Almanya, Rusya’nın Almanya’nın savunma ve teknoloji sektörüne yönelik siber saldırılarını protesto etmek için üst düzey bir Rus elçiyi çağırdı.
Almanya Dışişleri Bakanlığı, geçen yıl yaşanana ve Rusya’nın sorumlu olduğunu iddia edilen bilgi güvenliği olaylarına karşı diplomatik tavrını koymak için üst düzey bir Rus elçiyi görüşmeye çağırdı.
2023 saldırıları, Berlin’in Ukrayna’ya tank gönderme kararının ardından bazı web sitelerinin çevrimdışı bırakıldığı saldırılar olarak değerlendiriliyor. Bu saldırılar, Rusya’nın askeri istihbaratıyla bağlantılı bir hacker grubunun eylemi olarak kabul ediliyor.
Alman yetkililere göre, saldırganlar, Microsoft Outlook e-posta servisindeki o zaman keşfedilmemiş bir zafiyeti kullandılar ve etkilenen şirketlerin sunucularını ele geçirdiler.
Dışişleri Bakanı Annalena Baerbock, Avustralya ziyareti sırasında bir basın toplantısında, “Bu siber saldırıyı açıkça APT28 olarak adlandırabileceğimizi söyleyebiliriz, ki bu Rusya’nın askeri istihbarat servisi tarafından yönetilen bir grup” diye konuştu. Baerbock ayrıca başka bir konuşmasında Rusya’nın siber casusluk faaliyetlerinin sonuçlarıyla karşı karşıya geleceğini söyledi.
İçişleri Bakanı Nancy Faeser ise Rus cyber saldırılarını ülke demokrasisine yönelik bir tehdit olarak nitelendirdi ve Almanya’nın AB ve NATO ile birlikte hareket ettiğini vurguladı. Rusya’yı kınayan NATO ve AB yetkilileri de saldırıları “kötü niyetli” olarak nitelendirdi.
İranlı hacktivist grup, Pensilvanya’daki bir su idaresine siber saldırı düzenleyerek kontrolünü ele geçirdi.
Cyber Av3ngers olarak bilinen siber grup, Aliquippa, Pa Belediye Su İdaresi’nde basınç düzenleyen uzak bir su istasyonunu ele geçirdi.
Su idaresinin genel müdürü Robert Bible, su varlığına yönelik herhangi bir tehdidin asla söz konusu olmadığı ve hack olayının farkına vardıklarında manuel operasyonlara geçtiklerini ifade etti.
Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın siber güvenlikten sorumlu genel müdür yardımcısı Eric Goldstein ise ajansın izinsiz girişin “farkında” olduğunu ve “gelişen bu durumu anlamak ve gerekli destek veya rehberliği sağlamak için sektör ve kurumlar arası ortaklarla yakından ilgilendiklerini” belirtti.
Aliquippa Belediye Su İdaresi Yönetim Kurulu Başkanı Matthew Mottes ise hackerların, “Sistemimizin yüksek alanlarındaki basıncı düzenleyen bir pompa dışında gerçek su arıtma tesisimizdeki ya da sistemimizin diğer bölümlerindeki herhangi bir şeye erişmedi.” açıklamasını yaptı.
Mottes, hidrofor istasyonunun operatörlere bir alarm gönderdiğini ve operatörlerin de istasyonu manuel olarak kontrol altına aldığını söyledi.
ETKİLİ OLMASA BİLE SALDIRININ BAŞARILI OLMASI DÜŞÜNDÜRÜCÜ
Söz konusu saldırı, operasyonları ya da hizmetleri etkilememiş olsa da İran bağlantılı bilgisayar korsanlarının bir saldırı nedeniyle bir ABD su idaresini manuel operasyonlara zorlayabilmesi, kritik altyapı kuruluşlarını dijital ihlallere karşı güvence altına almanın zorluklarını vurguluyor.
Bununla birlikte, uzmanlar olayın öneminin abartılmaması konusunda uyarıda bulunuyorlar. Bunun sebebiyse Cyber Av3ngers’ın hem sofistike bir grup olmaması hem de sahte iddialar ortaya koyması.
