ABD merkezli siber güvenlik şirketi SentinelOne, CISA’nın ilk başkanı Christopher Krebs ve Facebook’un eski CISO’su Alex Stamos tarafından kurulan siber güvenlik danışmanlık şirketi Krebs Stamos Group’u satın alacak.
Sentinel var bu satın alma girişimi sonrası PinnacleOne Strategic Advisory Group adında yeni bir firma kuracak.
Krebs ve Stamos ise SentinelOne’da baş istihbarat ve kamu politikası sorumlusu olarak görev alacak. Stamos ise grubunn baş siber güvenlik yöneticisi olarak görev yapacak.
Sentinel One’dan yapılan açıklamada PinnacleOne girişiminin temel amacınin şirketlere siber güvenlik tehditleri konusunda temel içgörüler, proaktif risk yönetimi taktikleri konusunda rehberlik sağlamak olduğu belirtildi.
Daha önce Facebook’un CISO’su olarak görev yapmış olan Stamos, Stanford Internet Observatory direktörlüğünden ayrılarak öğretim ve çocuk güvenliği araştırmalarına odaklanacak.
ABD Ulusal Güvenlik Ajansı (NSA), ağları saldırılara karşı korumak için güncel bir kılavuz yayınladı. Ajans, tüm kuruluşlara BT ağ altyapılarını siber saldırılara karşı nasıl koruyacakları konusunda en güncel tavsiyeleri içeren yeni raporunda “zero trust” (sıfır güven) modeli dikkat çekiyor.
Model, bir işletmenin potansiyel olarak ilişkide olabileceği içeriden veya dışarıdan hiçbir erişimciye doğrulama yapılmadan yetki verilmemesi ve cihazlara varsayılan bir şekilde güven sağlanmaması anlayışı üzerine kurulu bir model.
NSA’nın ‘Siber Güvenlik Teknik Raporu (TO): Ağ Altyapısı Güvenliği Kılavuzu’ başlıklı raporu, tüm ağ yöneticileri ve CIO’ların ağlarını devlet destekli ve diğer siber saldırılara karşı güçlendirme noktasında ücretsiz olarak kullanılabilecek.
Rapor, ağ tasarımı, cihaz parolaları ve parola yönetimi, uzaktan oturum açma ve yönetim, güvenlik güncelleştirmeleri, anahtar değişimi algoritmaları ve Ağ Zaman Protokolü, SSH, HTTP ve Basit Ağ Yönetimi Protokolü (SNMP) gibi önemli protokolleri kapsamakta.
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Ukraynalı kuruluşları hedef alan son kötü amaçlı silici saldırılarından sonra teknoloji liderlerini söz konusu NSA belgesini ABD’deki ve diğer ülkelerdeki tüm kuruluşlara yönelik yeni baskısının bir parçası olarak görmeye teşvik ediyor.
NSA’nın siber güvenlik müdürlüğü tarafından yayınlanan rapor, ‘zero trust’ modelinin benimsenmesini teşvik ediyor. Zero trust, klasik ağ sınırlarının içinde ve dışında kötü niyetli içerikler ve tehditler olduğunu varsayan bir güvenlik modeli.
GÜVENLİK DUVARLARI OLUŞTURUN, BİRDEN FAZLA SATICI KULLANIN
NSA, “Zero Trust modelini tam olarak desteklediğini” söylüyor ve yönlendiriciler kurmaktan, birden fazla satıcı kullanmaktan, bir satıcının ürününü etkileyen bir istismarın potansiyelini azaltan güvenlik duvarları oluşturmaya kadar bu modelin hayata geçirilmesini tavsiye ediyor. Bununla birlikte, NSA ajansı ayrıca kılavuzun mevcut ağlardaki ortak güvenlik açıklarını ve zayıflıkları azaltmaya odaklandığını da belirtiyor.
