Etiket arşivi: ABD

Ava giden avlandı: Meta, 7 siber casusluk şirketini yasakladı

19 Aralık 2021 Oğuzcan Balyemez Yorum yapın

Facebook, Instagram ve WhatsApp’ın ana şirketi olan Meta, kendi platformlarının, yedi farklı siber casusluk şirketi tarafından içerisinde muhalifler, gazeteciler, aktivistler gibi çeşitli kişilere yönelik çevrimiçi saldırılar düzenlemek için kullanıldığını açıkladığı bir rapor yayımladı.

Meta, yaptığı açıklamayla birlikte yedi izleme şirketini platformlarından yasakladığını, gözetleme şirketlerinin oluşturduğu yüzlerce hesabın da askıya alındığını duyurdu.

Kaddafi’ye siber casusluk hizmeti veren firmalar topun ağzında

MUHALİFLER GAZETECİLER VE AKTİVİSTLER HEDEF ALINIYOR

Sosyal medya devi Meta, yayımladığı raporda, Facebook ve Instagram platformlarında izleme şirketleri tarafından hedeflerini gözlemlemek ve hedeflerini avlamak için açılan 1500 hesabın topluluk standartları ve hizmet şartlarını ihlal etmesi nedeniyle kapatıldığını duyurdu.

Söz konusu hesapların izleme şirketleri tarafından keşif yapmak, hedeflere ulaşmak, hedeflerini zararlı web sitelerine yönlendirmeye çalışmak, kimlik avı yoluyla bilgileri çalmak ve çeşitli güvenlik açıklarını kullanarak cihazları ele geçirmek için açıldığı belirtilirken, hesapları açan izleme şirketlerinin isimleri de paylaşıldı.

Tehdit engelleme direktörü David Agranovich ve siber casusluk soruşturmaları başkanı Mike Dvilyanski paylaştıkları blog yazısında, “Küresel gözetim endüstrisi, insanları internet üzerinden istihbarat toplamak, cihazlarını ve hesaplarını manipüle etmek ve tehlikeye atmak için hedef alıyor” dedi.

Yazıda, “Bu ‘paralı siber askerler’ genellikle hizmetlerinin yalnızca suçluları ve teröristleri hedef aldığını iddia etse de aylarca süren araştırmamız, hedef alınanlar arasında ayrım gözetilmediği ve gazetecileri, muhalifleri, otoriter rejimleri eleştirenleri, muhalefet ailelerini ve insan hakları aktivistlerini kapsadığı sonucuna vardı” açıklaması yapıldı.

ŞİRKETLERİN İSİMLERİ PAYLAŞILDI

Paylaşılan bilgilere göre Cobweb Technologies’in 200, Cognyte’in 100, Black Cube’ün 300, Bluehawk Cl’nin 100, BellTroX’un 400, Cytrox’un 300 hesap açtığı belirtilirken Çin merkezli bir şirketin de 100 hesap açtığı açıklandı. Söz konusu şirketler, Meta tarafından platformlarına yönelik hizmeti kesildi.

Meta’ya göre bu şirketler, dünya genelinde çeşitli müşterileri için 100’den fazla ülkede yaşayan binlerce kişiyi hedef aldı ve bilgi toplamaya çalıştı. Meta ayrıca, söz konusu izleme şirketleri tarafından hedef alındığını düşündüğü yaklaşık 50.000 kişiye uyarı mesajı yolladığını belirtti.

Meta güvenlik politikası başkanı Nathaniel Gleicher, yeni raporun sunumunda “İzleme ve takip endüstrisi bir şirketten çok daha büyük” dedi.

ENGELLENEN YEDİ ŞİRKETİN DÖRDÜ İSRAİLLİ

Meta’nın yasakladığı şirketlerden CobWebs Technologies, Bluehawk CI, Cognyte ve Black Cube’in İsrail’de bulunması dikkat çekti.