Örneğin temmuz ayında hacktivist grup, İsrail’in en büyük petrol rafinerisine yapılan bir saldırının arkasında olduğunu iddia etmiş, ancak hedef alınan şirket iddiaların yanlış olduğunu söylemişti.
Eylül ayında aynı grup İsrail demiryolu altyapısına yeni saldırılar düzenlediğini iddia ederken geçtiğimiz ay da İsrail’in Dorad enerji tesisini hacklediğini iddia etmişti. Ancak gerçeklerin böyle olmadığı ortaya çıkmıştı.
GRUP İRAN DEVRİM MUHAFIZLARI ORDUSU’YLA BAĞLANTILI
Grubu tanıyan bir siber tehdit analisti, Cyber Aveng3rs’ın İran Devrim Muhafızları Ordusu bağlantılı olduğunu söyledi.
Grubun İDMO ile bağlantıları hakkında özgürce konuşabilmek için isminin açıklanmasını istemeyen analist, grubun Hamas’ın 7 Ekim’deki saldırısının ardından faaliyet gösteren İDMO bağlantılı Süleyman’ın Askerleri’yle de bağlantılı olduğunu ifade etti.
İsrailli siber güvenlik firması Check Point’ten Gil Messing, grubun “İran’ın İsrail’e karşı yürüttüğü siber kampanyayla bağlantılı olduğunu” ve su sistemlerinde kullanılan yazılımları tedarik eden Unitronics adlı bir İsrail şirket de dâhil olmak üzere çeşitli saldırılar gerçekleştirdiğini söyledi.
HEDEFTE İSRAİLLİ ŞİRKETLER VAR
Söz konusu su sistemi saldırısında grubun bir Unitronics denetleyicisine eriştikleri ve üzerinde şu ifadelerin yer aldığı bir görüntü gösterdikleri ifade edildi: “Hacklendiniz. Kahrolsun İsrail. ‘İsrail malı’ her ekipman Cyber Av3ngers’ın yasal hedefidir.”
CISA tarafından yapılan bir uyarıdaysa bilgisayar korsanlarının Pennsylvania’daki su tesisindeki zayıf güvenlik uygulamalarından yararlandığını, operatörlerin Unitronics cihazını internete ve zayıf şifreye maruz bıraktığı dile getirilirken Unitonics gibi İsrailli şirketlere saldırıların artabileceğini belirti.
Son yapılan araştırma Almanya’nın, Rus anlık mesajlaşma uygulaması Jabber’ı takip ettirdiğine ilişkin şüpheleri artırdı.
Rus siber güvenlik araştırmacıları, sunucuları Almanya’da bulunan Rusya kökenli bir anlık mesajlaşma servisini gizlice dinlemeye yönelik bir hükûmet girişimi keşfetti.
Kesin olarak üç ay boyunca mesajların okunmuş olabileceğini söyleyen araştırmacılar, dinlemenin altı ay boyunca devam etmiş olabileceğini iddia etti.
JABBER DİNLENMİŞ OLABİLİR
Rus anlık mesajlaşma servisi jabber.ru, geçtiğimiz günlerde gündeme oturan bir güvenlik olayı bildirdi.
Servis sunucuları Almanya’da Hetzner ve Linode adlı şirketlerde barındırılan mesajlaşma servisi, sunucularına ortadaki adam saldırısı (Man-in-the-Middle attack) düzenlendiğini açıkladı.
Konuyu araştıran araştırmacılar, saldırıyı süresi dolmuş sertifika uyarısı yardımıyla fark etti.
90 GÜN BOYUNCA KESİN BİR DİNLEME YAPILDI
Sunucularından birinin sertifikasının süresinin dolduğuna dair bir bildirim aldığında durumu fark eden Rus XMPP (Jabber) servisinin yöneticisi, süresi dolmuş sertifikanın servisin kullanıcılarla şifreli bir TLS bağlantısı kurmak için kullandığı tek bir bağlantı noktasında keşfetti.