Biden yönetimi, zero trust mimarilerini uygulamak için 2024 yılına kadar federal kurumlara talimat verdi. NSA’nın kılavuzu, Microsoft ve Google gibi anahtar konumundaki satıcılarla sıfır güvenin ne olduğunu açıklama noktasında Ulusal Standartlar ve Teknoloji Enstitüsü’nün (NIST) çalışmalarından gelen önerileri destekleyici nitelikte oldu. İngiltere de kuruluşlara “zero trust” modelini benimsemeye zorluyor.
NSA, bir ihlalden sonra saldırganın yanal hareketine karşı korunmak için bir ağ içindeki benzer sistemlerin birlikte gruplandırılmasını öneriyor. Saldırganlar, örneğin daha kolay ihlal edilebilen yazıcılar gibi sistemleri hedef alabilir.
KATI TRAFİK FİLTRELEME KURALLARI UYGULAYIN
Ayrıca, ağdaki aygıtlar arasındaki arka kapı bağlantılarının kaldırılmasını, sıkı çevre erişim denetim listelerinin kullanılmasını ve ağa bağlı benzersiz aygıtların kimliğini doğrulayan ağ erişim denetimi’nin (NAC) uygulanması öneriliyor. VPN’lerle ilgili olarak ise, “tüm gereksiz özellikleri devre dışı bırakın ve katı trafik filtreleme kuralları uygulayın” diyor. IPsec VPN yapılandırmalarında anahtar değişimleri için kullanılması gereken algoritmaları da tespit ediyor.
NSA, yerel yönetici hesaplarının benzersiz ve karmaşık bir parola ile korunması gerektiğini düşünüyor. Kurum, yeni bir parola ilkesinin uygulanmasını öneriyor ve “çoğu aygıtın herkese duyurulan varsayılan yönetici kimlik bilgilerine sahip olduğu” konusunda uyarıyor. Rapora göre yöneticilerin tüm varsayılan yapılandırmaları kaldırması ve ardından her yönetici için benzersiz bir güvenli hesapla yeniden yapılandırma yapması gerekiyor.
NSA, “Varsayılan yönetim ayarlarını ve hesaplarını değiştirmeden ağa yeni cihazlar dahil etmeyin” diyor. Yeni rapor, NSA’nın kişilerin ve kuruluşların sanal özel ağları (VPN) seçmelerine yardımcı olacak kılavuzunun ardından geldi. Uzak çalışanlar ile şirket ağları arasındaki bağlantıları güvence altına almak için oluşturulan VPN donanımı salgın sırasında siber tehdit unsurlarının öncelikli hedefler arasında yer alıyor.
ABD ve İngiliz istihbarat ajansları, İran hükümeti için çalışan hackerların dünya genelinde savunma, yerel yönetim, petrol ve doğal gaz ve telekomünikasyon sektörlerini hedef alan siber casusluk saldırıları yürüttüklerini açıkladı.
Konuyla ilgili ortak açıklama, ABD hükümetinin geçtiğimiz ay ilk kez doğrudan Tahran’a atfettiği Muddywater adlı gruba işaret ediyor. Son uyarıda söz konusu kuruluşlar, MuddyWater’ın 2018’den bu yana Afrika, Asya, Avrupa ve Kuzey Amerika’da aktif olduklarını gözlemlediklerini söyledi.
Uyarıda ayrıca şu ifadeler yer aldı: “MuddyWater aktörleri İran hükümetine hem çalınan verileri hem de erişimleri temin etmek ve bunları diğer kötü niyetli siber aktörlerle paylaşmak için konumlandırıldı.”
Uyarıların yer aldığı bülten, FBI, İç Güvenlik Bakanlığı’na bağlı Siber Güvenlik ve Altyapı Güvenlik Ajansı, ABD Siber Komutanlığı, Siber Ulusal Görev Gücü ve İngiltere’nin Ulusal Siber Güvenlik Merkezi’nin ortak çalışması olarak öne çıkıyor.
ÖZELLİKLE ORTADOĞUDAKİ KURULUŞLARI HEDEF ALIYORLAR
MuddyWater, Türkiye’nin de aralarında olduğu başta Orta doğudaki hedefler olmak üzere casusluk faaliyetlerinde bulunduğuna ilişkin uzun bir geçmişi var, ancak ABD’nin yaptığı uyarı, grubun potansiyeli göz önüne alındığında hükümetin konuya oldukça güçlü bir şekilde odaklandığını gösteriyor.
