Etiket arşivi: FireEye

Türkiye

Türkiye’ye yapılan siber saldırı sayısı: 25 milyon

Yorum yapın

Türkiye’de, herhangi bir Avrupa ülkesinden daha fazla zararlı yazılım bulunuyor.

Bir güvenlik firması olan Fireeye’ın yayınladığı bu raporda genel güvensizlik durumuna ek olarak Türkiye’deki devlet kurumlarında yaşanan iki büyük siber ihlalin de ülkedeki siber güvenlik sorunuyla ilgili endişeyi artırdığına dikkat çekiliyor.

Hatta, Türkiye, 25 milyon siber saldırı ile dünyada ABD ve Brezilya’nın ardından en fazla saldırıya uğrayan 3. ülke konumunda yer alıyor.

Şu anda ülkemizin karşı karşıya olduğu en büyük siber tehditlerden biri “Savaş Botları”. Botnet kelimesi robot ve network kelimelerinin birleşiminden oluşuyor. Botnet’lere, bilgisayar korsanlarının, genellikle cihaz sahibinin bilgisi olmadan, çeşitli cihazların kontrolünü uzaktan ele almasını sağlayan kötü amaçlı yazılımlar bulaşabilir.

İLGİLİ HABER>>  ‘Türkiye, siber güvenlik konusunda icraata odaklanmalı’

En son Microsoft Güvenlik İstihbaratı raporuna göre, botnet’ler dünya çapında milyonlarca bilgisayarı etkilemeye devam ediyor ve bunları eski ve yeni kötü amaçlı yazılım biçimlerine maruz bırakıyor. Siber suçlular, spam göndermek, web sitelerine DoS saldırıları yapmak, kötü amaçlı yazılım yaymak, çevrimiçi reklamlarda tıklama sahtekarlığını kolaylaştırmak ve çok daha fazlası gibi çeşitli çevrimiçi saldırıları gerçekleştirmek için botnet’leri kullanıyorlar.

Türkiye, ülkedeki her bir 1.139 internet kullanıcısı için bir botla en fazla toplam “bot” enfeksiyon sayısına sahip ülke konumunda. Symantec’in Norton bölümündeki araştırmacılara göre, Türkiye aynı zamanda Avrupa, Orta Doğu ve Afrika bölgesindeki tüm botların yüzde 18,5’ini içeriyor.

Botnet faaliyetlerine karşı savunmak kolay bir iş değil ve hem özel hem de kamu kuruluşları tarafından büyük ve koordineli bir çaba gerektiriyor. Kuruluşları botnetlere karşı korumanın ilk adımı ise gelişmiş makine öğrenimini destekleyen bir çözüm aramaktan geçiyor.Örneğin, Windows Defender ATP, botnet’leri ve diğer siber tehditleri tespit etmek, korumak ve bunlara yanıt vermek için bulut, makine öğrenimi ve davranış analizlerini kullanması ile iyi seçenekler arasında.

Kaynak: CHIP

Siber Bülten abone listesine kaydolmak için formu doldurunuz

ElectionHacking

Rusya’nın ardından Çin de gözünü seçimlere dikti

Yorum yapın

Çinli siber ajanlar, seçimlerin yaklaştığı Kamboçya’da kamu kuruluşları, muhalefet partisi üyeleri, diplomatlar ve medyayı hedef aldı. Bloomberg.com’da yer alan habere göre siber güvenlik şirketi FireEye, siber saldırganların amacının bu ayın sonunda Kamboçya’da yapılacak seçimler öncesinde bilgi toplamak olarak değerlendiriyor.

FireEye’ın yayınladığı rapora göre, siber saldırıların TEMP. Perisope olarak bilinen Çinli siber casusluk grubu kaynaklı olduğundan şüpheleniliyor. FireEye söz konusu grubun daha önce de Güney Çin Denizi ile ilgilenen ABD’li mühendislik ve savunma şirketlerinin de dâhil olduğu hedeflere yönelik saldırılarla bağlantılı olduğunu ileri sürmüştü. Nitekim Çin, taşımacılıkta anahtar konumunda bulunan Güney Çin Denizi üzerinde hak iddia ediyor.

