Etiket arşivi: Candiru

Teknik

Siber güvenlikte bir vahşi doğa benzetmesi: Watering Hole saldırıları nedir?

Yorum yapın

Siber güvenlikte bir vahşi doğa benzetmesi: Watering Hole saldırıları nedir?Vahşi doğa ve siber güvenlik arasında bir benzerlik kurulacaksa, muhtemelen buna en uygun düşeni “Watering Hole” saldırılarıdır. 

Son yıllarda birçok yüksek profilli saldırıda kullanılan tekniğin ne olduğu, hangi saldırılarda kullanıldığı ve kendimizi bu saldırılardan nasıl koruyabileceğimiz hakkında bilgi edinmek isteyenlere yönelik hazırladığımız bu yazıya, latteleriniz hazırsa başlayabiliriz.

“Watering Hole” sözcüğünün etimolojik kökeninde de biraz sonra siber güvenlik alanıyla kuracağımız ilginç benzerlikler yer alıyor. 

İki farklı kelime olarak bakıldığında “watering”, Orta Çağ’da “hayvanların su ihtiyacını giderme” olarak kullanılırken, “hole”, “içi boş yer, mağara” gibi vahşi hayvanların yerleşim bölgelerini tanımlarken ayrıca “gizlenmek, örtmek” gibi anlamları da bünyesinde barındırıyor. 

Vahşi doğada “watering hole” saldırılarını, “Su içerisinde kamufle olanın, o bölgeye su içmek için gelenleri “avladığı” saldırılar olarak tanımlamak mümkün. Tıpkı su içerisinde gizlenen timsahın, su içmeye gelen ceylanı avlaması gibi. 

Saldırıları siber güvenlik alanına taşıdığımızda da hemen hemen benzer bir durumu görüyoruz. “Watering Hole” genel anlamda popüler olan bir internet sitesinin hacklenmesiyle başlayan süreçte, siteyi ziyaret eden ziyaretçilerin tarayıcı, işletim sistemleri ve çeşitli yazılım zafiyetleri kullanılarak ziyaretçilerin cihazlarına sızılmasına deniyor. Kısaca, “İnternet sitesinde kamufle olanın, siteyi ziyaret edenleri “avladığı” saldırılar diyebiliriz. 

Sıfırın da bir değeri var: Zero-day nedir? Nasıl istismar edilir?

Uzun süredir devam eden bir tehdit olmasının yanında “watering hole” saldırıları, son yıllarda birkaç yüksek profilli olayın arkasındaki saldırı tekniği olarak da biliniyor. Siber güvenlik araştırmacıları, söz konusu tekniğin oldukça güçlü ve etkili olduğu için giderek yayıldığını vurguluyor. 

SALDIRILAR NASIL GERÇEKLEŞİYOR?

Gündelik yaşantımızda hemen hemen her gün birbirinden farklı birçok internet sitesini ziyaret ediyoruz. Magazin, spor, haber, devlet, alışveriş, eğlence gibi sayabileceğimiz farklı alanlarda ziyaretçilerine hizmet veren sitelerin yanında bu sitelerin reklam gibi içerik aldığı diğer siteler de bulunuyor. Siber tehdit aktörlerinin hedefleri arasında bulunan bu siteler, tarayıcılardaki veya diğer yazılımlardaki çeşitli zafiyetler nedeniyle sıklıkla hackleniyor. 

Siteleri hacklemekle kalmayan tehdit aktörleri, örneğin sitedeki bir java uygulamasına zararlı kod yüklüyor. Bu kod aracılığıyla zafiyeti olan işletim sistemlerine, tarayıcılara, flash player ve java client gibi uygulamalara sahip ziyaretçiler, siteye giriş yapınca zararlı kod tetiklenerek ziyaretçinin cihazına yükleniyor. 

Bu durum saldırganlara, ziyaretçinin cihazına casus yazılım veya diğer zararlı yazılımları yüklemesi için ihtiyaç duydukları erişimi veriyor. Böylelikle tehdit aktörleri popüler bir internet sitesini hackleyerek başladıkları saldırı yolculuğunu, hedefledikleri kurbanlara ulaşarak bitiriyor.

