Etiket arşivi: Equation Group

Uluslararası İlişkiler

Çin’li bir hacker grubu ABD’yi kendi silahıyla vurdu: Tahmin edilenden daha önce NSA araçlarını kullanmışlar

Yorum yapın

Çin’li bir siber tehdit grubunun 2016 yılında tespit edilen bir sızıntıdan çok daha önce, ABD Ulusal Güvenlik Ajansı’nın (NSA) kullandığı siber araçları ele geçirerek bu ülkeye karşı kullandığı ortaya çıktı.

Kendisini “Shadow Brokers” adıyla tanıtan hackerlar, 13 Ağustos 2016 yılında NSA’in içindeki Tailored Access Operations (Özel Erişim Operasyonları) birimiyle bağlantılı olduğu düşünülen tehdit grubu Equation Group (Denklem Grubu) tarafından kullanılan zararlı yazılım kodlarını çaldığını duyurmuştu.

Shadow Brokers grubu, o günden beri eşi görülmemiş bilgiler açıklamış olsa da ortaya çıkarılan yeni ‘kanıtlar’, Shadow Brokers’ın Denklem Grubu’ndan kod çalan ilk grup olmadığını gösteriyor. 

SHADOW BROKERS’IN ÖNCESİ DE VAR

Amerika-İsrail ortaklığındaki siber güvenlik şirketi Check Point Research araştırmacıları tarafından yayımlanan kapsamlı bir raporda, Shadow Brokers saldırısından iki yıl kadar önce daha önce keşfedilmeyen başka bir sızıntının daha gerçekleştiğini, bunun sonucunda da ABD tarafından geliştirilen siber araçların Çinli bir grubun gelişmiş sürekli tehdit saldırılarıyla ABD’ye karşı kullanıldığını ortaya koydu.

Check Point Research araştırmacılarından Eyal Itkin ve Itay Cohen, “Microsoft tarafından Çinli APT31 veya diğer ismiyle Zirconium grubunun istismar ettiği ileri teknoloji ve havacılık şirketi olan Lockheed Martin tarafından Microsoft’a bildirilen CVE-2017-0005 sıfırıncı gün açıklığının aslında ‘EpMe’ kod adlı Denklem Grubu istismarının bir kopyası” olduğunu ortaya koydu. Ayrıca Eyal Itkin ve Itay Cohen, APT31 grubunun, Shadow Brokers sızıntısından iki yıldan fazla bir süre önce ‘EpMe’ dosyalarının hem 32bitlik hem de 64bitlik sürümlerine eriştiğini belirtti. Lockheed Martin şirketinin bu güvenlik açığını Microsoft’a bildirmesi ise araştırmacılarda şirkete yönelik bir saldırı gerçekleştiğine dair şüphe uyandırdı.

Apple’ın açığını bulan Ünüver: Elimizde henüz bildirmediğimiz zafiyet var

Siber güvenlik firması Kaspersky’nin 2015 yılında duyurduğu raporla birlikte duyurulan Denklem Grubu, ismini kapsamlı şifreleme kullanımından alıyor. 1996 yılından beri faaliyet gösteren Denklem Grubu’nun on binlerce kurbanı olduğu düşünülüyor.

 2017 YILINA KADAR KULLANILMIŞ

İlk olarak Mart 2017’de ortaya çıkan CVE-2017-0005, Windows XP ve Windows 8’e kadar çalışan sistemlerdeki ayrıcalık yükselmesine (EoP) izin veren Windows Win32k bileşenlerindeki güvenlik zafiyeti olarak biliniyor. Check Point araştırmacıları ‘EpMe’den kopyalanmış varyanta ise ‘Jian’ adını verdiler. Araştırmacılar, 2014 yılında kopyalanan Jian’ın 2015’ten itibaren, Microsoft tarafından 2017 yılında yamalanana kadar kullanıldığını tespit ettiler.