Saldırılar, Asya’nın en uzun süredir görevde olan Başbakanı Hun Sen’in 29 Temmuz’da yeniden seçilmek için kampanya yürüttüğü bir dönemde geldi. Hun Sen, kampanyasını Kamboçya Ulusal Kurtuluş Partisi’nin dağılmasından ve lideri Kem Sokha’nın kumpas ile hükümeti devirme girişimi suçlamasıyla tutuklanmasından bu yana etkin bir muhalefetten yoksun bir halde yürütüyordu.

Saldırılar, Çin’in çıkarlarının tehlikeye girdiği zamanlarda bilgi toplamak için siber araçları kullanma konusundaki istekliliğinin son örneğini teşkil ediyor. Çinli siber ajanlar 2015 yılındaki başkanlık ve milletvekilliği seçimlerinde Tayvanlı muhalifleri hedef almışlardı. Ajanlar bu yılın başlarında da Japon savunma şirketlerinden, Tokyo’nun Kuzey Kore nükleer çıkmazını çözme yönündeki politikası hakkında bilgi almaya çalışmışlardı.

İlgili haber>> Rusya bu kez de Almanya seçimlerine mı sızdı?

FireEye’dan üst düzey yöneticisi Ben Read, bu faaliyetlerin Çin hükümetine Kamboçya seçimleri ve hükümet operasyonlarına ilişkin geniş çapta bir görüş kabiliyeti sağlamasını beklediklerini söylüyor.

Çinli saldırganların hedefindeki isimlerden biri, Ulusal Kurtuluş Partisi Lideri Kem Sokha’nın kızı Monavithya Kem. Kem, siber saldırıya uğradığını, kendisine insan hakları kuruluşundan gönderildiği iddia edilen e-postanın ‘phishing email’ adı verilen e-dolandırıcılık postalarından biri olduğunu fark etmesiyle anladığını belirtiyor. Kem o sıralarda Washington’da bulunuyormuş. Söz konusu e-posta daha sonra, Çinli hackerler tarafından kontrol edildiğine inanılan üç sunucudan birinin izini süren FireEye’e gönderiliyor.

CNRP’de görev yapan ve Kamboçya’ya dönmesi halinde tutuklanacak olan Kem, e-postanın ilk olarak iktidar partisinden geldiğini düşündüğünü ancak bunun bir yabancı kuruluştan geldiğini bilmenin çok daha rahatsız edici olduğunu ifade ediyor. Kem, “Umarım Kamboçya hükümeti de bunu rahatsız edici bulacaktır ve menfaatlerimizin tehlikeye atıldığı bir ülkenin etkisi altında kalmamanın önemini anlayacaklardır” diye sözlerine devam etti.

Hun Sen’in 30 yıllık iktidarı süresince Çin, Kamboçya’nın tek ve en büyük bağışçısı ve yabancı yatırımcısı oldu. Kamboçya ise Çin’in Güneydoğu Asya Uluslar Birliği (ASEAN) gibi bölgesel forumlardaki çıkarlarının önemli bir destekçisi haline geldi. Diplomatlar, uzun zamandır Çin’in, eleştirileri sınırlamak için Kamboçya gibi uluslar üzerindeki kontrolünü kullandığını iddia ediyor.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Siber Saldırılar

Siber güvenlik devi ‘hacklendi’

Yorum yapın

Türkiye dahil 67 ülkede, 6 bine yakın müşterisi bulunan dev siber güvenlik şirketi FireEye’ın yan kuruluşu Mandiant’ın en az bir üst düzey analistinin hacklendiği bildirildi.

Hackerlar,  Virginia merkezli şirkette kıdemli tehdit istihbaratı analisti olarak çalışan Adi Peretz’i hackleyerek hassas bilgileri internette yayınladı. Pazar günü #LeakTheAnalyst etiketi ile bazı bilgileri paylaşan isimsiz hacker grubu, 2016 yılından bu yana Mandiant’ın ağına erişimi olduğunu iddia etti.