“WATERING HOLE” SALDIRILARI ARTIYOR

Son yıllarda artış gösteren saldırıların tespit edilmesi de zor oluyor. Ayda en az bir kez keşfedilen saldırılarda, tehdit aktörlerinin ne zamandır sitenin içerisinde olduğu ve kaç kişiye eriştiği hakkında pek fazla bilgi yer almıyor. 

ESET’in tehdit araştırmacıları 2020 yılında, Abu Dabi’de bulunan İran Büyükelçiliği’nin internet sitesinin zararlı JavaScript koduyla “watering hole” saldırısının kurbanı olduğunu bildirdi.

Bu olay sonrasında Orta Doğu’daki diğer yüksek profilli sitelerin de hedef alındığını tespit eden araştırmacıların ortaya koyduğu son çalışmada, İngiltere, Yemen ve Suudi Arabistan’daki medya kuruluşlarının yanında İran Dışişleri Bakanlığı, Suriye Elektrik Bakanlığı, Yemen İçişleri ve Maliye Bakanlıkları, Yemen ile Suriye’deki internet servis sağlayıcıları, İtalya ve Güney Afrika’daki havacılık/askeri teknoloji şirketlerine ve Almanya’da bir tıbbi ticaret fuarının “watering hole” saldırı tekniğiyle hedeflendiği belirtiliyor.

Üstelik son derece üst düzey tehdit araçları kullanan tehdit aktörlerinin “watering hole” saldırılarında kullandıkları çeşitli kodlar, devletlere casus yazılım satan İsrailli şirket Candiru’nun kodlarıyla benzerlik taşıdığı ve “watering hole” operatörlerinin yüksek ihtimalle Candiru müşterisi olduklarına dikkat çekiliyor.

Candiru, kısa süre önce ABD Ticaret Bakanlığı’nca ABD’li şirketlerle iş yapması engellenen şirketler arasında yer alıyor.

Geçtiğimiz kasım ayında ortaya çıkan bir başka saldırıda ise sofistike hackerlar, Hong Kong merkezli medya ve demokrasi yanlısı internet sitelerini ziyaret eden Apple cihazlarına zararlı yazılım yüklemek için macOS ve iOS’taki güvenlik zafiyetlerini geniş bir “watering hole” saldırı ağında kullanmıştı.

Saldırıyı analiz eden Google Tehdit Analizi Grubu (TAG), bulgularına dayanarak tehdit aktörlerinin iyi kaynaklara sahip, muhtemelen devlet destekli ve yük kodunun kalitesine dayalı olarak kendi yazılım mühendisliği ekibine erişimi olan bir grup olduğunu belirtmişti.

Geleneksel parola ele geçirme tekniği: Brute force nedir, nasıl gerçekleştirilir?

“Watering Hole” saldırıları, Suriye’de ve Türkiye’deki Kürtlere yönelik gözetleme ve istihbarat amacıyla yapılan saldırılarda da kullanılmıştı.

2017 yılında “Watering Hole” saldırıları Windows kullanıcıları arasında yaygın olan, Avast tarafından satın alınan CCleaner yazılımına yönelik saldırıda da kullanılmış ve 2,27 milyon kullanıcı bu durumdan etkilenmişti. 

“WATERING HOLE” SALDIRILARINDAN NASIL KORUNURUZ?

Söz konusu saldırılardan yüzde 100’lük koruma sağlayan herhangi bir yol olmasa da saldırı riskini mümkün mertebe minimuma indirebilecek birkaç yol mevcut. Bu yollar arasında cihazlarınızdaki yazılım güncellemelerini düzenli olarak yapmak, son sürüm uygulamalar kullanmak, zararlı yazılım tespit araçları kullanmak, güvenmediğiniz sitelere girmemek yer alıyor. 

Günün sonunda, en iyi koruma bilgi sahibi olmaktır diyebiliriz. Siber tehditler gelişmeye devam ederken, her zaman tetikte ve en yeni tehditlerin farkında olmalısınız. 

