Etiket arşivi: FBI

ABD

ABD’de sandviç arasındaki sd kartla casusluk! Nükleer bomba planları sızdırıldı!

Yorum yapın

ABD'nin nükleer bomba planları fıstık ezmeli sandviçle mi sızdırıldı?Amerika Birleşik Devletleri Adalet Bakanlığı, nükleer güçle çalışan Virginia sınıfı denizaltının tasarımına ait bilgilerin sızdırıldığını ve sızdırdığı iddia edilen kişilerin tutuklandığını açıkladı.

Mahkeme tutanaklarında nükleer mühendis olarak görev yapan Donanma Bakanlığı çalışanı Jonathan Toebbe adlı bir kişinin yabancı bir kaynakla temasa geçtiği ve “Nükleer enerjiyle çalışan bir savaş gemisinin tasarımıyla ilgili Sınırlı Verileri” satmayı teklif ettiği iddia edildi.

Bu yabancı kaynak ise FBI’ın hukuk müşaviri ile söz konusu iletişimi paylaştı. Mektupta ABD Donanmasına ilişkin bazı belgeler ve yabancı bir ülke ile Toebbe arasında nasıl güvenli bir iletişim kanalı kurulacağına ilişkin talimatlar yer alıyordu.

Mektupta, “Lütfen bu mektubu askeri istihbarat teşkilatınıza iletin. Bu bilginin ulusunuz için çok değerli olacağına inanıyorum. Bu bir aldatmaca değil” ifadeleri yer aldı. 

BİR BAŞKA BİLGİ DE SAKIZ KUTUSUNDA İLETİLDİ

Bu gelişmenin ardından FBI harekete geçti ve bol miktarda şifreli e-posta trafiği ile 10.000 dolara denk gelen kripto para ödemesinden sonra, Toebbe ve karısı Diana ilgili bilgileri bir SD karta yüklediler. Adalet Bakanlığı’nın Suç Duyurusunda SD kartın bir plastiğe sarıldığı ve fıstık ezmeli sandviçin arasına yerleştirildiği belirtildi. Bir başka SD kart da sakız paketine gizlenerek teslim edildi.  Bu teslimattan sonra Toebbe’ye 70 bin dolar değerinde başka kripto paralar gönderildi.

Her teslimattan sonra Toebbe bir şifre çözme kodu gönderdi. Bu kodun çalışmasıyla FBI, kartların “denizaltı nükleer reaktörleriyle ilgili Sınırlı Veriler” içerdiğini belirlemiş oldu. 

Toebbe çifti 9 Ekim’de yakalandı ve tutuklandı. Suçlanan çift, “alıcıları” ile iletişim kurmak için Protonmail kullandı ve “alıcıları” ile yaptığı yazışmalarda “Alice” takma adını kullandı. FBI temsilcisi ise “Bob” takma adını kullandı. Toebbes, Bob ile yaptığı alışverişten oldukça mutlu görünüyordu. Özellikle de bilgi alışverişi noktasında düzenlemeler önerildiğinde, alıcısının tavrına övgüler yağdırdı. 

FBI ayrıca çifti bol miktarda para ödemek suretiyle yanlarında tutmayı başardı. 110 bin dolar değerinde Monero, FBI’dan Toebbes’e teslim edilmek üzere yola çıkarken Toebbe kripto para biriminin “mükemmel” derecede “inkar edilebilirlik” sunduğunu söyledi.

“HER SEFERDE BİRKAÇ SAYFA KAÇIRDIM”

Alice ve Bob arasındaki yazışmalar sırasında Jonathan Toebbe’nin Kısıtlı bilgiyi nasıl aldığını şu şekilde açıkladığı iddia edildi: Bu bilgiler, dikkat çekmemek için işimin normal seyrinde birkaç yıl boyunca yavaş ve dikkatli bir şekilde toplandı ve güvenlik kontrol noktalarından her seferde birkaç sayfa kaçırmak suretiyle elde edildi. Bu da bazı güvenlik görevlilerinin muhtemelen bu yıl maaş zammı alamayacağı anlamına geliyor.

Kaçan askeri sırları korumada başarısız olan bu kişiler tek değil.  War Thunder adlı savaş oyunu forumunun yöneticileri paylaşımlarda gizli belgelerin paylaşılmaması gerektiğini hatırlatmak zorunda kalmıştı. Zira iddiaya göre Fransız ordusunun eski bir üyesi Leclerc savaş tankının performansını oyunda doğru bir şekilde temsil edilip edilmediğine dair tartışmada son noktayı koymak için bir kılavuz paylaşmıştı. 

