japonya’da düzenlenen Olimpiyat Oyunları için telekomünikasyon hizmetleri ve ağ güvenliği sağlayan NTT Corporation isimli şirketin yaptığı açıklamada, Temmuz ayında gerçekleştirilen olimpiyatları hedef alan 450 milyon siber saldırı denemesinin yapıldığı bildirildi. Denemelerin hiçbirinin başarılı olmadığı ancak Londra Olimpiyatları sürecinde yaşanan siber saldırı denemelerinin sayısından 2.5 katı fazla denemenin yaşandığı belirtildi. Şirketin yaptığı tahminlere göre siber saldırganların DDoS saldırıları, fidye yazılım saldırıları ya da kritik altyapılara düzenlenecek saldırılar gerçekleştirmeye çalışacağı düşünülüyor.

Facebook’tan SSRF zafiyeti bulma aracı

• Facebook, Sunucu Tarafı İstek Sahteciliği (SSRF) zafiyetlerini taramak adına bir tasarladığını duyurdu. SSRF Dashboard olarak isimlendirilen araç, basit arayüze sahip ve PoC için güvenilir çalışma sağlıyor.

Yeni oltalama saldırısı Microsoft 365 kullanıcılarını hedef alıyor

• TodayZoo isimli phishing saldırısı, kurbanlara ait şifreleri ele geçirmeye çalıştı. Yeni phishing saldırısı, farklı ‘hacker’ların kodlarından alınan parçalar ile oluşturuldu.    Microsoft tarafından tespit edilen saldırının Microsoft 365 hesap girişi sayfalarını taklit ederek kurbanlarını kandırdığı bildirildi. Sahte web sayfalarıyla kurbanlarını kandırarak kullanıcı bilgilerinin ele geçirilmesi durumunda bilgilerin bir başka e-posta hesabına yönlendirilmediği ancak sitenin kendisinde depolandığı bu davranışın TodayZoo oltalama saldırılarına ait bir özellik olduğu aktarıdlı. TodayZoo saldırıları, daha öncesinde Zoom hesaplarını hedef almıştı.