Fikri mülkiyet hırsızlığı ve kimlik bilgisi toplama konusunda üst düzey yetenekler sergileyen ve Çin hükümetinin emriyle keşif operasyonları yürüttüğü iddia edilen devlet destekli hacker grubu APT31’in (Zirconium), bir saldırganın dosyaları karşıya yüklemesine, indirmesine ve rastgele komutlar yürütmesine olanak tanıyan, GitHub’da bulunan Python tabanlı bir implantı indirmeye yarayan bağlantılarla, kimlik avı saldırıları ve ABD seçim personellerini hedef alan saldırıları yürüttüğü düşünülüyor. Grubun devletleri, uluslararası finans kuruluşlarını, havacılık sektörünü, savunma sanayisini, telekomünikasyon şirketlerini, medya ve sigorta sektörlerini ve çeşitli teknoloji sektörlerini hedef aldığı da biliniyor.

DAHA ÖNCE KEŞFEDİLMEMİŞ SIFIRINCI GÜN AÇIKLIĞI

DanderSpritz sömürü sonrası çerçevesinin, ikisi 2013’te geliştirilme sırasında sıfırıncı gün olan dört farklı Windows EoP modülü içerdiğini belirten Check Point araştırmacıları, “EpMo” olarak adlandırılan sıfırıncı günlerden birinin, Shadow Brokers sızıntısına yanıt olarak Mayıs 2017’de Microsoft tarafından belirli bir CVE-ID olmadan sessizce yamalandığını söyledi. EpMe ise bir diğer sıfırıncı gündü.

DanderSpritz, 14 Nisan 2017’de Shadow Breakers tarafından “Lost in Translation” başlıklı bir gönderi altında sızdırılan çeşitli istismar araçlarından biriydi. Sızıntı en çok, 65’in üzerinde ülkede on milyarlarca dolar değerinde zarara neden olan WannaCry ve NotPetya gibi fidye yazılımlarına yetenek kazandıran ‘EternalBlue’ istismarını yayınlamasıyla tanınıyor. 

İşin ilginç kısmı ise EpMo’nun kaynak kodunun dört yıl önceki Shadow Brokers sızıntısından bu yana GitHub’da herkese açık olmasına rağmen ilk defa yeni bir Denklem Grubu istismarı ortaya çıkmış olması.

Denklem Grubu ve APT31 istismarlarının yanı sıra EpMe istismarının Microsoft’un CVE-2017-0005 sıfırıncı gün açığına tam anlamıyla örtüştüğünü ifade eden araştırmacılar, “Bu yeterli olmazsa, Microsoft’un Mart 2017’de yayınladığı yamayla bu istismarın önüne geçildiği görülmüştür” ifadelerini kullandı.

SIZINTI ÇOK BÜYÜK

Ortaya çıkarılan bu örtüşmenin yanında EpMe ve Jian’ın aynı bellek düzenini ve aynı sabit kodları paylaştığı keşfedildi. Bu keşif de kodların birbirinden kopyalandığı ihtimalini güçlendirdi.

Araştırmacılar, “Dört farklı istismarı içeren bütüncül bir istismar modülünün, GitHub’da dört yıldır fark edilmeden ortalıkta yatması gerçeği, bize Denklem Grubu araçları etrafındaki sızıntının büyüklüğünü gösterir” ifadelerini kullandı.

NSA, siber saldırı düzenlerken hacking gereçlerini Çin’e kaptırmış

 

ŞİMDİYE KADAR NELER OLDU?

