Etiket arşivi: CISA

Rusya’ya karşı siber ittifak: İngiltere ve ABD bir araya geldi

10 Temmuz 2021 Oğuzcan Balyemez Yorum yapın

İngiltere ve ABD, çeşitli kurum ve kuruluşların bulut bilişim sistemlerine sızmak için Rus askeri istihbaratına bağlı siber aktörlerin kullandığı saldırı tekniklerini açıklamak için bir araya geldi.

ABD Ulusal Güvenlik Dairesi (NSA), Federal Soruşturma Bürosu (FBI), Siber Güvenlik ve Altyapı Güvenliği Dairesi (CISA) ve İngiliz Ulusal Siber Güvenlik Merkezi’nin (NCSC) bir araya geldiği açıklamada, ABD ve Avrupa’da yaşanan saldırıların Rus imzası taşıdığı belirtilirken, Rus askeri istihbarat teşkilatı GRU’ya bağlı siber aktörlerin, hükümet daireleri, enerji firmaları ve pek çok kurum ve kuruluşun bulut bilişim sistemlerine sızmak için kullandığı “brute-force” teknikleri de paylaşıldı.

SALDIRILAR 2019’DA BAŞLADI

Rus askeri istihbaratı GRU’ya bağlı siber aktörlerin, Kubernetes adlı açık kaynaklı aygıt kullanılarak operasyonlarını 2019’un ortalarından 2021’in başına kadar sürdürdüğü kaydedilirken, NSA’in öncülüğünde yapılan açıklamada, “Saldırılar öncelikle ABD ve Avrupa’ya odaklandı. Özellikle hükümetler, ordular, savunma yüklenicileri, enerji şirketleri, yüksek öğrenim, lojistik şirketleri, hukuk firmaları, medya şirketleri, siyasi danışmanlar, siyasi partiler ve düşünce kuruluşları hedef alındı.” ifadeleri kullanıldı.

İngiltere’nin siber patronu açık konuştu: En büyük tehdit Rusya

TEHDİT AKTÖRLERİ “BRUTE-FORCE” TEKNİĞİNİ KULLANIYOR

Rus askeri istihbaratı GRU’ya bağlı kötü niyetli siber aktörlerin, hedefledikleri kurum ve kuruluşlara sızmak için “brute-force” denilen “kaba kuvvet” tekniği kullandıkları belirtildi. Brute-force saldırıları, bir sisteme erişmek için kötü niyetli aktörlerin, olası şifre varyasyonlarını otomatik olarak deneyerek hedefledikleri sistemleri adeta bombardımana tutması olarak biliniyor.

Söz konusu “brute-force” saldırılarıyla e-posta, hesap kimlik bilgileri gibi çeşitli korunaklı verilere erişim sağlanabililiyor. Bunun yanı sıra güvenlik zafiyetlerini istismar eden aktörler bu yolla; sisteme erişim, kalıcılık, ayrıcalık yükseltme, uzaktan kod yürütme gibi çeşitli saldılar gerçekleştiriyor.

Brute-force saldırılarının yanı sıra Microsoft Office 365 bulut bilişim sistemlerinde bulunan güvenlik zafiyetlerini istismar ederek de hedefledikleri sistemlere erişmeye çalışan aktörlerin kendilerini gizlemek amacıyla çeşitli VPN hizmetlerini kullandıkları açıklandı.

Dijital Güvenlik

ABD’den fidye yazılım saldırılarına karşı stratejik adım

4 Temmuz 2021 Oğuzcan Balyemez Yorum yapın

ABD tarihinin petrol alt yapısına yönelik en büyük siber saldırısı Colonial Pipeline sonrası alarma geçen Washington yönetiminden fidye yazılım saldırılarına karşı stratejik bir adım geldi.

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), fidye yazılım tehdidine yönelik yeni bir modül yayımladı.

CISA, Siber Güvenlik Değerlendirme Aracı (CSET) için yeni bir modül olan Fidye Yazılım Hazırlık Değerlendirmesi’ni (RRA) yayımladı. Söz konusu yeni modül, kurumların fidye yazılım saldırılarına hazırlıklı olup olmadığını ölçmenin yanında hükümet ve özel sektör standartlarına göre çeşitli tavsiyelerde bulunacak.

