Türkiye hakkında giderek daha fazla başlık açılmaya başlanan dark web platformlarında bu kez “Dışişleri Bakanlığı nasıl hacklenir?” başlıklı bir gönderi paylaşıldı.
Günümüzde dark web platformlarında kişisel bilgiler, veri tabanları, güvenlik zafiyetleri gibi pek çok başlıkta binlerce paylaşım bulmak mümkün. Siber tehdit aktörlerinin bilgi alışveriş pazarlarından biri olan dark web platformları, dünya üzerinde içerik sayılarını artırırken Türkiye başlıklı paylaşımlar da giderek artıyor.
Bunun son örneklerinden biri bir aktörün “Türkiye Cumhuriyeti Dışişleri Bakanlığı nasıl hacklenir” başlıklı paylaşımı oldu.
“DIŞİŞLERİ BAKANLIĞI NASIL HACKLENİR”
Bir “eğitim” dersi niteliğinde yaptığı paylaşımda Dışişleri Bakanlığı’nın nasıl hackleneceğini anlatan tehdit aktörü, bunun için yönergeler verdi.
Tehdit aktörü, Dışişleri Bakanlığı’nı hacklemek için yapılacak ilk işin bir Nmap taraması olduğunu belirtip sunucuların işletim sistemine, işletim sistemlerinin sürümlerine ve buradan çıkacak sonuçla bir güvenlik zafiyeti belirleyip sisteme erişim elde etmeye çalışılması gerektiğini vurguladı.
Anonim olmanın gerekliliğine vurgu yapan aktör, diğer aktörlere TOR kullanmalarını tavsiye etti.
Türkçe konuşulan dark web platformunda yapılan bir paylaşımda kırmızı reçete satıldığı iddia edildi.
Kırmızı reçeteler, uyuşturucu madde içeriğine sahip ilaçları kapsamasıyla biliniyor.
Bir dark web platformunda Türkçe yapılan bir paylaşımda, siber tehdit aktörlerinin belirli bir ücret karşısında kırmızı reçete sattıkları görüldü.
Kırmızı reçeteler, Sağlık Bakanlığı’nın belirlediği, içerisinde kategorize edilmiş ilaçların bulunduğu beş çeşit reçeteden bir tanesi olarak biliniyor.
Genellikle uyuşturucu madde özelliği taşıyan ilaçlar için kullanılan kırmızı reçete, ağır psikiyatrik hastalara, ileri düzeydeki kanser hastalarına ve diğer ağır hastalıklara sahip olanlara ilaç yazmak için kullanılıyor. Bundan dolayı kırmızı reçeteli ilaç kullanımı kolay kolay önerilmiyor.
Tehdit aktörleri, kırmızı reçeteleri belirli bir ücret karşılığında satışa sunarken istenilen ilacın da alınabileceğini belirtiyor.
Dünya üzerinde ve Türkiye’de giderek artan sofistike siber tehdit aktörlerinin varlığı, bu aktörlerin gelişmiş saldırıları ve kurbanlarının sayısının giderek artışı, siber güvenlik uzmanlarının da söz konusu tehdit ortamını daha iyi incelemelerine ve karar yürütme süreçlerine doğrudan etki ediyor.
Geçtiğimiz günlerde siber güvenlik şirketi SOCRadar’ın yayımladığı rapor tam da bu noktanın altını çiziyor. Söz konusu rapordaki bilgiler, kurumsal çapta güvenlik programlarının planlanmasına, yatırım kararları alınmasına ve siber güvenlik gereksinimlerinin tanımlanmasına yardımcı oluyor.
Açık tehdit paylaşım platformlarından topladığı kapsamlı verileri derinlemesine analiz ederek ortaya koyan SOCRadar, söz konusu tehdit ortamını, “yakın zamanda gözlemlenen tehdit aktörü faaliyetleri, kötü amaçlı yazılım kampanyaları, yeni kritik güvenlik açıkları, açıklardan yararlanma” temelinde inceliyor.
DARK WEB TEHDİTLERİ YÜKSELİŞTE
Çeşitli bilgisayar korsanlığı araçları, dolandırıcılık yöntemleri ve satın alınabilecek çalıntı veri tabanları ile dark web, siber saldırıları başlatmak için bir sıçrama tahtası gibi işlev görüyor. Dark webde doğan siber tehditler, Türkiye’deki kuruluşları giderek daha fazla etkiliyor.
SOCRadar’ın DarkMirror Intelligence hizmetinden toplanan verilere göre, Türk varlıklarını hedef alan 150’den fazla 30 tehdit aktörü listesi mevcut. Gönderilerin yüzde 22’si müşteri veritabanı satışları ve yüzde 9’u yetkisiz ağ erişimi satışlarından oluşuyor. Tehdit aktörleri tarafından listelenen bu gönderiler, finans, telekomünikasyon ve eğitim dâhil olmak üzere çeşitli sektörlerden farklı kuruluşları etkiliyor.