Araştırmacılar, söz konusu sertifikanın, süresi dolmadan önce servis üzerinden iletilen trafiği şifrelemeyi sağladığını belirtti.
Şifreli veri alışverişini ihlal eden bu saldırıyla birlikte araştırmacılar, muhtemel dinlemenin 18 Nisan’dan 19 Ekim’e kadar yaklaşık altı ay boyunca devam ettiğini ancak tam olarak 90 gün boyunca kesin bir dinleme yapıldığını doğrulayabildi.
Bu süre zarfında jabber.ru ve xmpp.ru arasındaki tüm iletişimlerin tehlikede olduğunu belirtilirken, bu dinleme sayesinde ömür boyu şifrelenmemiş sunucu tarafındaki mesaj geçmişini okuma, yeni mesajlar gönderme veya gerçek zamanlı olarak değiştirme gibi eylemler yapılmış olabileceği değerlendiriliyor.
DİNLEME HÜKÛMET TALEBİ OLABİLİR
Araştırmacılar, sunucuların suçlular tarafından hacklenmediğini, bunun “Hetzner ve Linode’un yapmaya zorlandığı yasal bir dinleme olduğuna inandıklarını” ifade etti.
Araştırmacılar saldırının bir hükûmet talebi sonucunda dinlemeyi kolaylaştırmak için gerçekleştirildiğini iddia ederken, Alman şirketlerinden ve Alman hükûmetinden konu hakkında açıklama gelmedi.
AVRUPA’DA DİNLEME YASALARI TARTIŞILIYOR
Almanya da dâhil olmak üzere Avrupa’daki çoğu ülke, istihbarat servislerine ve kolluk kuvvetlerine telekomünikasyon mesajlarını toplu olarak dinleme olanağı sağlayan yasalara sahip.
Söz konusu yasalar genellikle kapsamlı güvenlik önlemleri alınmasına rağmen kötüye kullanılabiliyor ve bu nedenle tartışmalara yol açıyor.
Ukraynalı hackerlerın, Rusya’nın en büyük özel bankasına sızmak için ülkenin iç güvenlik teşkilatı Ukrayna Güvenlik Servisi (SBU) ile iş birliği yaptığı ortaya çıktı.
KibOrg ve NLB adlı Ukrayna yanlısı iki hacker grubu Alfa-Bank’a sızarak 30 milyondan fazla müşterinin isimleri, doğum tarihleri, hesap numaraları ve telefon numaraları da dâhil olmak üzere verilerini elde ettiklerini iddia etti.
ALFA-BANK ABD’NİN KARA LİSTESİNDE
Alfa-Bank, Rusya’nın geçen yıl Ukrayna’yı işgal etmesinin ardından ABD tarafından yaptırıma tabi tutulmuştu.
Banka, Rusya ekonomisine ve en zengin iş insanlarına kısıtlamalar getirme çabalarının bir parçası olarak ABD ve Avrupa tarafından kara listeye alınan Rus-İsrailli milyarder Mikhail Fridman’a ait.
Hackerlar, Fridman ve oğlu, Rusya yanlısı blog yazarı Artemy Lebedev ve Rus rapçiler Timati ve Basta hakkındaki bilgiler de dâhil olmak üzere bazı verileri internette yayınladı. Alfa-Bank sızıntı haberlerini yalanladı.
UKRAYNA GÜVENLİK SERVİSİYLE ÇALIŞTILAR
Ukrayna güvenlik servisinden adının açıklanmasını istemeyen bir kaynak Recorded Future News’e yaptığı açıklamada operasyona Ukrayna ajansının da dâhil olduğunu doğruladı ancak daha fazla ayrıntı vermedi.
Söz konusu olay, Ukrayna istihbaratının hacktivistlerle yaptığı ilk iş birliği değil. Ukrayna Güvenlik Servisi’nin siber güvenlikten sorumlu başkanı Illia Vitiuk daha önce Ukraynalı hackerlar tarafından sızdırılan belgelerin ülkenin siber istihbarat çalışmalarında önemli bir rol oynadığını söylemişti.