Daha önce de İsrailli şirket NSO Group’un casus yazılımı Pegasus’un da WhatsApp üzerinden binlerce kişiyi hedef aldığı ortaya çıkmıştı. Facebook buna karşı yasal süreçleri başlatacağını açıklamıştı. Pegasus’un sahibi NSO Group’u ABD hükümeti kara listeye almış ve yabancı hükümetler adına bireyleri hedef almakla suçlamıştı.

ŞİRKETLERİN SABIKALARI KABARIK

Meta’nın açıkladığı şirketlerin önceki yıllarda da benzer operasyonlar yürüttüğü kamuoyunca biliniyordu.

Raporda adı geçen şirketlerin birçoğu gizlilik skandallarına karıştı. Söz konusu şirketler arasında İsrailli Black Cube isimli şirket, 2016 yılında Harvey Weinstein tarafından cinsel istismar mağdurlarını ve film patronu aleyhindeki iddiaları araştıran gazetecileri gözetlemek için tutulmuştu.

Meta’nın açıklamasıyla aynı gün Kuzey Makedonya merkezli diğer bir casus yazılım üreticisi şirketi Cytrox hakkında, bilgi ve iletişim teknolojileri, insan hakları ve küresel güvenlik konularında çalışan Toronto Üniversitesi’ne bağlı The Citizen Lab, şirketin NSO Group’un Pegasus casus yazılımına benzer şekilde telefonlara sızabildiği iddia edilen Predator adlı casus yazılımını detaylandırdığı bir rapor yayınladı.

Makedonya ve Etiyopya da siber casusluğa karışırsa?

Raporda, “Sürgündeki politikacı Ayman Nour ve kimliği belirsiz kalmak isteyen popüler bir haber programının sunucusu olan iki Mısırlı’nın Haziran 2021’de Cytrox’un Predator casus yazılımıyla saldırıya uğradığı” ifade edildi.

Citizen Lab araştırmacıları, casus yazılım firmalarının, ulusal ve uluslararası kurallar bu tür hizmetlere izin vermeyene kadar otokratik hükümetlerin ihtiyaçlarını karşılamaya devam edeceklerinin altını çizerken, “Uluslararası ve yerel düzenlemeler ve güvenceler olmadan gazeteciler, insan hakları savunucuları ve muhalefet grupları öngörülebilir gelecekte hacklenmeye devam edecek” dedi.

Rusya

FBI’ın peşinde olduğu ‘süper hacker’ın maskesi düştü

9 Aralık 2021 Zeynep Kılıç Yorum yapın

FBI’ın fidye yazılımı çetesi REvil ile bağlantılı en çok arananlar listesinde yer alan bir kişinin, Sibirya’nın bir şehrinde özgürce yaşadığı ortaya çıktı. Rus makamlarının ise kendisini gözaltına almak için herhangi bir şekilde harekete geçmediği bilgisi yer alıyor.

DailyMail.com, şüpheli süper hacker 28 yaşındaki Yevgeniy Polyanin’i, 74 bin dolarlık Toyota Land Cruiser 200 model bir araç kullanırken görüldüğü Barnaul’da 380 bin dolarlık lüks bir eve kadar takip etti.

ABD makamlarının Amerika merkezli şirketlerden milyonlarca dolar gasp etmekle suçladığı Polyanin’in 28 yaşındaki eşi Sofia ise müstehcen temalı bekarlığa veda partisi pastalarının da yer aldığı lüks bir pastacılık sosyal medya hesabını yönetiyor. DailyMail’İn yayınladığı fotoğraflarda çiftin, yakınlardaki Altay Dağları’na helikopterle çıkmak da dahil bir çok etkinliğe katıldığı lüks bir yaşam tarzının tadını çıkardığı görülüyor. Şüphelinin garajında 108 bin dolarlık bir BMW de bulunuyor.