  • Denklem Grubu’nun en erken 2013 tarihinden beri bilinen ‘EpMe’ istismarı, daha Zsonra CVE-2017-0005 olarak belirtilen güvenlik açığının orijinal istismarı olarak biliniyor.
  • 2014 yılında APT31, Denklem Grubu’nun ‘EpMe’ istismarının hem 32 bitlik hem de 64 bitlik örneklerini çalmayı başardı.
  • Saldırganlar “Jian” ı oluşturmak için bunları kopyaladı ve istismarın bu yeni sürümünü kullandı.
  • Jian, Lockheed Martin’in IRT’si tarafından yakalandı ve Mart 2017’de güvenlik açığını düzelten Microsoft’a bildirdi. Sıfırıncı gün açıklığı CVE-2017-0005 olarak belirtildi.
  • EpMe (CVE-2017-0005), APT31 tarafından kopyalanan ve böylece CVE-2017-0005’in Denklem Grubu yerine ikincisiyle ilişkilendirilmesine neden olan bir Denklem Grubu istismarı olarak biliniyor.
  • EpMo – Daha önce keşfedilmemiş ek bir Denklem Grubu istismarı olarak kayıtlara geçti.
  • Jian ise APT31’in Lockheed Martin’in IRT’si tarafından vahşi ortamda yakalanan EpMe’nin kopyalanmış versiyonu.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

ABD, Uluslararası İlişkiler

NSA Ortadoğu bankalarından ‘tahsilat’ mı yapıyor?

Yorum yapın

Geçtiğimiz yıl Amerikan Ulusal Güvenlik Ajansı (NSA) tarafından kullanıldığı iddia edilen istismar yazılımlarını ortaya çıkaran Shadow Brokers adlı hacker grubu, yeni bir “dosya hazinesi” daha yayınladı. Grup, ilk önce açık artırma ile satışa sunduğu “NSA’dan çaldığı” bu dosyalar için, daha sonra ücretsiz bir şifre sundu. Söz konusu dosya, bazı eski Windows sürümlerindeki açıkları içeriyor ve bu yüzden Windows, sızıntının ardından bir güvenlik güncellemesi yayınlamakta gecikmedi. Ancak sızdırılan dosyalar arasında özellikle Ortadoğu’daki bazı bankaların hedef alındığını gösteren veriler de yer alıyor.

İlgili haber >> NSA sızıntısı milyon dolarlık siber silahlar çocukların eline mi geçti?

Shadow Brokers ismi daha önce, geçtiğimiz Ağustos ayında, birçok güvenlik ürününde yer alan açıklıkları içeren ve NSA ile Equation Group ile bağlantılı exploitleri sızdırmalarıyla gündem olmuştu. Grup daha sonra da Equation Group tarafından gizliliği ifşa edildiği iddia edilen bazı IP adreslerini sızdırmıştı. Shadow Brokers, sızdırdıkları bu dosya hazinesi için bir açık artırma düzenlemeyi umuyordu, ancak çok fazla ilgi çekmemişti. Bunun üzerine de grup Ocak ayında “bir veda mesajı” ile birlikte Windows işletim sistemi ile ilgili bazı açıklıkları içeren bir yayın daha yapmıştı.

TRUMP’A SELAM ÇAKTILAR

Ancak Shadow Brokers grubu geçen hafta yayınladığı bu son sızıntısını, “Donald Trump’ın liderliğine olan inancını kaybettikten sonra bir protesto olarak” yaptığını duyurdu. Medium’da yayınladığı mesajında Trump’ın “üssü terk ettiği” belirtilirken, “Amerika’yı yeniden güçlü bir ülke yapmak için” bazı tavsiyelerini sıraladı.

Güvenlik araştırmacıları, hâlâ dosyaları inceliyor. Ancak exploitlerin büyük kısmının daha eski veya kullanılmış sistemleri hedef aldığı görülüyor. Ve sadece bir kişi, bu sızıntının hackerların maskesini düşürebileceğini düşüyor: Edward Snowden.

Snowden, sızıntıyla ilgili Twitter mesajında “sızıntının dolu bir kütüphaneden başka bir yerden yapılamayacağını, NSA’nın bu dosyaları nerede kaybettiğini ve nereden geldiğini kolaylıkla bulabileceğini, bunu yapamamasının ise tam bir skandal olacağını” kaydetti.

HAZİNENİN İÇİNDE NE VAR?