2021’DE FİDYE YAZILIM TEHDİTLERİ ARTTI
2021 yılında manşetlerde kendisine sık sık yer bulan fidye yazılımı saldırıları, Türkiye’de hizmet gösteren birçok küresel firmaya saldırarak bu işletmelerin sekteye uğramasına neden oldu. Türkiye’deki fidye yazılımı saldırılarının arkasındaki ilk 10 fidye yazılımı grubunun son üç yıldaki hasılatıysa yaklaşık 5,2 milyar dolar oldu.
Geçen yılın son üç ayında fidye yazılımı saldırılarındaki artış hızlandı. Endişe verici bir şekilde, Türkiye’yi hedefleyen fidye yazılımı gruplarının faaliyetleri Haziran’dan Aralık 2021’e üç kattan fazla arttı. SOCRadar DarkMirror’da yer alan verilere göre “İmalat ve Finans” en çok hedeflenen sektörler arasında yer aldı.
Türkiye’yi hedef alan en büyük fidye yazılım grupları arasında LockBit, Conti ve Xing bulunuyor.
APT GRUPLARI TÜRKİYE’Yİ HEDEF ALIYOR
Türkiye’den firmalar, çeşitli amaçlarla hareket eden yetenekli APT gruplarının hedefi olmaya devam ediyor. APT grupları, finansal avantaj elde edebilecek, stratejik süreçlere erişebilecek veya stratejik istihbarat toplayabilecek çok miktarda değerli bilgi ve varlığı ele geçirebileceği kuruluşları sıklıkla hedef alıyor.
Coğrafi konumu nedeniyle Türkiye, Rusya-Ukrayna gerilimi gibi jeopolitik etki kazanmak isteyen bazı ulus-devlet aktörlerinin hedefine girebiliyor. Örneğin 2021 boyunca, ChamelGang gibi yeni APT gruplarının da Türkiye ve komşu ülkelerde güçlerini artırdığı gözlemlenirken, “enerji, kritik kamu altyapıları ve finans” çekici görülen ilk üç sektör arasına giriyor.
Türkçe deep web forumlarında faaliyet gösteren önemli APT grupları arasında APT28, APT29, APT39, APT41 bulunuyor.
TÜRKİYE’DEKİ OLTALAMA TEHDİTLERİ
Tehdit aktörleri, Türkiye’de yeni doğan ve hızla büyüyen çevrimiçi yemek siparişi, e-ticaret ve yeni nesil bankacılık uygulamalarının sağladığı yüksek mobil erişime çabuk adapte olmuş görünüyorlar. Söz konusu şirketlere kayıtlı kullanıcıların hassas bilgilerini çalmak ve dâhili sistemlere ilk erişim sağlamak için bu şirketleri taklit eden yüzlerce oltalama domaini günlük olarak kaydedildi.
SOCRadar, son 12 ayda milyonlarca tüketiciyi hedefleyen toplam 42 bin 136 kimlik avı saldırısı tespit etti. Oltalama saldırılarının en çok hedef aldığı sektörse “Fintech” oldu.
SOCRadar’IN ELDE ETTİĞİ ÖNEMLİ BULGULAR
Türk varlıklarını hedef alan 30 tehdit aktörünün 150’den fazla listesi var. Gönderilerin yüzde 22’si müşteri veritabanı satışları ve yüzde 9’u yetkisiz ağ erişimi satışlarından oluşuyor.
E-ticaret, bankacılık ve sigortacılık en çok etkilenen sektörler arasında.
Suç faaliyetlerinin arkasında olduğuna inanılan ilk 10 fidye yazılımı grubu, son üç yılda yaklaşık 5,2 milyar dolar değerinde Bitcoin elde etti. Türkiye’yi hedefleyen en büyük fidye yazılımı grupları LockBit, Conti ve Xing.
Coğrafi konumu nedeniyle Türkiye, Rusya-Ukrayna gerilimi gibi jeopolitik konularda etki kazanmak isteyen APT aktörlerinin hedefinde. Türkiye’de faaliyet gösteren önemli APT grupları arasında APT28, APT29, APT39 ve APT41 sayılabilir.
SOCRadar, son 12 ayda milyonlarca tüketiciyi hedef alan toplam 42 bin 136 oltalama (phishing) saldırısı tespit etti.
En yaygın olarak yararlanılan güvenlik açıkları CVE-2021-31206, CVE-2021- 21985, CVE-2020-5902 ve CVE-2021-3064 oldu.
Türkiye ~31Tbit/sn DDoS trafiği üretebiliyor ve bu oranla dünya genelinde 27. sırada yer alıyor.