Polyanin FBI tarafından fidye yazılım saldırılarına ve kara para aklama faaliyetlerine karışmakla suçlanıyordu. Şüphelinin REvil / Sodinokibi çetesinin bir üyesi olduğu iddia ediliyor ve FBI, kendisinden yasadışı yollarla kazanılan 6,1 milyon dolarlık fonlara ele koyduğunu iddia ederken, tutuklanmasına yol açan bilgiler için 5 milyon dolara kadar bir ödül teklif edildi.

Ayrıca bu kişi Başkan Joe Biden’ın Vladimir Putin’in şüpheli siber suçluları çökertmek için kendisiyle iş birliği yapması yönündeki talebinin kilidi olarak görülüyor. Bununla birlikte, Polyanin’in akrabaları ve komşuları, Rus FSB karşı istihbarat servisinden veya polisinden FBI iddiaları konusunda hiçbir temaslarının olmadığını vurguladıkları için bunun düşük bir ihtimal olduğu düşünülüyor.

SİBİRYA’DA ULTRA LÜKS HAYAT YAŞIYORLAR

Polyanin ve eşinin son günlerini, Rusya’nın dağlık Altay bölgesindeki ‘elit’ konutların bulunduğu Nevsky’de, perdelerinin neredeyse tamamen kapalı olduğu evlerinde gazetecilerden kaçarak ve gelen telefonları yüzlerine kapatarak geçirdikleri iddia ediliyor.

Aynı şehirde yaşayan 58 yaşındaki emekli annesi Svetlana Polyanina da FBI’ın iddialarının ‘sahte’ olduğunu açıkladı. İlk görüşmelerde ABD’nin iddiaları konusunda derin bir endişe duyduğunu belirten anne, bir muhabire yaptığı açıklamada dev boyutlu hackleme suçlamalarının ilk ortaya çıkmasından sonra oğlunu bulamadığını söyledi. 58 yaşındaki kadın şu ifadeleri kullandı: “Çok endişeliyim, insan endişelenmez mi? Yaptığı iş ile ilgili sana hiçbir şey söylemeyeceğim. Bu olay olduğundan beri ilaç kullanıyorum. Ayrıca üç günde dört kilo verdim.”

Oğlunun programcı olduğunu inkar eden anne, Rus medyasında yer alan FBI suçlamalarının bir kısmına atıfta bulunarak ise şunları söylemişti: “Gazetelerde söylediklerinin doğru olup olmadığını bilmiyorum. Nerede olduğunu bilmiyorum. Belki şu anda polislerin yanındadır. İşe Putin ile başlayın, her şey bir anda aydınlanacaktır.”

Ancak iddiaların ortaya çıkmasından altı gün sonra nihayet oğluyla temasa geçtiğinde ise şöyle söyledi: “Bizi rahatsız etmeyin lütfen. Hepimiz iyiyiz. Kendisiyle görüştüm, her şey yolunda. İddialar yalan. Kendisi tatilde.”

Yaklaşık 380.000 dolar değerindeki yeni evine rağmen, Polyanin, Barnaul’daki İçişleri Bakanlığı çalışanları için inşa edilmiş kasvetli bir Sovyet dönemi lojmanlarında kayıtlı görünüyor. Annenin iPhone 8’i olması dışında herhangi bir zenginlik belirtisi göstermediği gelen bilgiler arasında.

Ukrayna gizli servisi Rus hackerları avladı

FBI iddialarının ardından endişeye kapılan komşuların görüştüğü Polyanin’in kız kardeşi Anna (35) ise Rus makamları veya medyayla hiçbir bağlantısı olmadığını söyledi. Anna ayrıca, ailesinin fidye yazılımı iddiaları hakkında “konuşmayacağını” açıkça ifade etti.

Polyanin ve Sofia, Barnaul’da öğrenci olduklarından beri birlikteler ve Şubat ayında pasta işini tanıtan bir gönderide alyansa benzer bir yüzük paylaştı. Ayrıca çiftin Novgorodskaya Caddesi’ndeki yeni adresini de internette yayınladı.