Shadow Brokers’ın son sızıntısında yer alan bazı exploitler, daha önce etkilenmiş olduğu bilinmeyen bazı sağlayıcıları da içeriyor. Ayrıca ‘hazinenin’ içinde bankacılık sistemlerinden veri toplanmasına ilişkin bazı dosya ve sunumlar da yer alıyor.

Motherboard’a konuşan Hacker Fantastic isimli bir güvenlik araştırmacısı, bu dosyaların “artık dosyalar” olduğunu söyledi.

Shadow Brokers’ın hazinesinin içinde bazı dosyalar ve klasörler yer alıyor. Bir alt klasör “Exploits” olarak adlandırılmış, içinde ise “Eternalsynergy,” “Erraticgopher” ve  “Emeraldthread” gibi isimleri bulunan çalıştırılabilir dosyalar bulunuyor.

Araştırmacılar bu dosyaların ne için kullanıldığı veya bu hazinenin içinde gerçekten Windows platformuna karşı bir etkili bir exploit olup olmadığı üzerinde çalıştırmalarını sürdürse de, Windows çoktan bir güvenlik güncellemesi yayınladı bile.

Yine Hacker Fantastic’e göre sızdırılan dosyalar “Fevkalade bir veri, dâhili saldırı araçlarının tüm özelliklerini taşıyor.” Daha da önemlisi Hacker Fantastic, bu veriler üzerinde yapılacak analizin bir sıfırıncı gün açıklığı ortaya çıkaracağından emin olduğunu söylüyor.

Güvenlik mimarı Kevin Beaumont’un Motherboard’a yaptığı açıklamaya göre de “Windows implantlarının tümü VirusTotal’ın [bir çevrimiçi dosya tarama aracı] daha önce karşılaşmadığı dosyalar, yani bu dosyalar daha önce hiç görülmemiş.”

Windows tabanlı implantların yer aldığı ODDJOB adlı bir klasörde, “Windows 2003 Enterprise işletim sisteminden Windows XP Professional sistemine kadar hangi sistemlerle çalıştığı” belirtiliyor. Bir başka klasörde ise ODDJOB’un virüs yazılımlarını atlatma başarısı gösteriliyor. Buna göre F-Secure, Kaspersky, Symantec ve daha birçok firmanın yanına “Virüs bulunamadı” etiketi yerleştirilmiş. Dosyanın içinde 2013 ortalarına kadar giden tarih bilgisi bulunuyor.

Bu dosyalara bakıldığında hazinenin, daha eski Windows sistemleri ile ilgili araçlar olduğu anlaşılıyor. Ancak bu elbette rahatlatıcı bir durum değil, zira halen birçok kurum, kuruluş ve şahıslar eski sürüm Windowsları kullanmaya devam ediyor. Exploitlerden bir tanesinin de Windows 8’i hedef aldığı görülüyor.

Bir Microsoft sözcüsü – güvenlik güncellemesi yayınlanmadan önce – Motherboard’a “iddiaları incelediklerini ve müşterileri korumak için gerekli tedbirleri alacaklarını” açıklamıştı.

Hazinede yer alan bir başka klasörde ise “ÇOK GİZLİ” işaretli “JEEPFLEA_MARKET” isimli bir klasör yer alıyor. JEEPFLA’nın, NSA tarafından kullanılan bir elit hackleme birimi olduğu biliniyor.

HEDEFTEKİ BANKALARIN ÇOĞU ORTADOĞU’DA

Dosyalar incelendiğinde ise “JEEPFLEA_MARKET” klasörünün Swift İttifak Erişimi (SSA – Swift Alliance Access) sistemleri ile ilgili olduğu görülüyor. SSA,  dünyadaki bankalar tarafından para transferi yapmak için kullanılan bir sistem. Bu klasörün bir bölümünde “9 SAA sunucusunda devam eden tahsilat” başlığı yer alıyor ve bazı bankalara işaret ediliyor. Bu bankaların büyük kısmı ise Ortadoğu bölgesinde yer alıyor.