İddialarını ispat için Perezt’e ait -şahsi ve profesyonel- yaklaşık 32 megabayt (MB) boyutundaki veriyi ifşaa eden grup, ilerleyen günlerde daha fazla datanın paylaşılabileceğini duyurdu.

İSRAİL ORDUSU İÇİN YAPILAN ÇALIŞMA İFŞA EDİLDİ

Pastebin internet sitesi üzerinden yapılan açıklamada, “Mandiant adlı dev bir şirketin içinde olmak eğlenceliydi. Müşterilerini nasıl korumaya çalıştıklarını ve aptal analistlerin kötü yazılımları nasıl tersine çevirmeye çalıştıklarını izlemekten keyif aldık.” denildi.

İlgili haber >> Savunma devini siber güvenlik yatırımı kurtardı

Şimdiye dek sızdırılan bilgilerin Mandiant’tan aldıkları verilerin sadece küçük bir kısmı olduğu, gelecekte daha hassas bilgilerin yayınlanabileceği ifade edildi. Hackerların yayınladığı bilgiler arasında Peretz’in Microsoft hesabına giriş detayları, kontaktları, dizüstü bilgisayarından ekran görüntüleri, müşterilerle yazışmaları, sunumları, e-mail içerikleri, Mandiant ve FireEye’a ait bazı belgeler ve İsrail ordusu için hazırlanan tehdit istihbaratı profilleri var. Hackerlar ayrıca Peretz’in LinkedIn sayfasını da ele geçirdi.

ŞİRKETİN SİSTEMLERİNE GİRİLDİ Mİ?
Hackerların, Mandiant’a yönelik saldırısının altında nasıl bir motivasyon olduğu bilinmiyor. Mandiant konuyla ilgili bir açıklama yapmazken, şirketin sahibi FireEye, sızıntının Peretz’in sosyal medya hesabı üzerinden gerçekleştildiğini belirterek çalışanını suçladı.

İlgili haber >> Twitter hesabınızı 5 adımda güvenceye alın

Açıklamada konuyla ilgili bir soruşturma başlatıldığı, daha fazla sızıntının olmaması için ek tedbirlerin aldındığı ifad edilirken, FireEye veya Mandiant’ın sistemlerine sızıldığına dair bir delil bulunmadığı kaydedildi.

Siber Bülten abone listesine kaydolmak için doldurunuz!

Türkiye

Kritik rapor: Türkiye’nin jeopolitik durumu siber casusları cezbediyor

Yorum yapın

Siber güvenlik firması olan Fireeye tarafından hazırlanan yeni bir istihbarat raporuna göre, Türkiye’nin – kısmen modern ama alarm verici seviyede güvensiz olan – İnternet altyapısı adeta kötü amaçlı yazılım kaynıyor.

Amerikalı bir şirket olan Fireye bünyesindeki E-Posta ve Ağ koruması servisleri, 2016 yılında Türkiye’de bütün Avrupa’da meydana gelenden daha fazla “hedefli kötücül yazılım” olduğunu tespit etti. Fireye sözcüsüne göre bu kategorideki sızmalar; muhtemelen devlet destekli, gelişmiş ve bilinen hackerların aktiviteleri ile aynı karakteristiklere sahip.

İlgili haber >> Türkiye’nin müşterisi olduğu Cellebrite hacklendi

Güvenlik ve dış politika uzmanlarının CyberScoop’a yaptıkları değerlendirmeye göre; Türkiye’dekileri hedef alan bu kompleks siber saldırıların çok büyük kısmı, teğetsel olarak birbirlerine bağlı faktörler yüzünden devam ediyor. Bu faktörler arasında artık kullanılmayan sistemler, umutsuz jeopolitik durumlar, hükümetteki yandaşçılık ve genel olarak zayıf BT yönetimi bulunuyor.