Türkiye

İsrailli firma Candiru’nun casus yazılımı deşifre oldu: Listede Türkiye de var

Yorum yapın

Microsoft tarafından yayımlanan güncellemelerin bir parçası olarak düzeltilen sıfırıncı gün açıklıklarından ikisi, Candiru adlı İsrail merkezli bir şirket tarafından dünya genelinde 100’den fazla gazeteci, akademisyen, aktivist ve siyasi muhalifi hacklemek üzere düzenlenen bir dizi saldırı kapsamında siber silah olarak kullanıldı. Türkiye’den de hedeflerin listede olması dikkat çekti.

Toronto Üniversitesi Citizen Lab tarafından yayınlanan bir rapora göre, casus yazılım satıcısının resmi olarak Google Tehdit Analizi Grubu’nun (TAG) Chrome tarayıcısındaki birden fazla sıfırıncı gün açıklığından yararlanarak Ermenistan’da bulunan kurbanları hedef aldığını ortaya çıkardığı ticari gözetim şirketi olarak tanımlandı.

Amazon balığı Candiru ile İsrail siber şirketi arasındaki ilişki ne olabilir?

DEVLET KONTROLÜ YOK

Citizen Lab araştırmacıları, “Candiru’nun belirgin ve yaygın varlığı ve küresel sivil topluma karşı gözetim teknolojisinin kullanılıyor oluşu, kâr amacı gözeten casus yazılım endüstrisinin birçok oyuncu içerdiği ve yaygın olarak suistimale müsait olduğu yönünde güçlü bir hatırlatıcı.” uyarısında bulunuyor ve ekliyor: “Bu vaka, herhangi bir uluslararası güvenlik önlemi veya güçlü hükümet ihracat kontrollerinin yokluğunda, casus yazılım satıcılarının hizmetlerini devamlı kötüye kullanacak olan devlet müşterilerine satış yapacaklarını bir kez daha gösteriyor.”

2014 yılında kurulan ve Microsoft’un “Sourgum” kod adını verdiği özel sektör saldırgan aktörünün (PSOA), DevilsTongue adındaki, yalnızca hükümetlere satılan ve farklı platformlarda iPhone’lar, Android’ler, Mac’ler, PC’ler ve bulut hesapları dahil olmak üzere çok çeşitli cihazlara bulaşma ve izleme yeteneğine sahip bir casusluk araç setinin geliştiricisi olduğu belirtiliyor.

Citizen Lab, “Batı Avrupa’da politik olarak aktif bir kurbandan” bir sabit disk aldıktan sonra Candiru’nun Windows casus yazılımının bir kopyasını kurtarabildiğini ve daha sonra güvenlik açıkları için kurban kutularına kötü amaçlı yazılım yüklemek için kullanılan CVE-2021-31979 ve CVE-2021-33771  kodlu zafiyetleri belirlemek için tersine mühendislik yapıldığını açıkladı.

WhatsApp ÜZERİNDEN URL GÖNDERİLMİŞ

Virüs zinciri, tarayıcı ve Windows yetkisiz erişimlerinin bir karışımına dayanıyordu. Tarayıcı, WhatsApp gibi mesajlaşma uygulamaları üzerinden hedeflere gönderilen tek kullanımlık URL’ler aracılığıyla sunuluyordu. Microsoft, 13 Temmuz tarihinde bir rakibin tarayıcı sanal alanlarından kaçmasına ve  uzaktan kod yürütmesi elde etmesine imkan tanıyan ayrıcalık yükseltme kusurlarını ele aldı.

İzinsiz girişler; dosyaları sızdırma, şifreli mesajlaşma uygulaması Signal’de kayıtlı mesajları dışa aktarma ve Chrome, Internet Explorer, Firefox, Safari ve Opera tarayıcılarından çerezleri ve şifreleri çalma dahil olmak üzere çeşitli kabiliyetlerle donatılmış modüler C/C++ tabanlı bir arkakapı olan DevilsTongue’nin dağıtımıyla sonuçlandı.

Microsoft’un dijital silah analizi, oturum açmış e-postalardan ve Facebook, Twitter, Gmail, Yahoo, Mail.ru, Odnoklassniki ve Vkontakte gibi sosyal medya hesaplarından çalınan çerezleri bilgi toplamak, kurbanın mesajlarını okumak, fotoğrafları almak ve hatta onlar adına mesajlar göndermek, böylece tehdit aktörünün, güvenliği ihlal edilmiş bir kullanıcının bilgisayarından doğrudan kötü niyetli bağlantılar göndermesine izin verebildiği bulgusuna ulaştı.