Dark web üzerinde faaliyet gösteren siber tehdit unsurlarının korsan mahkeme kurararak aralarındaki sorunları çözmeye çalıştıkları ortaya çıktı.
Birçok yeraltı forumu siber suçlular arasındaki anlaşmazlıklarda arabulucu işlevi görüyor.
Siber hırsızların da gururu olduğunu söylemek kulağa tuhaf geliyor olabilir. Ancak en azından bazıları yerine getirilmeyen vaatler, ödenmemiş alacaklar ve işe yaramayan zararlı yazılımlara ilişkin anlaşmazlıkları kendi aralarında çözmek için bir dizi yeraltı kuralına uymayı işin gereği olarak görüyor.
Tehdit istihbarat firması Analyst1’in araştırmacıları geçtiğimiz günlerde bazı büyük siber suç forumlarındaki yapılanmaları analiz etti. Buna göre en az ikisinin suçluların şikayette bulunabilecekleri ve birbirleriyle anlaşmazlıkları çözebilecekleri gayriresmi bir mahkeme sistemine sahip oldukları tespit edildi.
Analist1’in araştırması, dark webde faaliyet gösteren onlarca davanın günlük olarak bu mahkemelere taşındığını ve forum yönetimi üyelerinden anlaşmazlıkları çözmelerinin beklendiğini ortaya koydu.
600’DEN FAZLA SUÇ BAŞLIĞI VAR
Analist1, bu mahkemelerde açılan davalara ilişkin olarak 600’den fazla konu başlığı sıraladı. Bu gibi durumlarda anlaşmazlıktaki miktarlar tipik olarak birkaç yüz ila birkaç bin dolar arasında değişmekle birlikte, bazıları ise daha yüksek miktarlar üzerindeki anlaşmazlıkları içeriyordu. Örneğin, Nisan 2021’de, Conti fidye yazılım grubuna bağlı bir operatör ve pentest ekibi hakkında, ABD merkezli bir okul sisteminin verilerinin hacklenmesi ve şifrelenmesini içeren bir anlaşmaya uymadığı için 2 milyon dolarlık dava açıldı.
Söz konusu dava, bir buçuk ay süren bir “yargılama” sürecinden sonra iki Conti iştirakinin lehine sonuçlandı. Analist1’in baş güvenlik stratejisti Jon DiMaggio’ya göre ancak diğer birçok durumda, anlaşmazlıklardan karlı çıkan davayı açan suçlular oluyor. DiMaggio, “Sistem, hakem kararını vermesine rağmen davacılar ödeme almadığında işe yaramaz.” diyor.
Bu yılın başlarında, Huntress Labs’tan araştırmacılar da siber suçluların kendi davranış kurallarına ve bunları uygulamak için bir tür yeraltı mahkeme sistemine sahip olduklarını bildirmişti. Şirketin izlediği bir davada, kötü amaçlı yazılımla gerçekleştirdikleri saldırılar için ödeme yapmak isteyen bağlı kuruluşlardan Hizmet olarak fidye yazılımı grubu DarkSide operatörlerine karşı çok sayıda şikayette bulunmuştu.
ABD makamları ve diğerlerinin, ABD’nin Doğu Kıyısı boyunca geçici petrol kıtlığına neden olan Colonial Boru Hattına yapılan saldırının arkasındaki grup olarak tanımladıktan sonra Darkside’ın aniden faaliyetlerini durdurmasıyla şikayetler artmıştı. İddialar, şikayetlerin yapıldığı siber suçlar forumunun yöneticileri tarafından çözüldü ve bu tür olaylar için oluşturulan bir DarkSide havuz hesabından “davacılara” para ödendi.
Analyst1, tehdit aktörlerinin çeşitli nedenlerle birbirlerine karşı dava açabileceğini tespit etti. Şirket, daha önce başka bir tehdit aktörüne satıldığını ortaya çıkarmak üzere bir ara bulucudan gizliliği ihlal edilmiş bir ağa erişim satın aldığı düşünülen bir tehdit aktörüne işaret ediyor. Bu davadaki tehdit aktörü, olayın ayrıntılarını genellikle Mahkeme veya Arabuluculuk başlıklı özel bir alt forumda yazarak komisyoncuya karşı harekete geçiyor.
DAVACI DELİL SUNUYOR HAKEM İNCELİYOR
Burada “şikayetçi”, komisyoncunun takma adı, Jabber ve Telegram gibi hizmetlerle ilgili iletişim bilgilerine yönlendiren bir link ve iddia konusu ihlali içeren sohbet günlükleri, ekran görüntüleri gibi delilleri içeren ayrıntılar sunuyor. Sonrasında, delilleri incelemek ve iddia edilen ihlalcinin karşı iddialarını dinlemek için davaya bir hakem atanıyor. Hacker mahkemesi her bir forum üyesine davaya katılma hakkı veriyor, ancak nihai kararı sadece hakem veriyor.