Dijital Güvenlik

2 milyon kişilik gizli terörist izleme listesi açığa çıktı

Yorum yapın

“Yurtdışı uçuş yasağı olanlar” da dahil olmak üzere 1,9 milyon kişiden oluşan gizli bir terörist izleme listesi internette açığa çıktı.

Listeye Elasticsearch adlı arama motorundan parolasız bir şekilde erişilebiliyor. Terör izleme listelerindeki milyonlarca kişinin bu şekilde deşifre olması insan hakları açısından endişe yaratıyor.

Bu yılın temmuz ayında, Güvenlik Keşif Araştırmacısı Bob Diachenko, Elasticsearch’te çok sayıda JSON kaydına (insanlar için okunabilir olan bilgi saklama ve alışveriş formatı) rastladı. 1,9 milyon kişilik liste, isim, uyruk, cinsiyet, doğum tarihi, pasaport bilgileri ve uçuş yasağı gibi kişiler hakkında hassas bilgiler içermekteydi. Saldırıya maruz kalan sunucu, Censys ve ZoomEye arama motorları tarafından dizinlendiği ve Diachenko’nun listeye erişen tek kişi olmayabileceği belirtildi.

TERÖRİST TARAMA MERKEZİ AYRINTISI

Araştırmacı, Bleepingcomputer’a yaptığı açıklamada saldırıya uğrayan bilgilerin niteliği göz önüne alındığında (örneğin pasaport bilgileri ve “uçuş yasağı bilgileri”) listenin bir terörist izleme listesi gibi göründüğünü söyledi. Diachenko, Bleepingcomputer’a ‘TSC_ID’ adlı spesifik bir alandan da bahsederken bunun Terörist Tarama Merkezi’ne (TSC) atıfta bulunuyor olabileceğini ima etti.

FBI’ın TSC’si, terörle mücadele amacıyla konsolide bilgileri yönetmek ve paylaşmak için birden fazla federal kuruluş tarafından kullanılmakta. Ajans, Terörist Tarama Veritabanı adında gizli izleme listesi tutmakta. Buna “no-fly list” (uçuşa yasaklıların listesi) de denmekte.

Anayasa Mahkemesi Başkanından küresel büyük birader uyarısı

Bu tür veri tabanları niteliği gereği son derece hassas olarak kabul ediliyor. Zira bu tür listelerin ulusal güvenlik ve kolluk görevlilerine büyük yardımı dokunmakta. Ulusal güvenlik riski taşıyan teröristler veya makul şüpheliler, hükümetin takdirine bağlı olarak gizli izleme listesine yerleştirilmek üzere “aday gösterilmekte.”

Listeye havayolları ve Dışişleri Bakanlığı, Savunma Bakanlığı, Ulaştırma güvenliği Kurumu (TSA) ve gümrük ve sınır koruma (CBP) gibi birden fazla kurum tarafından bir yolcunun uçmasına izin verilip verilmediğini, ABD’ye kabul edilip edilmeyeceğini kontrol etmek veya risklerini değerlendirmek üzere başvuruluyor.

ŞÜPHELİLERİN DE LİSTEDE OLMASI SIZINTIYI DAHA HASSAS BİR HALE GETİRİYOR

Sunucu, saldırının açığa çıkmasından 3 hafta sonra çevrimdışı duruma getirildi. Araştırmacı, saldırıya uğrayan veritabanını 19 Temmuz’da ilginç bir şekilde, ABD’den değil Bahreyn’den bir IP adresine sahip bir sunucuda keşfetti. Aynı gün ise veri sızıntısını ABD İç Güvenlik Bakanlığı’na (DHS) bildirdi. Gizliliği ihlal edilen sunucunun yaklaşık üç hafta sonra, 9 Ağustos 2021’de kapatıldığını belirten Diachenko raporunda, “Neden bu kadar uzun sürdüğü henüz belli değil ve listeye yetkisi olmayan kişilerin erişip erişmediğinden emin değilim” ifadelerini kullandı.

Araştırmacı, izleme listelerinin suçlu olmasa da yasadışı bir faaliyette bulunduğundan şüphelenilen kişileri de içerebileceği göz önünde bulundurulduğunda veri sızıntısının ciddi olduğunu düşünüyor ve ekliyor: “Yanlış ellerde, bu veri tabanı listedeki insanlara ve ailelerine baskı yapmak, taciz etmek veya zulmetmek için kullanılabilir. İsimleri listede yer alan masum insanlar için kişisel ve mesleki soruna neden olabilir.”