Eski NSA analisti Blake Darche, “Ortadoğu, çoğu zaman eski işletim sistemlerinden dolayı dünya genelinde en çok kötü amaçlı yazılım istilasını yaşıyor.” diyor. Ardından da “Coğrafi olarak Ortadoğu girişinde yer alan Türkiye’yi saldırıların ana hedefi olarak görmek şaşırtıcı değil. G-20 ve üzerindeki ülkeler, Türkiye’nin mülteci krizini ele almasıyla son derece yakından ilgileniyorlar. Ve bu doğrudan G-20 ülkelerinden hedefli saldırılara dönüşüyor.” diye ekliyor.

Son birkaç yıldır, Türk şirketleri ve hükümet yetkilileri sürekli olarak siber suçların ve siber casusluğun kurbanı oldu. İki yıl önce, Anonymous, Başbakan Tayyip Erdoğan’ın çalışanlarına ait e-postaları ve diğer iletileri çaldığını iddia etti.

İlgili yazı >> Anonymous maskesi ardında kim var?

iSight’ın casusluk analizi direktörü John Hultquist, “Türkiye’de ve çevresindeki jeopolitik durum, daha büyük siber casusluk ve APT gruplarını cezbetti.” ifadelerini kullanıyor. “Bizim gördüğümüz, Türk şebekelerinde gizlenen en gelişmiş hacker gruplarından bazıları, bu da büyük oranda Suriye’den kaynaklanıyor … [Türk] siyasi gruplar, finansal kurumlar, sivil toplum, hepsini hedef alıyor.” şeklinde konuşuyor.

İlgili yazı >> Suriye Elektronik Ordusu hakkında bilmemiz gereken 10 şey

Altı ay önce, isimsiz bir hacker, yaklaşık 50 milyon Türk vatandaşının kişisel verileri olduğu ortaya çıkan 1.4 gigabayt büyüklüğünde dosyayı bir web sitesinde yayınladı. Bu büyük miktardaki veri sızıntısı, vatandaşların adlarını, adreslerini, ebeveynlerinin ilk adlarını, doğum yerlerini, doğum tarihlerini ve Türk hükümetince belirlenen ulusal kimlik numaralarını içeriyordu.

Hultquist, “Şu anda [Türkiye’de] kimlik avı e-postalardan, dezenformasyon kampanyalarına kadar her şeyden bir parça görüyoruz.” diye belirtiyor. “Bazıları sadece ISIS, Suriye ve mülteci statüsü tarafından yönlendiriliyor … Bu çatışmaya tahsis edilen kaynak miktarının gerçekten az olduğunu gösteren hiçbir bilgi yok.” diye ekliyor.

Komşu Sorunları

Küresel bir araştırma, siyaset ve işletme danışmanlık firması olan Sidar Global Advisors’un CEO’su Cenk Sidar, Türkiye’nin en güçlü iki komşusu İran ve Rusya ile tartışmalı ilişkisinin, hedefli ve karmaşık siber saldırıların öne çıkmasına önemli ölçüde katkıda bulunduğunu belirtiyor.

Çalıştığı şirket, Fortune 100 şirketlerine, yatırım fonlarına ve özel sektörün denizaşırı operasyonlarına ve yatırımlarına danışmanlık yapan bir Türk vatandaşı olan Sidar, “Rusya’nın ve İran’ın sahip olduğu ve yatırım yaptığı siber yetenekleri düşündüğünüzde Türkiye’de bu yaşananlar tesadüf değil.” diye açıklıyor.

Sidar, hafif bir kıkırdamayla “ABD’nin seçimlerinde neler yapabileceklerini gördünüz. Bu tür bir şeyin şu an Türkiye’de gerçekleşmediğini mi düşünüyorsunuz, bugün için Rusya ile ilişkiler daha mı iyi?” diye vurguluyor.

Symantec firmasında güvenlik istihbaratı üst düzey yöneticisi olan Orla Cox ise; kötü amaçlı yazılımların genellikle bölgesel veri ihlallerinin sadece bir işareti olduğunu ve genellikle bir saldırı zincirinin sonuncusu olduğunu dile getiriyor. Yani zincirin ilerisinde engellenen saldırıları veya diğer dijital müdahaleleri yansıtmıyor. FireEye’ın Türkiye için verdiği bilgilerin firmanın müşteri tabanı nedeniyle bir miktar bozulması muhtemel.