ÇEŞİTLİ SORULARLA SİBER GÜVENLİK STRATEJİNİZİ GELİŞTİRECEK

Fidye Yazılım Hazırlık Değerlendirmesi olarak adlandırılan yeni CSET modülü, kurum ve kuruluşların fidye yazılım saldırılarına yönelik politikalarını anlamak için kullanıcılarından temel düzeyde soruları yanıtlamasını istiyor. Daha sonra RRA, orta ve ileri dereceli sorularla kurum ve kuruluşların siber güvenlik stratejilerini daha güvenilir hâle getirmeye çalışıyor.

ABD’de fidye yazılım saldırısına uğrayan boru hattı kapandı

TÜM KURULUŞLARA FAYDA SAĞLAYACAK

CISA’dan yapılan açıklamada, “Siber güvenlik olgunluklarına bakılmaksızın RRA, değişen seviyelerdeki fidye yazılım tehditlerine karşı tüm kuruluşlar için yararlı hâle getirildi.” ifadeleri yer aldı.

CISA, RRA’nın işlevlerini anlatırken aşağıdaki özelliklere yer verdi:

Kuruluşların fidye yazılımlarıyla birlikte siber güvenlik duruşlarını sistematik, disipliner ve tekrar edilebilir bir şekilde değerlendirmeye yardımcı olmak,
Fidye yazılım tehdidine karşı ağ güvenliği, bilgi teknolojisi ve operasyon teknolojilerini yürüten operatörlere, sistematik bir biçimde ilerleyen değerlendirme sürecinde rehberlik sağlamak,
Grafik ve tablolarla gerek özet gerekse de detaylı bir şekilde analizler ortaya koymak.

CISA, TÜM ORGANİZASYONLARA RRA KULLANMAYI TAVSİYE ETTİ

ABD’de fidye yazılım saldırılarına karşı giderek sert önlemler alınması, kuruluşların ağ savunmalarını güçlendirmek için bir yol sunarken CISA da tüm organizasyonlara RRA’yı kullanmayı tavsiye etti.

Geçtiğimiz mayıs ayında ABD’de fidye yazılım saldırısının kurbanı olan Colonial Pipeline şirketinin işlettiği boru hattı zorunlu olarak kapatılmıştı. Saldıyı Rusya destekli olduğu düşünülen Dark Side hacker grubunun gerçekleştirdiği iddia edilmişti. Ülkede akaryakıt sevkiyatının önemli bir bölümünü gerçekleştiren şirket, uğradığı bir fidye yazılımı saldırısının ardından 5.500 mil uzunluğundaki boru hattının sistemlerini durdurduğunu açıklamıştı.

Dijital Güvenlik

ABD hackerlar için zafiyet paylaşım platformu açtı

14 Haziran 2021 Zeynep Kılıç Yorum yapın

ABD Siber Güvenlik ve Altyapı Güvenliği Kurumu (CISA), beyaz şapkalı hackerların güvenlik zafiyetlerini devlet kurumlarına bildirmelerine imkan sağlayan bir ihbar platformu başlattı.

Siber güvenlik şirketleri Bugcrowd ve Endyna iş birliğiyle hayata geçirilen platform, sivil federal kurumların daha geniş bir güvenlik topluluğundan güvenlik açıklarını öğrenmesine, sınıflandırmasına ve düzeltmesine izin verecek.

ÖZEL ŞİRKETLER BUG BOUNTY PROGRAMLARI DÜZENLİYOR

Platformu hayata geçirme hamlesi, CISA’nın, denetimi altındaki sivil federal ajansları kendi güvenlik açığı ifşa politikalarını geliştirmeye ve yayımlamaya sevk ettiği bir dönemde geldi. Bu politikalar, hangi çevrimiçi sistemlerin nasıl test edilebileceğini hangilerinin test edilemeyeceğini özetlemek suretiyle güvenlik araştırmacıları için angajman kurallarını belirlemek üzere tasarlanmıştı.

Özel şirketlerin, hackerların hataları ve güvenlik açıklarını bildirmelerine izin vermek için VDP programlarını çalıştırmaları nadir görülen bir durum değil. Bu, genellikle hackerlara zafiyetleri bulmaları karşılığında ödül verilen bug bounty programları aracılığıyla yapılmaktaydı.