Nitekim, muhbir olmayı reddettikleri için haklarında uçuş yasağı uygulanan kişilerin listelere girdiği duyulmamış bir şey değil. Diachenko, sızıntının bu nedenle bu tür insanlar ve şüpheliler için olumsuz sonuçlar doğurabileceğine inanıyor. 

Listeyi sızdıran sunucunun bir ABD devlet kuruluşuna mı yoksa üçüncü taraf bir kuruluşa mı ait olduğu henüz doğrulanmadı. BleepingComputer’ın FBI’a yönelttiği sorular da henüz yanıtlanmış değil.

Dijital Güvenlik

T-mobile saldırısında Türkiye ve CIA bağlantısı şüphesi

Yorum yapın

T-Mobile, bir hackerın telekomünikasyon devi T-Mobile’ın sunucularını hackleyerek yaklaşık 100 milyon müşterinin kişisel verilerini içeren veritabanını çaldığını iddia etmesinin ardından harekete geçti. İddia edilen veri ihlali, bir hackerın geçtiğimiz günlerde bir web forumunda milyonlarca kişiye ait doğum tarihleri, sürücü belgesi numaraları ve sosyal güvenlik numaralarını içeren bir veri tabanını 6 Bitcoin (280.000 dolar) karşılığında sattığı iddiasında bulunmasından sonra ortaya çıktı.

Olayın ardından Almanya’da görev yapan bir Türk ajanın da adının geçtiği çok ilginç bir iddia ortaya atıldı. İddaya göre hackerlar, veri ihlalini ABD’yi zor duruma sokmak için gerçekleştirdi. Plana göre Türkiye’de yaşayan ve CIA’ye ve ABD Adalet Bakanlığına işkence suçlamasıyla dava açan John Erin Binns adlı bir kişiye yapılanların intikamı alınmak isteniyordu. Söz konusu kişiye işkence ettiği iddia edilen kişiler arasında bir Türk ajanın adı da geçiyor. 

“ABD’NİN ALTYAPISINA ZARAR VERMEK İÇİN YAPTIK”

Olayın CIA ve Türkiye bağlantısını iddia eden kişi ise siber suç istihbarat firması Hudson Rock’ın CTO’su Alon Gal. İddiaya göre Gal, hackerların söz konusu saldırıyı ABD’nin altyapısına zarar vermek için gerçekleştirdiklerini bizzat kendisine söylediklerini ileri sürüyor.

Forum gönderisi verilerin kaynağını belirtmese de tehdit aktörü bleepingcomputer’a yaptığı açıklamada veri tabanını büyük bir sunucu ihlalinin ardından T-Mobile’dan aldıklarını söyledi. Tehdit aktörü, müşteri verilerini içeren bir Oracle veritabanı sunucusu da dahil olmak üzere iki hafta önce T-Mobile’ın sunucularına girdiğini iddia ediyor.

Bu çalınan verilerin, yaklaşık 100 milyon T-Mobile müşterisinin verilerini içerdiği ve müşterilerin IMSI, IMEI, telefon numaraları, müşteri adları, güvenlik PİN’leri, Sosyal Güvenlik Numaraları, sürücü belgesi numaraları ve doğum tarihini içerebileceği iddia ediliyor.

2004’E KADAR UZANAN TÜM IMEI VERİ TABANI ÇALINDI

Hacker, Bleepingcomputer’a yaptığı açıklamada “2004’e kadar uzanan tüm IMEI veri tabanı çalındı” dedi. IMEI numarası cep telefonlarını tanımlamak için kullanılan her bir cihaza ait “tek ve benzersiz” bir kimlik numarası. IMSI numarası ise operatör tarafından SIM kartı abonelerine verilen yine benzersiz bir numara.

Hackerlar, T-Mobile’ın sunucularını ihlal ettiğinin kanıtı olarak, Oracle kullanan bir üretim sunucusuna yapılan bir SSH bağlantısının ekran görüntüsünü paylaştı. Siber güvenlik istihbarat firması Cyble da leepingcomputer’a yaptığı açıklamada, tehdit aktörünün T-Mobile’ın Müşteri İlişkileri Yönetimi (CRM) veritabanı da dahil olmak üzere yaklaşık 106 GB veri içeren birden fazla veritabanını çaldığını iddia ettiğini söyledi.