ÜNİVERSİTEDEKİ PROFESÖRÜ: İYİ BİR ÖĞRENCİ OLSAYDI YAKALANMAZDI

Rusya kaynaklı resmi verilere göre 2019’da Polyanin ‘bilgisayar yazılımı geliştirme’ ve BT ‘danışmanlığında yer alan ‘bireysel girişimci’ olarak kaydı bulunuyor. Daha önce Altay Devlet Üniversitesi Fizik ve Teknoloji Fakültesi’nden bilgisayar alanında yüksek lisans eğitimini yarıda bıraktığı belirtiliyor. Bir öğrenci arkadaşı Konstantin Starodubtsev ise kendisi hakkında şunları söyledi: “Programlamada özellikle dahi değildi. Kendi çapında eğlenceli biriydi. Kelime oyunları yapmayı severdi. Onu sadece spor salonuna olan ilgisinden dolayı hatırlıyorum.”

FBI’ın kendisine yönelik iddiaları üzerine Starodubtsev, buna şaşırdığını ifade etti.

Profesörü Vladimir Pashnev ise “Gerçekten hiçbir şekilde öne çıkan biri değildi” dedi.

Polyanin, bilgisayar bilimi ve bilgisayar teknolojisi alanında lisans derecesine sahip. Profesör, FBI’ın elindeki Polyanin’i mikroişlemci tutarken gösteren fotoğrafın kendi laboratuvarından olduğunu söyledi ve ekledi: “Hackerlığı ona biz öğretmedik. Bu iş belli bir karizma gerektirir. Ve onda karizma olduğuna dair hiçbirimiz bir şey hatırlamıyor. Hatta şu sıralar aramızda “İyi bir öğrenci değildi. Öyle olsaydı yakalanmazdı.” diye espri yapıyoruz.

Polyanin şimdilerde Putin yanlısı bir milletvekili olan ve ABD’de 2018 yılında yabancı ajan olmakla suçlanan ve hapis yatan 33 yaşındaki Maria Butina ile aynı üniversitede okuyordu.

FBI, Polyanin’i bilgisayarlarla ilgili dolandırıcılık ve ilgili faaliyetlerde bulunmak için komplo kurmak, korunan bir bilgisayara kasıtlı zarar vermek ve kara para aklama yapmak için komplo kurmakla suçluyor. FBI’ın Teksas ofisi ise şunları söylüyor: “Polyanin’in Rusya’da, muhtemelen Barnaul’da olduğuna inanılıyor ve birçok Sodinokibi / REVİL fidye yazılımı iştirakinden biri”

Siber Güvenlik

Siber saldırıya ortalama cevap verme süresi iki iş gününü geçiyor

2 Aralık 2021 Onur Usta Yorum yapın

Firmaların siber saldırılara yönelik verdiği ortalama karşılık süresinin 2 iş gününü geçtiği ortaya çıktı.

ABD’de gerçekleştirilen bir araştırmaya göre siber saldırıya uğrayan şirketlerin sistemlerini çalışır hale getirmesi, iki iş gününden uzun sürüyor. Bu süre boyunca saldırının hedefi olan sistemler, tam kapasite çalışamadığı gibi kullanım dışı bile kalabiliyor.

Şirketlerin müşterilerine sunduğu hizmetlerin günlerce aksamaması için platformunda 1000’den fazla bağımsız siber güvenlik uzmanı bulunan BugBounter, sistemleri saldırıya uğramadan önce denetletmenin önemine dikkat çekiyor.

Kovid-19 salgınıyla dijitalleşmenin ve evden çalışan ekiplerin artması, şirketlerde yeni siber saldırı alanlarının oluşmasına neden oluyor. ABD’li bir güvenlik şirketi olan Deep Instinct’in gerçekleştirdiği Voice of SecOps raporuna göre şirketlerin bir siber saldırıya karşılık vermesi ortalama 20 saat sürüyor.