Ayrıca Citizen Lab raporu, arama devi tarafından geçen hafta Çarşamba günü açıklanan iki Google Chrome güvenlik açığını (CVE-2021-21166 ve CVE-2021-30551) Tel Aviv merkezli şirkete bağlarken web sitelerinde yetkisiz erişimleri dağıtmak için kullanılan çakışmalara dikkat çekti.

764 DOMAIN ORTAYA ÇIKARILDI

Candiru’nun casus yazılım altyapısına bağlı 764 domain ortaya çıkarıldı ve bu domainlerin çoğunun Uluslararası Af Örgütü, Black Lives Matter hareketi gibi hak savunucusu örgütler, medya şirketleri ve diğer sivil toplum temalı kuruluşlar olduğu görülüyor. Kontrolleri altındaki sistemlerin bazıları Suudi Arabistan, İsrail, BAE, Macaristan ve Endonezya’dan idare ediliyordu.

Hedeflerinin Türkiye, Filistin, İsrail, İran, Lübnan, Yemen, İspanya (Katalonya), İngiltere, Ermenistan ve Singapur’da bulunduğu tespit edilen SOURGUM’un kötü amaçlı yazılımının bugüne kadar 100’den fazla kurbanı oldu. Microsoft’un Dijital Güvenlik Birimi Genel Müdürü Cristin Goodwin, “Bu saldırıların büyük ölçüde tüketici hesaplarını hedef almış olması Sourgum’un müşterilerinin belirli kişileri takip ettiğini gösteriyor.” yorumunu yaptı.

En son rapor, TAG araştırmacıları Maddie Stone ve Clement Lecigne’nin (kısmen satıcıların daha fazla sıfırıncı gün erişimi satmalarına bağlı olarak) siber saldırılarda 2010’lu yılların başlarına kıyasla sıfırıncı gün istismarı kullanan saldırganların sayısının arttığını fark etmesiyle geldi.

Microsoft Tehdit İstihbarat Merkezi (MSTIC), durum hakkında verdiği teknik bir özette “Özel sektör saldırgan aktörleri, hedeflerinin bilgisayarlarına, telefonlarına, ağ altyapılarına ve diğer cihazlarına girmek için, genellikle dünyanın dört bir yanındaki devlet kurumlarına bir hizmet olarak hackleme paketlerinde siber silahlar üreten ve satan özel şirketlerdir.” değerlendirmesini yaptı.

MSTIC, açıklamasını şöyle sürdürdü: “Bu bilgisayar korsanlığı paketleriyle, genellikle devlet kurumları hedefleri seçer ve fiili operasyonları kendileri yürütür. Bu şirketler tarafından kullanılan araçlar, taktikler ve prosedürler yalnızca saldırıların karmaşıklığını, ölçeğini ve karmaşıklığını artırır.”

İsrail, Uluslararası İlişkiler

Amazon balığı Candiru ile İsrail siber şirketi arasındaki ilişki ne olabilir?

Yorum yapın

İsmini insanların idrar yoluna girmesi ile bilinen bir Amazon balığından alan İsrail siber şirketi Candiru’nun, ağırlıklı olarak İsrail Ordusu’nun sinyal istihbaratı birimi Unit 8200’den eleman aldığı ve bilgisayar sistemlerini hacklemeye yönelik saldırı araçları sattığı ortaya çıktı.

Firmanın genel merkez olarak görev yapan Tel Aviv’deki binasının lobisine girdiğinizde, idarede firmanın adını bulmanız mümkün değil. Ayrıca firmaya ait bir web sitesi bulmanız da imkânsız çünkü herhangi bir web sitesi bulunmuyor.

120 kadar çalışanı da LinkedIn’de profil paylaşmıyor ve şirketle katı şartları olan gizlilik anlaşmaları imzalamış durumdalar. Haaretz gazetesinin finans eki TheMarker tarafından yapılan görüşme talebi kibar ancak kesin bir “yorum yok” cevabı ile geri çevrilmiş.