Söz konusu ihlali ilk olarak bildiren Motherboard, tehdit aktörü tarafından sağlanan veri örneklerinin T-Mobile müşterilerine ait olduğunu doğrulayabileceklerini söyledi.

Çalınan veriler karşılığında T-Mobile’dan fidye talep edip etmeyecekleri sorulan hackerlar, şirketle hiçbir şekilde iletişim kurmadıklarını ve halihazırda verilerle ilgilenen alıcıların yer aldığı forumlarda satmaya karar verdiklerini söyledi.

T-Mobile ise bleepingcomputer’a iddiaları aktif olarak araştırdıklarını belirterek ekledi: “Bir yeraltı forumunda ortaya atılan iddiaların farkındayız ve doğru olup olmadığını araştırıyoruz. Şu anda paylaşabileceğimiz herhangi bir ek bilgiye sahip değiliz”

T-MOBİLE İNTİKAM İÇİN HACKLENDİ

Tehdit aktörlerinin siber suç istihbarat firması Hudson Rock’ın CTO’su Alon Gal’a sözkonusu saldırıyı ABD’nin altyapısına zarar vermek için gerçekleştirdiklerini söylediği belirtildi. 

Tehdit aktörlerinin Gal’e “Bu ihlal, John Erin Binns adlı kişinin Almanya’da CIA ve Türk ajanları tarafından kaçırılıp işkence edilmesinin intikamı olarak ABD’ye karşı yapıldı” dediği iddia ediliyor. 

Türkiye’de yaşayan Binns, 2020 yılında FBI, CIA ve Adalet Bakanlığı’na dava açmıştı. Davanın konusu, Binn’in ABD ve Türk hükümetleri tarafından işkence gördüğü ve taciz edildiği iddialarını içermekte. Ayrıca ABD’nini bilgi edinme hakkı kanunu kapsamında bu faaliyetlerle ilgili belgeleri yayınlaması talep ediliyor.

Dijital Güvenlik

FBI ve Europol İtalya’da aşılamayı etkileyen siber saldırı için devreye girdi

Yorum yapın

İtalya‘da Kovid-19 aşılamasının da organize edildiği bilgisayar sistemine düzenlenen siber saldırıyla ilgili soruşturma genişliyor. FBI ve Avrupa Birliği’nin güvenlik birimi Europol soruşturmaya destek verecek.

Geçen hafta sonundan bu yana çözülemeyen siber saldırı nedeniyle bölgede Kovid aşıları da dahil sağlık sisteminin yönetiminde aksaklıklar yaşanıyor. Yaklaşık 6 milyon nüfuslu Lazio bölgesinde yaşayanlar günlerdir Kovid aşısı randevuları, testleri ve muayene işlemlerine internet üzerinden ulaşamıyor.

Lazio bölge yönetimi dün yaptığı açıklamada, aşı randevularının 72 saat içinde yeni bir platform üzerinden yeniden başlayacağını duyurdu.

Lazio bölgesi başkent Roma’yı da kapsadığı için çok sayıda kritik roldeki ismin kişisel verilerinin siber tehdit unsurlarının eline geçmesinden endişe ediliyor.

İtalya’da açılan soruşturmaya terörle mücadele savcılığı da dahil olurken, FBI ve Europol de soruşturma için devreye girdi.

NATO DA DEVREYE GİREBİLİR

İtalya Parlamentosu Cumhuriyetin Güvenliği Komisyonu siber saldırıyı gündemine aldı. Parlamento Komisyonu Başkanı Adolfo Urso, saldırının yabancı bir ülkeden kaynaklandığı şüphesinin teyit edilmesi halinde NATO’nun da devreye girebileceğini söyledi.

Urso, “Bunu yapan bir suç örgütüyse meseleyi polis ele alır. Ama bir devletin parmağı varsa Savunma Bakanlığı devreye girer. Ayrıca NATO da siber ortamı (hava, kara, deniz ve uzaydan sonra) 5. savaş alanı olarak tanımlıyor. Yani Kuzey Atlantik Antlaşması’nın 5. maddesi (bir NATO üyesine saldırının, tüm üye ülkelere yapılmış sayılması) uygulanabilir.” dedi.

HASTANE ÇALIŞANININ ÇOCUĞUNUN BİLGİSAYARINA SIZILDI

İtalyan basınına göre siber saldırı, tehdit aktörlerinin Lazio bölgesinde görevli bir çalışanın çocuğunun kullandığı bilgisayarla sisteme sızmasıyla gerçekleşti. Bu haberi değerlendiren uzmanlar, pandemi nedeniyle dijitalizasyon ve evden çalışmanın yaygınlaşmasının siber saldırılara karşı güvenlik açığını artırdığını belirtti.