ŞİRKET SİSTEM VE UYGULAMALARINI SİBER GÜVENLİK UZMANLARI DENETLEMELİ

Şirketlerin güvenlik açıklarını denetleme, bulma ve doğrulama ihtiyacını bünyesindeki binin üzerinde bağımsız araştırmacıyla hızlı ve güvenilir bir şekilde karşılayan BugBounter.com, ortalama iki iş gününe mal olan siber saldırıları yaşamaması için şirketleri sistemlerini ve uygulamalarını siber güvenlik uzmanlarına denetletmeye çağırıyor.

Nokia tehdit istihbaratı raporu: En fazla saldırıya Android cihazlar uğruyor

Araştırmadaki diğer bulgulara göre siber saldırılara finans sektörü 16 saatte, büyük şirketler 15 saatte karşılık verirken, küçük şirketlerde bu süre 25 saate kadar artıyor. Bu verilerin arkasında yatan sebepler incelendiğinde ise çalışanların kullandığı tüm sistemlerin güvenlik denetlemelerinin yüzde 1’lik kesimi oluşturması yatıyor.

Araştırmaya katılanların yüzde 26’sı karmaşıklıktan ötürü güvenlik araçlarını yükleyemediklerini belirtirken, yüzde 39’u tehditleri araştırmak için fazla zaman harcanması gerektiğine ve yüzde 35’i de kalifiye SecOps (Güvenlik + Operasyonlar) çalışanının azlığına işaret ediyor.

Teknik

Siber güvenlikte bir vahşi doğa benzetmesi: Watering Hole saldırıları nedir?

1 Aralık 2021 Oğuzcan Balyemez Yorum yapın

Vahşi doğa ve siber güvenlik arasında bir benzerlik kurulacaksa, muhtemelen buna en uygun düşeni “Watering Hole” saldırılarıdır.

Son yıllarda birçok yüksek profilli saldırıda kullanılan tekniğin ne olduğu, hangi saldırılarda kullanıldığı ve kendimizi bu saldırılardan nasıl koruyabileceğimiz hakkında bilgi edinmek isteyenlere yönelik hazırladığımız bu yazıya, latteleriniz hazırsa başlayabiliriz.

“Watering Hole” sözcüğünün etimolojik kökeninde de biraz sonra siber güvenlik alanıyla kuracağımız ilginç benzerlikler yer alıyor.

İki farklı kelime olarak bakıldığında “watering”, Orta Çağ’da “hayvanların su ihtiyacını giderme” olarak kullanılırken, “hole”, “içi boş yer, mağara” gibi vahşi hayvanların yerleşim bölgelerini tanımlarken ayrıca “gizlenmek, örtmek” gibi anlamları da bünyesinde barındırıyor.

Vahşi doğada “watering hole” saldırılarını, “Su içerisinde kamufle olanın, o bölgeye su içmek için gelenleri “avladığı” saldırılar olarak tanımlamak mümkün. Tıpkı su içerisinde gizlenen timsahın, su içmeye gelen ceylanı avlaması gibi.

Saldırıları siber güvenlik alanına taşıdığımızda da hemen hemen benzer bir durumu görüyoruz. “Watering Hole” genel anlamda popüler olan bir internet sitesinin hacklenmesiyle başlayan süreçte, siteyi ziyaret eden ziyaretçilerin tarayıcı, işletim sistemleri ve çeşitli yazılım zafiyetleri kullanılarak ziyaretçilerin cihazlarına sızılmasına deniyor. Kısaca, “İnternet sitesinde kamufle olanın, siteyi ziyaret edenleri “avladığı” saldırılar diyebiliriz.

Sıfırın da bir değeri var: Zero-day nedir? Nasıl istismar edilir?

Uzun süredir devam eden bir tehdit olmasının yanında “watering hole” saldırıları, son yıllarda birkaç yüksek profilli olayın arkasındaki saldırı tekniği olarak da biliniyor. Siber güvenlik araştırmacıları, söz konusu tekniğin oldukça güçlü ve etkili olduğu için giderek yayıldığını vurguluyor.

SALDIRILAR NASIL GERÇEKLEŞİYOR?