Shadow Brokers son olarak “Gelecek sefere elimizde ne olacağını kim bilebilir?” mesajını paylaştı.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

[wysija_form id=”2″]
ABD, Çin, İran, Siber Güvenlik, Uluslararası İlişkiler

Dünya şokta: 30 ülkedeki sabit sürücülere casus yazılım yerleştirilmiş

Yorum yapın

ABD Ulusal Güvenlik Ajansı’nın (NSA) bazı firmaların ürettiği sabit sürücülere bu cihazlarla yapılan işlemlerin dışarıda izlenmesini sağlayacak yazılım yerleştirildiği iddia edildi.

Yazılımı ortaya çıkaran güvenlik şirketi Kaspersky’e göre 30 ülkedeki bilgisayarların etkilendiği ve Stuxnet’e benzeyen yazılım, ‘Denklem Grubu’ adlı ekibini yürüttüğü 20 yıldır devam eden bir operasyonun parçası.

Western Digital, Seagate, IBM, Micron, Samsung ve Toshiba gibi firmaların sürücülerinde bulunan yazılımla alakalı NSA yorum yapmazken, eski bir istihbarat yetkilisinin Reuters’a verdiği bilgiye göre Ulusal Güvenlik Ajansı bu yazılımın sürücülere sağlanması için ciddi bütçe ayırmıştı.

Kaspersky’nin konuyla ilgili yayınladığı raporda bu zamana kadar bilinen espiyonaj yazılımlarının hepsinden daha karmaşık tekniklerle üretilen yazılımın, datayı elde etme ve kendini gizlemede gayet ‘profesyonelce’ üretildiği ifade edildi. Sabit disklerin yazılımı tekrar yazabilme kabiliyetine sahip casus yazılım sayesinde virüs taramalarından ve diskin formatlanmasından kurtulabiliyor. Casus yazılım sadece izleme/gözetleme yapmıyor aynı zamanda bilgisayardan internete bağlı olduğu müddetçe veri çalabiliyor.

Yazılımın en fazla bulunduğu ülkeler arasında sırayla İran, Rusya, Pakistan, Afganistan, Çin, Mali, Suriye, Yemen ve Cezayir bulunuyor. Hedeflerin askeri ve kamu kurumlarının yanında telekomünikasyon şirketleri, bankalar, enerji firmaları, nükleer araştırmacılar, medya organları ve dini gruplara mensup kişiler olduğu belirtildi. Uzmanlar causus yazılımın Stuxnet’e benzediğinin üzerinde durdu.

Yazılımın sürücülere nasıl yüklendiği konusunda bir açıklama yapılmadı. Yüklemenin fiziksel olabileceği belirtilirken, NSA’in üreticilerden kaynak kodlarını istemiş olabileceği veya bu firmalara yazılım geliştiren şirketlere sızmış olabileceği ihitmalleri de değerlendiriliyor. Western Digital, Seagate ve Toshiba böyle bir operasyondan haberleri olmadığı açıkladı. Diğer şirketlerden bir açıklama gelmedi.

Kaspersky raporunun ABD Başkanı Obama’nın siber güvenlik paketini açıklamasının hemen ardından gelmesi dikkat çekti. Son gelişmenin Çin yönetimini yaptığı siber casusluk operasyonları nedeniyle uluslararası kamuyounda eleştiren Washington’un elini zayıflatacağı düşünülüyor. Snowden sızıntılarının ardından NSA’in bu kadar çaplı bir casusluk operasyonun arkasından çıkması ABD’ye olan güvenin azalmasına ve bilişim sektöründe Amerikan menşeli şirketlerin durumunu iyice zora sokacağı ihtimalini güçlendiriyor. Obama’nın Snowden sızıntılarından sonra kurduğu İstihbarat ve İletişim Teknolojileri Değerlendirme grubu üyesi Peter Swire operasyonun ABD’ye yansımalarının olumsuz olacağını dile getirdi.