HACKERLAR İNTERNETİN BAĞIŞIKLIK SİSTEMİ İŞLEVİ GÖRÜYOR

İnternet sitelerinde ve yazılım programlarındaki güvenlik açıklarını yakalayarak milyonlarca dolar para kazanan Bugcrowd, platformun ajanslara aynı ticari teknolojilere, dünya standartlarında uzmanlığa ve şu anda kurumsal işletmeler için güvenlik boşluklarını belirlemekte kullanılan küresel “beyaz şapkalı hacker” topluluğuna erişim imkanı sağlayacağını belirtiyor.

Bug Bounty programı kalp hastası bebeğe umut oldu

Bugcrowd’un kurucusu Casey Ellis, girişimin “hackerların internetin bağışıklık sistemi olarak işlev görmesi noktasında bir başka dönüm noktası” olduğunu söylüyor ve ekliyor: “Bugcrowd ekibi, bu girişimi ABD hükümeti ile birlikte hayata geçiren CISA/DHS ile ortaklık kurmaktan gurur duyuyor.”

SOLARWINDS VE EXCHANGE SALDIRILARI CISA’YI HAREKETE GEÇİRDİ

Platform ayrıca CISA’ya diğer kurumlar arasında zafiyetlere ilişkin bilgi paylaşması noktasında yardımcı olacak.

Platform, hükümetin Rus kaynaklı olduğundan şüphelenilen SolarWinds saldırısı ile federal hükümet de dahil binlerce Microsoft Exchange sunucusuna sızma yoluyla gerçekleşen Çin bağlantılı siber saldırıdan büyük yara almasının ardından hayata geçirildi.

Zafiyet

FBI, APT tehdidine karşı uyardı: Fortinet VPN zafiyetleri istismar ediliyor

8 Nisan 2021 Oğuzcan Balyemez Yorum yapın

ABD Federal Soruşturma Bürosu (FBI), devlet destekli APT gruplarının Fortinet VPN zafiyetlerinden faydalanarak saldırılar gerçekleştirdiğini duyurdu.

Fortinet SSL VPN’de bulunan üç güvenlik zafiyetini ağ içinde yer edinmek için kullanan siber saldırganlar, saldırıları için keşiflerini de bu yer edinme sayesinde gerçekleştiriyor.

FBI ve Siber Güvenlik ve Alt Yapı Güvenliği Ajansı (CISA), gelişmiş kalıcı tehdit (APT) ulus-devlet aktörlerinin, şirketin SSL VPN ürünlerini etkileyen Fortinet FortiOS siber güvenlik işletim sistemindeki güvenlik zafiyetlerini aktif olarak istismar ettiği konusunda uyarılarda bulundu.

CISA ve FBI ortak açıklamada, siber saldırganların 4443, 8443 ve 10443 portlarını taradığını ve güncellenmemiş Fortinet güvenlik araçlarını bulmaya çalıştığını belirtti . Özel olarak ise APTler CVE-2018-13379, CVE-2019-5591 ve CVE-2020-12812 olarak kodlanmış güvenlik zafiyetlerini istismar ediyor. Söz konusu üç güvenlik zafiyeti siber saldırganlara farklı olanaklar tanıyor.

ZAFİYETLER FARKLI İSTİSMARLARA YOL AÇIYOR

CVE-2018-13379 olarak kodlanan güvenlik açığı Fortinet FortiOS’ta, SSL VPN web portalının, kimliği doğrulanmamış bir saldırganın, özel olarak hazırlanmış HTTP kaynak istekleri aracılığıyla sistem dosyalarını indirmesine olanak sağlıyor.

CVE-2019-5591 olarak kodlanan FortiOS’taki Varsayılan Yapılandırma güvenlik zafiyeti, aynı alt ağdaki kimliği doğrulanmamış bir saldırgan, LDAP sunucusunu taklit ederek hassas bilgilere müdahale edebiliyor.

Hatalı kimlik doğrulama güvenlik zafiyeti olan CVE-2020-12812 ise, FortiOS SSL VPN’de kullanıcı adının değişmesi durumunda ikinci kimlik doğrulama faktörü (FortiToken) istenmeden siber saldırganların başarılı bir şekilde oturum açmasına izin verebiliyor.