Symantec’in en son İnternet Güvenlik Tehdit Raporu’na göre Türkiye, 2016 yılında Avrupa, Ortadoğu ve Afrika’nın tüm zararlı yazılım tespitlerinin toplamının % 3.4’ünü oluşturuyordu.

Daha Yüksek Bağlantı, Daha Düşük Güvenlik

FireEye İstihbarat Üretimi Bölümü Üst Düzey Yöneticisi Nick Rossman, Türkiye’nin korsanlar tarafından neden yoğun olarak hedeflendiği konusunda jeopolitik gerginliklerin önde gelen faktörlerden biri olduğunu aktarırken, daha başka nedenlerin de bulunduğunu belirtiyor.

Mike, Türkiye’nin nispeten üstün iletişim sistemleri ve dijital güvenlik konusunda geniş çaplı bir yatırım yapılmamasının da bu konuda suçlanması gereken başka unsurlar olduğunu kaydediyor.

İlgili yazı>> Uluslararası hukuk açısından Türkiye siber saldırılara karçı ne yapabilir?

Rossman, “Türkiye, Ortadoğu’daki en iyi internet altyapılarından birine sahip ve korsanların trafik rotasının oradan çıktığını daha önce gördük. Bağlantı önemli ve Türkiye, Ortadoğu, Rusya ve İran’a da hizmet eden birçok finans kurumuna ev sahipliği yapıyor… Gerçekten de bu alanlara yaygın bir şekilde sızma var.” diye konuşuyor.

Türk gazeteci Efe Kerem Sözeri, Türkiye’nin iktidar sınıfı tarafından alınan kararlar nedeniyle bilgisayar korsanlarının Türk internet sistemlerine karşı başarı sağladığını söylüyor.

Sözeri, “[Bence] Asıl sorun – .tr DNS’den açıkça görüldüğü üzere – kötü yönetim ve [siber güvenlikte] yatırım eksikliği. Bu zayıf noktaların her ikisi de halen Türkiye’yi kolay bir hedef yapıyor. Yanlış yönetimin ve zayıf altyapının arkasında hükümet kontrolü var. İnşaat gibi diğer sektörler nispeten açıkken ve küçük işletmelerin rekabet gücü varken, medya ve iletişim sektörü hükümet partisinin sıkı kontrolü altında.” şeklinde ekliyor.

Türkiye’nin resmi alan adı sunucuları Aralık 2015’te büyük çapta hizmet engelleme saldırılarına maruz kaldı ve bu durum ülkenin İnternetinde yaygın bir aksaklığa neden oldu. Türkiye genelinde, ülkenin eşsiz iki harfli ülke koduyla biten alan adlarının, Ankara’daki NIC.tr olarak bilinen bir idari makam tarafından kayıt edilmesi gerekiyor. NIC.tr çok sayıda .tr uzantılı alan adına bakıyor ve hizmet veriyor.

Türkiye internetinin büyük kısmı bu şekilde merkezileştirildiğinden, bunun sonucunda NIC.tr’deki siber saldırılar milyonlarca Türk vatandaşını, hizmetini ve işletmesini etkileyebiliyor.

İlgili yazı >> Sizce Rus hackerlar şimdi ne yapıyordur?

Sözeri, “Kişisel güvenlik, ülke çapında altyapı kadar zayıf görünüyor.” ifadelerini kullanıyor ve şöyle devam ediyor: “Enerji Bakanı Berat Albayrak’ın e-posta sızıntısından, bazı yetkililer ve Erdoğan ailesi de dâhil olmak üzere hükümetteki kilit kişilerin gerekli tedbirleri almadığını da biliyoruz, iletişimi sağlamak için Gmail kullanıyor, kritik bilgiler için şifreleme yok.”