Bir karar davacının lehine olduğunda, “davalı”nın zararı karşılamak ya da forumda gelecekteki herhangi bir faaliyetten menedilme tehlikesiyle karşı karşıya kalmak seçeneklerinden birini seçmesi için belli bir süre veriliyor. Genellikle, iyi organize olan siber suç operatörleri, aldıkları hizmet karşılığında ödeme yapacaklarının kanıtı olarak bir emanet hesaba bitcoin yatırıyorlar. Bir anlaşmazlık kendi lehlerine çözüldüğünde ise tehdit aktörlerine bu hesaptan ödeme yapılıyor.
DiMaggio, “Satıcı / hizmet operatörünün tahkimden geçtiği ve hakem kararını verdikten sonra ödeme yapmadığı görülürse, hiç kimsenin kendisinden gizliliği ihlal edilmiş bir hedefe erişim satın almayacağı veya kötü amaçlı yazılım satın almayacağı ön görülüyor.
Analyst1, siber suç forumlarının çoğunun fidye yazılımı ile ilgili tüm konuları, işlemleri ve arbitrajları yasakladığını tespit etti. Yasak, Colonial Pipeline ihlalinden kısa bir süre sonra uygulamaya kondu ve saldırının ardından fidye yazılımı operatörlerini hedef alan kolluk güçleri faaliyetlerine cevap olarak görünüyor.
Büyük yeraltı forumlarında faaliyet gösteren tehdit aktörlerinin genellikle itibarlarını korumak istedikleri için yeraltı mahkemesi kararlarına hızlı bir şekilde uyduğu biliniyor.
SUÇLULAR İTİBARLARINI KORUMAK İÇİN BÜYÜK ÇABA SARFEDİYOR
DiMaggio, “Suçlular bu forumlarda itibarlarını artırmak için çok çalışıyorlar” diyor. “Bu forumlar fidye yazılımı ortaklık alımının yanı sıra kötü amaçlı yazılım satışı, ihlaller, erişim istismarı hatta hack hizmetlerinin bile verildiği yerler olarak biliniyor.”
Güven kaybı ya da forumdan yasaklanmanın, siber suçlular üzerinde çok büyük olumsuz bir etkisi olabilir.” diyor. Analyst1, bazı aşırı durumlarda, tehdit aktörlerinin siber suçluların gerçek kimliklerini (fiziksel adres, sosyal medya profilleri ve telefon numaraları dahil) ortaya çıkardığını söyledi.
Huntress’in kıdemli güvenlik araştırmacısı John Hammond, hemen hemen her siber suç forumunun suçlular arasındaki anlaşmazlıkları ele almak için bir tür yargı sistemine veya “halk mahkemesine” sahip olduğunu söylüyor. “Bunlar, bilgisayar korsanlarının, hırsızların ve dolandırıcıların bir çeşit garip sportmenlik veya davranış kuralları” diyor.
Hammond, genellikle bir anlaşmazlığı ele alan hakemin, davacının sunduğu kanıtlara ve forumdaki daha geniş topluluğun genel görüşüne dayanarak karara karar verdiğini söylüyor ve ekliyor: “Suçlu bulunursa, sanıklar topluluktan men edilebiliyorlar, halka açık bir utanç duvarına yerleştirilebiliyorlar ve kötü itibarları diğer yeraltı forumlarında paylaşılabiliyor” diyor.
Türkiye’den ÖSYM’yi ve Sağlık Bakanlığının e-nabız sistemini hedef alan siber tehdit unsurları, sızdırdıklarını iddia ettikleri veritabanlarını satışa çıkardı.
Tehdit aktörleri, deep webde yayımladıkları mesajda, ÖSYM’ye ait olduğunu öne sürdükleri 4 milyon satırlık veritabanını 300 dolara satışa çıkardıklarını açıkladı.
Saldırganlar söz konusu veritabanında TC Kimlik Numarası, ad, soyad, ip adresi gibi bilgilerin yer aldığını iddia ederek kullanıcı girişi yapılmış ekran görüntülerini paylaştı.
Tehdit aktörlerinin paylaştığı diğer bir mesajda ise E-nabız’a ait olduğu öne sürülen 7 milyon satırlık veritabanı satışa çıkarıldı. Veriler arasında TC kimlik numarası, ad, soyad, yaş, boy, kilo, kişinin çocukları gibi kişisel bilgiler yer alıyor. Verileri 600 dolardan satışa çıkaran tehdit aktörleri bu paylaşımda da giriş işlemi yapılmış kullanıcıların ekran görüntülerini paylaştı.
Siber güvenlik uzmanları, bilgilerin kullanıcı bilgisayarlarına bulaştırılan ve bilgi çalan yazılımlar aracılığıyla elde edilmiş olabileceğini belirtiyor.