Vitiuk’a göre, sızdırılan veriler Ukrayna’nın, Kremlin’in Ukrayna’daki hedeflerini, düşman birliklerinin nasıl hareket ettiğini ve Rusya’nın Batı yaptırımlarından nasıl kaçındığını öğrenmesine yardımcı oluyor.
Vitiuk daha önce, “Siber istihbarat çok gizli düşman belgelerini elde etmemize yardımcı oluyor. Geçmişte bu tür materyalleri elde etmek için düşmanın ülkesinde bir casus tutmamız gerekiyordu ki bu da riskli ve zaman alan bir işti.” ifadelerini kullanmıştı.
İsrail’in savaş ortamında siber güvenlik açığını kapatmak için uzmanları ülkeye çağırdığı bildirildi.
İsrailli vatandaşların iddialarına göre Filistin’i destekleyen bir grup siber hacktivist, bir yanda Zoom üzerinden ders dinleyen çocukların ekranına silahlı adam görüntüsü koyarken diğer yandan da bir reklam panosuna roket görüntüleri ve yanan İsrail bayrağı koydu.
Her iki iddia da doğrulanamasa da İsrailli bilgi güvenliği uzmanları, hacktivist faaliyetlerdeki artış nedeniyle İsrailli şirketlere ücretsiz siber güvenlik hizmetleri sağlamak için bir araya geldi.
ZOOM YARDIM TEKLİF ETTİ
Paylaşılan bir görüntüdeki iddiaya göre İsrailli çocuklar Zoom üzerinden öğretmenlerini dinlerken, ekranda silahlı bir adamın görüntüsü belirdi. Paylaşılan bir başka videoda ise İsrail’in orta kesimindeki Holon kentinde bir reklam panosunda roket görüntüleri ve yanan bir İsrail bayrağı gösteriliyordu.
Okul olayındaki ekran görüntüsü, siber güvenlik şirketi Sepio’nun CEO’su Yossi Appleboum tarafından sağlandı. Appleboum, ekran görüntüsünü çocukların aileleriyle doğrudan temas hâlinde olan bir kişi aracılığıyla aldığını söyledi.
Zoom ise yaptığı açıklamada, kesintiyi yaşamalarından “derin üzüntü” duyduğunu ve İsrail’deki okulların uzaktan öğretime devam etmesini sağlamak için yardım teklif ettiğini belirtti.
Hacklenen reklam panosunun videosu ise ilk olarak 12 Ekim sabahı Telegram üzerinden paylaşıldı.
İsrail merkezli bir siber güvenlik firması olan Check Point, reklam panosunun “Hamas yanlısı ve İsrail karşıtı içerikle” hacklenen bu tür en az iki kamusal ekrandan biri olduğunu söyledi. Buna rağmen sadece videonun çekildiği yerin Holon olduğunu doğrulanabildi.
FİLİSTİNLİ HACKTIVIST GRUPTAN SABOTAJ GİRİŞİMİ
İsrail’in teknoloji sektörü, ülkenin genelinde olduğu gibi, birçok profesyonelin askerlik görevine çağrılması nedeniyle değişim içinde. Bu değişim ise hacktivistler için yeni açık kapılar bıraktı.
Filistin halkını desteklediklerini iddia eden bir grup hacktivist, sabotaj girişimlerinde bulundu. Çeşitli şirketlere yönelik saldırılar gerçekleşti ve bazı bilgiler çalındı.
Bunun yanı sıra birçok İsrailli bilgi güvenliği uzmanı İsrail’e yardım etmek için bir araya geldi.
Bu kişilerden bir tanesi olan ve İsrailli siber güvenlik uzmanları için popüler bir Facebook grubu yöneten Profero’nun CEO’su Omri Segev Moyal, Filistinli gruplara karşı dijital eylem çağrısı yapan birkaç gönderiyi kaldırdığını söyledi.