Geçtiğimiz haftalarda, hackleme operasyonlarının ve yanlış bilgilendirme kampanyaları NATO ülkelerini hedef aldığına dair çok sayıda rapor yayınlandı. Bu hackleme saldırıları ve siber casusluk kampanyalarının bir kısmı, özel güvenlik firmaları tarafından APT28’le bile ilişkilendiriliyor. APT28, Amerikan istihbarat topluluğu tarafından hazırlanan raporlara göre, Ulusal Demokratik Komitesi’nin hacklenmesinden sorumlu olan grup olarak biliniyor.

Sidar, “Gerçek şu ki, bizim her zaman Rusya ile hassas bir ilişkimiz oldu, 200 ya da 300 yıldır da devam ediyor. Rusların çıkarları, etkileri, Türkiye’de devam edecek… siber alanda yaşananların bazıları sadece bundan ibaret.” diye kaydediyor.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

[wysija_form id=”2″]
İran, İsrail, Uluslararası İlişkiler

Shamoon kabusu 4 yıl sonra geri döndü!

Yorum yapın

Amerikalı güvenlik firmalarına göre dört sene önce Orta Doğu enerji firmalarına ciddi zarar veren Shamoon zararlısının bir versiyonu, Kasım ortalarında Suudi Arabistan ve bölgede diğer yerlerdeki bilgisayarlara saldırmak için kullanıldı.

İlgili haber >> Shamoon’un ilk bulunduğu saldırı: ARAMCO 

Reuters’ın haberine göre CrowdStrike, Palo Alto Networks Inc ve Symantec Corp. gibi siber güvenlik firmaları geçtiğimiz hafta yeni saldırılar hakkında uyarılarda bulundular. Shamoon’un yeni kurbanları hakkında herhangi bir isim verilmezken ne kadar zararın verildiği ve hackerlerin kim oldukları konusuna dair de bir açıklama yapılmadı. FireEye bir blog yazısında bağlı ortaklığı Mandiant’ın bölgede diğer kuruluşlarda birden çok olaya karşılık verdiğini belirtti.

Disk silici kötü amaçlı yazılımlar içeren yüksek profilli saldırılar çok az sayıda olduğundan Shamoon virüsünün yeniden ortaya çıkışı dikkat edilmesi gereken bir durum oluşturuyor.  Hükümetler ve kurumlar, etkilenmiş sistemlerin yeniden yüklenmesi oldukça pahalı ve zaman kaybına neden olabileceğinden bu gibi tehditlere oldukça önem veriyorlar.

2012 yılında asıl Shamoon hackerleri Saudi Aramco’da ve RasGas Co ltd’de makinelerde yanmış bir Amerikan bayrağı görüntüsü bırakmıştı. Benzer sekilde, saldırı üzerinde çalışan araştırmacılar Shamoon-2 hackerlerinin geçen yıl Akdeniz’de boğulan Suriyeli üç yaşındaki mülteci Alan Kürdi’nin bedeninin rahatsız edici görüntüsünü bıraktıklarını söylediler.

İlgili haber >> RasGas saldırısı: Siber kıyamet habercisi mi?

CrowdStrike teknoloji departmanı şefi Dmitri Alperovitch 2012 yılındaki Shamoon saldırılarının muhtemelen İran hükümeti adına çalışan hackerler tarafından yapıldığını ancak şu an Shamoon 2 saldırısının arkasında aynı grubun olup olmadığını söylemek için çok erken olduğunu söyledi.

Symantec’in Güvenlik ekibi kendi bloğunda “Shamoon’un dört yıl aradan sonra neden aniden geri döndüğü bilinmiyor” dedi. “Fakat son derece yıkıcı kapasitesi ile saldırganların hedeflerinin bunun farkına varmalarını istedikleri açık.”

İlgili haber >> S. Arabistan kim vurduya gitti: İran mı İsrail mi?

Güvenlik firmalarına göre kötü amaçlı yazılım disk silme işleminin 17 Kasım Perşembe günü yerel saatle saat 8:45’de başlaması için tetiklendi. Suudi Arabistan’da kurumlar perşembe günü paydos yapıyor, yani öyle görülüyor ki personelin hafta sonu için ayrılmasından sonrasına zamanlanmış olması fark edilme şansını düşürüp maksimum zarar vermek için yapılmış.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

[wysija_form id=”2″]