Parlamento Cumhuriyetin Güvenliği Komisyonu Başkanı Urso da, “Pandemi nedeniyle dijital sistemlere geçişin hızlanması siber sistemlerin savunmasızlığını önemli ölçüde artırdı.” dedi.

İtalyan basınında yer alan diğer haberlere göre halen üzerinde durulan ihtimallerin başında siber saldırının arkasında bir yabancı devletin bulunduğu şüphesi geliyor. Ancak saldırının, Kovid belgelerini (yeşil pasaport) kopyalayarak kullanıcıların bilgilerini satmayı amaçlayan korsanlarca düzenlenmiş olabileceği de değerlendiriliyor.

İtalya’da siber saldırı aşı randevu sistemini felç etti

60 milyon nüfuslu ülkenin en kalabalık ikinci bölgesi olan ve başkenti de kapsaması nedeniyle özel önem taşıyan Lazio bölgesine siber saldırı, İtalyan hükümetinin Kovid belgelerini zorunlu kılma kararının ardından yaşandı.

Ülkede 6 Ağustos’tan itibaren birçok mekan ve etkinliğe giriş için “yeşil pasaport” olarak anılan Kovid sertifikası sunmak gerekecek.

Kullanıcının en az bir doz aşı yaptırdığını, son altı ay içinde Kovid-19’a yakalanıp iyileştiğini ya da son iki gün içinde yaptırdığı test sonucunun negatif olduğunu gösteren belgeler Kovid-19 sertifikası olarak kabul edilecek.

Kovid sertifikası şartı kararı sonrası ülkede aşı randevularında büyük artış yaşanmış ancak bazı kesimler bu zorunluluğa karşı çıkarak protesto gösterileri düzenlemişti.

Kaynak: BBC Türkçe

Kritik Altyapı Güvenliği

ABD Kritik Alt Yapılara yönelik son 10 yılın saldırılarını deşifre etti

Yorum yapın

ABD, son yıllarda farklı ülkeleri de etkileyen kritik alt yapı saldırılarını ve sorumlu siber tehdit aktörlerini deşifre etti.

Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve FBI’dan yapılan ortak açıklamada, kritik altyapıları kontrol eden ve işleten endüstriyel kontrol sistemlerine (ICS) yönelik güvenlik tehditlerinin ülkenin en önemli ve büyümekte olan sorunlarından biri olduğu belirtildi.

CISA ve FBI, kritik alt yapıya yönelik risklerle ilgili farkındalığı artırmak ve gerekli siber korumayı güçlendirmek için ortak bir tavsiye notu ve güncellemeler paylaştı.

İlk tavsiye notu Çin’in 2011-2013 yıllarında gaz boru hattına yönelik saldırısına ilişkin paylaşıldı. Olaya ilişkin ilk uyarı 2012’de etkilenen paydaşlara iletilmişti.

Ukrayna elektrik sistemine bir saldırı daha

ICS’lere yönelik diğer tavsiye notunda ise İranlı siber tehdit aktörlerinin Shamoon olarak da bilinen W32.DistTrack adlı zararlı yazılımla kritik altyapılardaki önemli bilgilerin çalındığı belirtildi.

Havex adlı zararlı yazılıma ilişkin notta, saldırıyı Rusya devleti destekli siber tehdit aktörlerinin gerçekleştirdiği olaydan İspanya,İtalya,Almanya ve Fransa’nın da etkilendiği belirtildi.

Açıklamada Rusya’dan başka bir tehdit aktörünün ise Black Energy adlı yazılımla, kritik alt yapılara yönelik halen devam etmekte olan saldırılar düzenlediği ifade edildi.

TEHDİT AKTÖRLERİNİN ÇOĞUNLUĞU RUSYA’DAN

Rusların aynı zamanda Ukrayna’nın kritik altyapılarını hedeflediklerine dikkati çeken yetkililer, 2015’te düzenlenen saldırıyı hatırlattı. Açıklamada KillDisk zararlı yazılımının sistemlerdeki kritik bilgileri silme yeteneğine sahip olduğu vurgulandı.

Açıklamanın sonunda CrashOverride adlı zararlı yazılıma ilişkin teknik uyarı da yer aldı. Yetkililer Rusya destekli siber tehdit unsurlarının söz konusu yazılımı 2016 yılında Ukrayna’nın kritik alt yapılarına yönelik saldırıda kullandığını açıkladı.