Bir CISA sözcüsü ise “İran hükümeti destekli aktörler, bilinen güvenlik açıklarından yararlanmak ve kimlik avı faaliyetlerine öncülük etmek de dahil olmak üzere çeşitli yollarla hükümet ve ticari ağları sürekli olarak hedef alıyor” dedi ve ekledi: “Kritik altyapımıza yönelik ulus devlet tehditlerini belirlemeye ve kuruluşların siber risklerini azaltmalarına yardımcı olma noktasında kararlıyız.”
Perşembe günkü uyarı, siber güvenlik firması Mandiant’ın MuddyWater ile ilişkili olduğunu söylediği bir grubun Orta Doğu teknolojisini ve hükümet kuruluşlarını hedef almak için Telegram kötü amaçlı yazılımını nasıl kullandığı hakkında bir araştırma yayınladığı gün geldi.
2017’DEN BERİ AKTİFLER
Mandiant analisti Emiel Haeghebaert, Cyberscoop’a e-posta yoluyla yaptığı açıklamada, Muddywater’ın en az 2017’den beri aktif olmasına rağmen, özellikle geçtiğimiz yıl faaliyetlerinin büyük ölçüde arttığını gözlemlediklerini söyledi.
Haeghebaert ayrıca “Operasyonlarının artmasına ek olarak, bir diğer kayda değer gelişme de grubun meşru araçları ve kaynakları saldırı araçlarına giderek daha fazla dahil etmesidir. Meşru uzaktan erişim yazılımının kullanımı ve Slack ve hatta Telegram gibi ortak işyeri uygulamalarının ağ iletişimi yetenekleri, bu tehdit aktörlerinin tespit edilmekten kaçınmaya çalıştığını gösteriyor.” ifadelerini kullandı.
UYARILARA NASIL CEVAP VERECEK?
Haeghebaert, Mandiant’ın da TEMP.Zagros olarak adlandırdığı MuddyWater’ın hükümetin uyarılarına nasıl cevap vereceğini merakla beklediklerini belirterek, “Bu grubun ilginç bir özelliği de kamuya yönelik açıklamaları dikkate alıp bunlara yanıt vermeleri. Örneğin, güvenlik araştırmacıları, kötü amaçlı yazılımlarının Twitter’daki ‘sory’ [sic] kelimesinde bir yazım hatası içerdiğini açıklamasından birkaç gün sonra hatayı ‘Sorry’ [sic] olarak düzeltmişlerdi. Bu durum şu sorunun cevabını da merakla beklememize yol açıyor: Acaba TEMP.Zagros ABD ve İngiltere’nin uyarılarının ardından cephaneliklerini sıfırdan yeniden mi yapacak mı yoksa hız kesmeden devam mı edecek?” değerlendirmesinde bulundu.
Fidye yazılım grupları hedefledikleri fidye miktarını ödetebilmek için her geçen gün yeni bir yöntem deniyor. Siber tehdit aktörleri bu kez DDoS saldırıları düzenleyerek şantaj yapıyorlar.
Kurbanları üzerinde baskıyı artırmak ve şantaj yapmak için ele geçirdikleri verileri şifrelemeden yayımlamak, sızan verilerden etkilenen üçüncü tarafları tehdit etmek gibi çeşitli yollar bulunan fidye yazılım çetelerinin şantaj için kullandığı yeni taktik ise DDoS saldırıları oldu.
ABD, DDOS SALDIRILARINA KARŞI UYARDI
FBI Siber Departmanı, HelloKitty veya diğer adıyla FiveHands’in şantaj için DDoS saldırılarını kullandığını bildirdiği bir uyarı notupaylaştı.
CISA ile ortak hareket eden FBI, HelloKitty’nin taleplerine uyulmaması hâlinde fidye yazılım grubunun, kurbanların resmi web adreslerine DDoS saldırıları düzenleyebileceğini bildirdi.