“Robotların ne kadar akıllı olduğu tamamen size bağlı”

Horizon3.AI’de kırmızı takım mühendisi olan Zach Hanley, siber saldırganların harici uygulamaları gittikçe daha fazla hedeflediğini söyleyerek, “Fortinet VPN’i hedefleyen söz konusu üç güvenlik zafiyetinden yararlanan siber saldırganların, geçerli kimlik bilgilerine erişmesine, çok faktörlü kimlik doğrulamasını (MFA) atlamasına ve Man-in-the-middle saldırısına olanak sağlıyor.” dedi.

KRİTİK AĞLARA ERİŞMEYE ÇALIŞIYORLAR

Siber güvenlik uzmanlarına göre siber saldırganlar güvenlik zafiyetlerinden yararlandıktan sonra hedefleri üzerinde araştırmalar yapıyor. FBI ve CISA’nın yayımladıkları raporda “APT aktörleri, söz konusu güvenlik zafiyetlerini veri hırsızlığı veya veri şifreleme saldırıları için ön konumlanma olarak kullanıyor. Daha sonrasında kritik ağlara erişmeye çalışıyorlar” denildi.

Son birkaç yıldır ise SSL VPN güvenlik zafiyetleri hem APT gruplarının hem de diğer siber saldırganlar için çekici bir hedef haline gelmeye başladığı biliniyor. Pandemi dolayısıyla uzaktan çalışmaya geçişin yaygınlaşması ve Fortinet gibi diğer SSL VPN’lere olan talebin artması, saldırı düzeylerini ve hedeflerini de genişletiyor.

Siber Saldırılar

ABD’de SolarWinds fırtınası dinmiyor: Nükleer silahlar da siber saldırının hedefinde

18 Aralık 2020 Onur Usta Yorum yapın

ABD’de başta devlet kurumları olmak üzere birçok kurumu sarsan SolarWinds siber saldırısı, ülkenin nükleer silahlarını da hedef aldı. Rusya destekli olduğu öne sürülen siber saldırganların , nükleer silahların korunmasından sorumlu olan Ulusal Nükleer Güvenlik Ajansı’nın (NNSA) sistemlerine de sızdığı ortaya çıktı.

ABD Enerji Bakanlığından yapılan açıklamada, söz konusu saldırının NNSA’yi de etkilediğine ilişkin kanıtların var olduğu bildirildi.

Açıklamada, devlet ve siber güvenlik sektörüyle iş birliği halinde SolarWinds saldırısına karşılık verildiği vurgulandı. Saldırıya ilişkin soruşturmanın sürdürüldüğü bilgisine yer verilen duyuruda ayrıca zafiyetten etkilenen tüm yazılımların belirlenerek ivedilikle kaldırıldığı belirtildi.

2020’nin en büyük hack olayı FireEye saldırısıyla ilgili bilmeniz gereken 8 şey

BİRÇOK KURUMDA ŞÜPHELİ AKTİVİTELERE RASTLANDI

Enerji Bakanlığında yürütülen soruşturma sonuçlarına göre, nükleer silahların güvenliğinden sorumlu olan NNSA’nın güvenli nakliye birimi ofisi, Enerji Düzenleme Komisyonu (FERC), New Mexico ve Washington’daki Sandi ve Los Alamos laboratuvarlarında şüpheli aktivitelere rastlandı.

ABD Siber Güvenlik ve Alt Yapı Güvenliği Ajansından (CISA) geçtiğimiz günlerde yayımlanan uyarıda Rusya destekli olduğu öne sürülen APT29 (aka Cozy Bear) kod adlı bir siber tehdit grubun SolarWinds saldırısından etkilenen kurumların ağlarında uzun süredir var olduğunun tespit edildiğini duyurmuştu.

SolarWinds şirketinin birçok kurumda geniş bir müşteri portföyünün olması, başka devlet kurumlarında da ciddi güvenlik endişelerine neden oldu. Firmanın müşterileri arasına dünyanın en büyük şirketlerinin yer aldığı Fortune 500 listesindeki şirketler ve ABD’de ilk 10’da yer alan telekomünikasyon firmaları bulunuyor.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Siber Bülten