Şirketin ismini, insanların idrar yollarını istila edip parazitleştirmesiyle ünlü bir Amazon balığı olan Candiru’dan alması tesadüf değil. İsim, bilgisayarlara veya akıllı telefonlara zarar vermek ve kullanıcıları gözetlemek için kullanılan teknolojiye sahip şirket ile oldukça uyumlu.

TAARUZİ SİBER: BÜYÜKLÜĞÜ BİR MİLYAR DOLAR

Şirketin faaliyet alanı ‘Offensive Cyber’ (Taaruzi Siber) olarak tanımlanıyor. Offensive Cyber İsrail’de büyük bir sektör olarak biliniyor. Bazı kaynakların belirttiğine göre yılda bir milyar dolar satış yapan bir sektör.

Sektörün oyuncuları arasında en büyüğü ve en tartışmalı olanı ise cihazlarını muhaliflere karşı casusluk yapmaları için Suudi Arabistan ve Meksika gibi ülkelere satan NSO.

NSO’nun uzmanlığı, akıllı telefonları hacklemek. Candiru’nun bilgisayar korsanlığı araçları bilgisayarlara ve sunuculara girmek için kullanılıyor. Ancak bazı kaynaklar TheMarker’a şirketin mobil cihazlara da girme teknolojisi olduğunu belirtmiş.

NSO’nun aksine, Candiru, müşteri seçiminde daha tutucu. Müşterilerinin çoğu Batı Avrupa’da. Afrika’dan hiçbir müşterisi bulunmuyor. Kaynaklar, aslında şirketin İsrail’e cihaz satmadığını ve bunun siyasi değil – ticari nedenlerden ötürü olduğunu belirtiyorlar.

Candiru’nun satış politikası şirket içi alınmış bir karar. Birçok İsrailli şirket, demokrasi ve insan hakları konusunda dosyası kabarık birçok rejime satış yapmaları itibari ile tehlikeli sularda yüzüyorlar.

KOMPLE SİSTEM SATIYOR

Candiru diğer saldırgan siber şirketlerden şu bakımdan da ayrılıyor: Hacking Team ve FinFisher gibi şirketler sadece saldırı araçlarını satarken, Candiru tümüyle bir sistem satıyor.

İsmini belirtmek istemeyen bir kaynak şunları söylüyor: “Müşterinin, kaç hedefe nüfuz edildiği, hangi bilgilerin elde edildiği gibi verileri gördüğü bir kullanıcı ara yüzü var. Ayrıca, belirli bir saldırı aracı işe yaramazsa işe yarayacak yeni bir tane üretecek şekilde çok yönlü bir hizmet sunuyorlar.”

Dört yıl önce kurulan Candiru gizlilik içinde faaliyet gösteriyor. 120 kişinin çalıştığına ve yılda 30 milyon dolarlık yıllık satış elde ettikleri biliniyor. Ancak bu sadece üçüncü şahısların dile getirdiği bir spekülasyon. Doğru olması halinde bu, Candiru’nun NSO’dan sonra İsrail’in en büyük ikinci ‘Offensive Cyber’ şirketi olduğu anlamına gelmekte.

Candiru’nun kurucusunun NSO’nun da kurucusu olan Isaac Zack olduğu biliniyor. Zack, bir risk sermayesi yatırımcısı ve yatırım şirketleri Founders Group ve Pico Venture Partners’ı da kuran kişi.

Candiru’nun CEO’su İsrailli bir yolculuk paylaşım şirketi olan Gett’in eski başkanı Eitan Achlow. Ancak, Candiru’nun gizlilik politikasına uygun olarak, Achlow’un LinkedIn sayfası, kendisini herhangi bir ürünü piyasaya sürmemiş startup’lar için kullanılan bir terim olan ‘gizli modda faaliyet gösteren’ bir şirkette çalışıyor olarak listelemiş.

İsrail’in meşhur siber güvenlik sektöründeki diğer şirketler gibi, Candiru da elemanlarını ağırlıklı olarak İsrail Savunma Kuvvetleri’ne ait 8200 istihbarat biriminden işe alıyor. Çalışanlara genelde ayda 80 bin şekel (21 bin 400 $) ödeniyor. Aralarında 90 bin alan çalışanların da bulunduğu bildiriliyor.

Siber Bülten haftalık abone listesine kaydolmak için formu doldurun