FBI, HelloKitty tarafından yürütülen saldırı girişimlerinden korunmak için kapsamlı uyarılar dizisi de yayımladı.
HELLOKITTY NASIL ORTAYA ÇIKTI?
Kasım 2020’den beri aktif olduğu bilinen HelloKitty, hedef sistemlerden elde ettikleri veri şifrelemeden önce veri sızıntı sitelerinde yayımlayarak kurbanlar üzerinde baskı oluşturduğu biliniyordu.
Bununla birlikte söz konusu baskının artması ve fidyeyi alabilmek için HelloKitty, kurbanların web sitelerine DDoS saldırıları düzenlemeye başladı.
Henüz doğrulanmasa da CD Project Red sistemlerinin ihlal edilmesi ve bazı oyunların kaynak kodlarının çalınmasıyla gündeme gelen HelloKitty, VMware’in ESXi sanal makinelerini hedeflediği Linux varyantı kullanmasıyla da biliniyor.
ID Ransomware platformuna yapılan gönderiler doğrultusunda HelloKitty, Linux varyantını kullanmaya başladıktan sonra etkinliği artırmıştı.
BAŞKA FİDYE YAZILIM GRUBU DA DENEDİ
Yakın zamanda benzer bir yol başka bir fidye yazılım grubunda da keşfedilmişti.
Yanluowang olarak bilinen fidye yazılım grubu da kurbanlarına fidyeyi ödetebilmek için yalnızca ağı şifrelemekle kalmayıp DDoS saldırılarını şantaj için kullanmaya başlamıştı.
ABD, son yıllarda farklı ülkeleri de etkileyen kritik alt yapı saldırılarını ve sorumlu siber tehdit aktörlerini deşifre etti.
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve FBI’dan yapılan ortak açıklamada, kritik altyapıları kontrol eden ve işleten endüstriyel kontrol sistemlerine (ICS) yönelik güvenlik tehditlerinin ülkenin en önemli ve büyümekte olan sorunlarından biri olduğu belirtildi.
CISA ve FBI, kritik alt yapıya yönelik risklerle ilgili farkındalığı artırmak ve gerekli siber korumayı güçlendirmek için ortak bir tavsiye notu ve güncellemeler paylaştı.
İlk tavsiye notu Çin’in 2011-2013 yıllarında gaz boru hattına yönelik saldırısına ilişkin paylaşıldı. Olaya ilişkin ilk uyarı 2012’de etkilenen paydaşlara iletilmişti.
ICS’lere yönelik diğer tavsiye notunda ise İranlı siber tehdit aktörlerinin Shamoon olarak da bilinen W32.DistTrack adlı zararlı yazılımla kritik altyapılardaki önemli bilgilerin çalındığı belirtildi.
Havex adlı zararlı yazılıma ilişkin notta, saldırıyı Rusya devleti destekli siber tehdit aktörlerinin gerçekleştirdiği olaydan İspanya,İtalya,Almanya ve Fransa’nın da etkilendiği belirtildi.
Açıklamada Rusya’dan başka bir tehdit aktörünün ise Black Energy adlı yazılımla, kritik alt yapılara yönelik halen devam etmekte olan saldırılar düzenlediği ifade edildi.
TEHDİT AKTÖRLERİNİN ÇOĞUNLUĞU RUSYA’DAN
Rusların aynı zamanda Ukrayna’nın kritik altyapılarını hedeflediklerine dikkati çeken yetkililer, 2015’te düzenlenen saldırıyı hatırlattı. Açıklamada KillDisk zararlı yazılımının sistemlerdeki kritik bilgileri silme yeteneğine sahip olduğu vurgulandı.
Açıklamanın sonunda CrashOverride adlı zararlı yazılıma ilişkin teknik uyarı da yer aldı. Yetkililer Rusya destekli siber tehdit unsurlarının söz konusu yazılımı 2016 yılında Ukrayna’nın kritik alt yapılarına yönelik saldırıda kullandığını açıkladı.