Gündelik yaşantımızda hemen hemen her gün birbirinden farklı birçok internet sitesini ziyaret ediyoruz. Magazin, spor, haber, devlet, alışveriş, eğlence gibi sayabileceğimiz farklı alanlarda ziyaretçilerine hizmet veren sitelerin yanında bu sitelerin reklam gibi içerik aldığı diğer siteler de bulunuyor. Siber tehdit aktörlerinin hedefleri arasında bulunan bu siteler, tarayıcılardaki veya diğer yazılımlardaki çeşitli zafiyetler nedeniyle sıklıkla hackleniyor.

Siteleri hacklemekle kalmayan tehdit aktörleri, örneğin sitedeki bir java uygulamasına zararlı kod yüklüyor. Bu kod aracılığıyla zafiyeti olan işletim sistemlerine, tarayıcılara, flash player ve java client gibi uygulamalara sahip ziyaretçiler, siteye giriş yapınca zararlı kod tetiklenerek ziyaretçinin cihazına yükleniyor.

Bu durum saldırganlara, ziyaretçinin cihazına casus yazılım veya diğer zararlı yazılımları yüklemesi için ihtiyaç duydukları erişimi veriyor. Böylelikle tehdit aktörleri popüler bir internet sitesini hackleyerek başladıkları saldırı yolculuğunu, hedefledikleri kurbanlara ulaşarak bitiriyor.

“WATERING HOLE” SALDIRILARI ARTIYOR

Son yıllarda artış gösteren saldırıların tespit edilmesi de zor oluyor. Ayda en az bir kez keşfedilen saldırılarda, tehdit aktörlerinin ne zamandır sitenin içerisinde olduğu ve kaç kişiye eriştiği hakkında pek fazla bilgi yer almıyor.

ESET’in tehdit araştırmacıları 2020 yılında, Abu Dabi’de bulunan İran Büyükelçiliği’nin internet sitesinin zararlı JavaScript koduyla “watering hole” saldırısının kurbanı olduğunu bildirdi.

Bu olay sonrasında Orta Doğu’daki diğer yüksek profilli sitelerin de hedef alındığını tespit eden araştırmacıların ortaya koyduğu son çalışmada, İngiltere, Yemen ve Suudi Arabistan’daki medya kuruluşlarının yanında İran Dışişleri Bakanlığı, Suriye Elektrik Bakanlığı, Yemen İçişleri ve Maliye Bakanlıkları, Yemen ile Suriye’deki internet servis sağlayıcıları, İtalya ve Güney Afrika’daki havacılık/askeri teknoloji şirketlerine ve Almanya’da bir tıbbi ticaret fuarının “watering hole” saldırı tekniğiyle hedeflendiği belirtiliyor.

Üstelik son derece üst düzey tehdit araçları kullanan tehdit aktörlerinin “watering hole” saldırılarında kullandıkları çeşitli kodlar, devletlere casus yazılım satan İsrailli şirket Candiru’nun kodlarıyla benzerlik taşıdığı ve “watering hole” operatörlerinin yüksek ihtimalle Candiru müşterisi olduklarına dikkat çekiliyor.

Candiru, kısa süre önce ABD Ticaret Bakanlığı’nca ABD’li şirketlerle iş yapması engellenen şirketler arasında yer alıyor.

Geçtiğimiz kasım ayında ortaya çıkan bir başka saldırıda ise sofistike hackerlar, Hong Kong merkezli medya ve demokrasi yanlısı internet sitelerini ziyaret eden Apple cihazlarına zararlı yazılım yüklemek için macOS ve iOS’taki güvenlik zafiyetlerini geniş bir “watering hole” saldırı ağında kullanmıştı.

Saldırıyı analiz eden Google Tehdit Analizi Grubu (TAG), bulgularına dayanarak tehdit aktörlerinin iyi kaynaklara sahip, muhtemelen devlet destekli ve yük kodunun kalitesine dayalı olarak kendi yazılım mühendisliği ekibine erişimi olan bir grup olduğunu belirtmişti.

Geleneksel parola ele geçirme tekniği: Brute force nedir, nasıl gerçekleştirilir?

“Watering Hole” saldırıları, Suriye’de ve Türkiye’deki Kürtlere yönelik gözetleme ve istihbarat amacıyla yapılan saldırılarda da kullanılmıştı.

2017 yılında “Watering Hole” saldırıları Windows kullanıcıları arasında yaygın olan, Avast tarafından satın alınan CCleaner yazılımına yönelik saldırıda da kullanılmış ve 2,27 milyon kullanıcı bu durumdan etkilenmişti.

“WATERING HOLE” SALDIRILARINDAN NASIL KORUNURUZ?

Söz konusu saldırılardan yüzde 100’lük koruma sağlayan herhangi bir yol olmasa da saldırı riskini mümkün mertebe minimuma indirebilecek birkaç yol mevcut. Bu yollar arasında cihazlarınızdaki yazılım güncellemelerini düzenli olarak yapmak, son sürüm uygulamalar kullanmak, zararlı yazılım tespit araçları kullanmak, güvenmediğiniz sitelere girmemek yer alıyor.

Günün sonunda, en iyi koruma bilgi sahibi olmaktır diyebiliriz. Siber tehditler gelişmeye devam ederken, her zaman tetikte ve en yeni tehditlerin farkında olmalısınız.

ABD

Colonial Pipeline saldırısını yaşayan CEO konuştu: “Böyle bir olayda mecburen iş başa düşüyor”

25 Kasım 2021 Cemalettin Kanaş Yorum yapın

Colonial Pipeline’ın başkanı ve CEO’su Joe Blount

Son zamanların en büyük siber saldırılarıyla karşılan iki şirketin tepe yöneticileri, sistemlerine yönelik saldırı anıyla ilgili önceliklerini günlük işleri ikinci plana atarak saldırıya derhal karşılık vermek şeklinde değiştirdiklerini anlattı.

Bir siber güvenlik zirvesinde bir araya gelen yöneticiler, muhtemel siber saldırılar durumunda neler yapılabileceği konusundaki düşüncelerini paylaştı. Yakın zamanda önemli saldırılara muhatap olan Colonial Pipeline ve Accellion’un CEO’ları geçmiş tecrübelerini aktardı ve tehdit anında en tepe yönetimin dahi aktif olarak plana dâhil olduğunu belirtti.

Mandiant Siber Güvenlik Zirvesi Washington’da gerçekleşti. Colonial Pipeline’ın başkanı ve CEO’su Joe Blount, Accellion başkanı ve CEO’su Jonathon Yaron ve Mandiant kıdemli başkan yardımcısı ve CTO’su Charles Carmakal açılış paneli sırasında görüşlerini ve deneyimlerini paylaştı.

Blount, şirketinin büyük bir siber saldırıya uğradığını öğrendiklerinde, var güçleriyle anında karşılık vermek için günlük işlerini ikinci plana attıklarını söyledi. Firmasının 4,4 milyon dolarlık bir fidye ödemek zorunda bırakıldığı bir saldırı anında aklında geçen düşünceleri paylaşan Blount, “Alışageldiğiniz CEO’luk işi birkaç saat önce adeta kapıdan çıktı ve bir süre gelecek gibi de görünmüyor.” ifadelerini kullandı.

“CEO’NUN SORUMLULUĞU SALDIRIYI KONTROL ALTINA ALMAK”

Blount, bu saldırıda tüm diğer yöneticiler ve çalışanlar gibi, şirketin verdiği karşılıkta aktif rol almış. Blount, “Böyle bir olay yaşandığında, yeteri kadar zaman ya da insan olmuyor. Mecburen iş başa düşüyor.” şeklinde konuştu.

Saldırıya dair ayrıntılar, karşılık verme ve toparlanma hakkında ABD Enerji Bakanlığı ile iletişimi kuran “kanal” olarak görev yapan üst düzey yönetici, “Bizim durumumuzda saldırının ardından, CEO’nun sorumluluğu saldırıyı hemen kontrol altına almak ve durumu düzeltmek oluyor. Odak noktası buna dönüşüyor.” dedi.

Söz konusu saldırıda Blount, bakanlık aracılığıyla federal hükümetle neler yaşandığı hakkında ve Colonial Pipeline ve Mandiant da dâhil olmak üzere olay müdahale ekibinin elde ettiği bulgular hakkında brifinglere katılmış.

Blount, “Hükümetle o tek kanalı kurmuş olmak, bize Beyaz Saray’dan, tüm düzenleyicilere ve benzer şirketlerle bilgi paylaşımı konusunda yardımsever davranan lobici gruplara kadar birçok kişi ve kurumla iletişim kurma imkânı sağladı” değerlendirmesini yaptı ve bu yolla diğer kurumlara da tehditlere karşı dolaylı olarak uyarılmış olduğunu söyledi.

Colonial Pipeline saldırısı hakkında bilmeniz gereken 5 şey

İsrailli 8200 istihbarat biriminin eski bir üyesi olan Accellion’dan Yaron ise şirketin eski Dosya Transfer Cihazı platformunda bir ay arayla gerçekleşen iki saldırıyı hatırlattı. Ocak sonunda gerçekleşen ikinci saldırı hakkında birilerinin bize zekasıyla alt ettiğini anlıyoruz yorumun yapan Yaron, “[Bu kişiler] bizim bilmediğimiz bir şeyleri biliyorlardı.” diye konuştu.

Saldırı ilk olarak, bazı şirketler tarafından büyük dosyaların transferi için kullanılan 20 yıllık bir teknolojinin bir akademik kurumda alarm vermesinin ardından Accellion ile temasa geçmesiyle fark edildi. İlk etapta saldırının bir devlet tarafından mı yoksa ticari bir kuruluş tarafından mı düzenlediği ya da tekil bir olay vaka olup olmadığı belirsizdi. Bankalar, ABD devlet kurumları ve büyük bir sağlık kuruluşu hala eski ürünü kullanan müşteriler arasındaydı.

“BÜYÜK ÇOĞUNLUK BİZİ DİNLEDİ VE SİSTEMLERİ KAPATTI”

“Birinci öncelik saldırının büyüklüğünü anlamaktı.” diyen Yaron, ilk değerlendirmelere göre, 300’e yakın kuruluşun mağdur olabileceği değerlendirildiğini söyledi. Araştırmalar sonunda, 90’a yakın saldırının gerçekleştiğini ve bunların 35’inin ciddi zarar verebildiği tespit edildi.

Saldırı sonucunda müşteri verileri çalındı ve daha sonra siber suçlular tarafından kaldıraç olarak kullanılan gasp girişimleri yaşandı. Satıcı, saldırının fark edilmesinden sonraki 72 saat içinde Aralık ayındaki ilk 0-day gün saldırısı için bir yama yayınladı ve ayrıca müşterilerini mevcut Kiteworks güvenlik duvarı platformuna geçmeye davet etti. Ancak 1 Şubat’ta, platformda bir zafiyeti daha tespit eden hackerlar tekrar saldırıya geçti.

Mandiant; ABD, Kanada, Hollanda ve Singapur’daki şirketlerden gelen verilerin Fin11 olarak bilinen Rus siber suç çetesiyle bağlantılı bir Dark Web sitesine düştüğünü tespit etti. Saldırının önde gelen kurbanları arasında Kroger, Jones Day ve Singtel gibi ünlü firmalar yer aldı.

Müşterilerini derhal müşterileri FTA sistemlerini kapatmaya çağırdıklarını söyleyen Yaron, “Büyük çoğunluk bizi dinledi ve sistemleri kapattı ve müşterilerimizden en fazla %10’u ağır hasar aldı.” dedi.

Siber Bülten