Etiket arşivi: GameOver Zeus

Dünyanın önemli siber tehdit platformlarından Abuse.CH’nin kurucusu hikayesini Siber Bülten’e anlattı: Her şey bir blogla başladı

18 Mayıs 2022 Siberbülten Editoryal Yorum yapın

Tehdit istihbaratının önemli isimlerinden Roman Hüssy, her geçen gün siber saldırı yüzeyinin genişlediğini hatırlatarak tehditlere karşı uluslararası iş birliğininin önemine dikkat çekti.

Siber Bülten’e konuşan abuse.ch girişiminin kurucusu İsviçreli tehdit istihbaratı uzmanı, önemli açıklamalarda bulundu:

Siber Bülten: abuse.ch girişimini başlatmaya nasıl karar verdiniz?

Roman Hüssy: Aslında biraz tesadüfi gelişti. 15 yıldan fazla önce çeşitli IT konuları hakkında blog yazmaya başladım. Bu yazılar arasında okuyuculardan en çok ilgiyi gören yazıların siber güvenlikle ilgili olduğunu fark ettim. Birçok okuyucunun siber güvenlikle ilgili olduğunu keşfettim.

Siber Bülten: Girişimin arkasındaki fikir nedir?

Roman Hüssy: Siber güvenlik şirketlerinin, güvenlik uzmanlarının, hükümetlerin ve kolluk kuvvetlerinin siber tehditler hakkında güvenilir, hayata geçirilebilir teknik bilgileri aradıklarını anladım.

Bu yüzden geçen 15 yılda güvenlik araştırmacılarının böyle bilgileri paylaşabileceği birçok açık tehdit istihbaratı (Open Threat Intelligence) platformu kurdum ve yayımladım.

Siber Tehdit İstihbaratının gözdesi: OpenCTI nedir?

Amaç mümkün olduğunca çok kuruluşu ve internet kullanıcısını korumak. Aynı zamanda güvenlik güçlerine de tehdit aktörlerini tespit etmekte yardımcı olmak.

Siber Bülten: abuse.ch girişiminin nasıl bir endüstri olmasını umuyorsunuz?

Roman Hüssy: İlk başta, abuse.ch benim boş vakitlerimde internet kullanıcıların faydası için kâr amacı gütmeden yürüttüğüm özel bir girişimimdi.

Bununla beraber proje hızlı bir gelişme gösterdi. Proje bugün sadece platformlar geliştirmiyor tehdit avı da gerçekleştiriyor ama aynı zamanda milyon dolarlık rakamlarla ifade edilen büyük bir alt yapıyı da koruyor.

“PLATFORM MİLYONLARCA KİŞİYE HİZMET VEREN FİRMALARCA KULLANILIYOR”

Siber Bülten: Bu kadar yıl sonra abuse.ch girişiminin durumunu nasıl değerlendiriyorsunuz?

Roman Hüssy: 2021’den bu yana proje İsviçre’de Bern Uygulamalı Bilimler Üniversite’sinin (BFH) ev sahipliğini yaptığı kâr amacı gütmeyen bir araştırma projesiydi.

Projenin alt yapısı ve personel giderleri tamamen bağışlara dayanıyor.

Şu anda her gün milyonlarca internet kulllanıcısına hizmet veren birçok güvenlik ürünü satıcısı ve tehdit istihbaratı firmaları abuse.ch tarafından sağlanan bilgiyi kullanıyor. Ama bizim sağladığımız tam olarak bilgi değil. Mesela İnternet Tahsisli Sayılar ve İsimler Kurumu (ICANN) ve AB Komisyonuna da teknik uzmanlığımızla destek veriyoruz.

Siber Bülten: Şu anda girişim içim kaç kişi çalışıyor?

Roman Hüssy: Kısıtlı finansal kaynaklardan dolayı çalışanlar ben ve bizzat kendim sadece…

Siber Bülten: Kaç sponsorunuz var?

Roman Hüssy: Abuse.ch girişimine sponsorluk desteği veren 15 kuruluş var. Sponsorlar arasında bazı akademik kuruluşlar da var.

Siber Bülten: Onlarla nasıl bir ortaklık ya da iş birliğiniz var?

Roman Hüssy: Akademik kuruluşlara siber tehditler konusunda araştırmalara destek olması için geniş çaplı veri setleri sunuyoruz.

“ULUSLARARASI SİBER OPERASYONLARA KATILDIK”

Siber Bülten: Abuse.ch’nin daha önce yürüttüğü bir indirme (take down) operasyonu oldu mu?

Roman Hüssy: 2014 yılında, ABD Adalet Bakanlığı ile Game “Gameover ZeuS” ve “Cryptolocker” botnetine yönelik operasyona katıldık.

2015’te ise FBI ile Bugat botnetine yönelik operasyona katıldık.

Ayrıca network operatörlerinin ve hosting hizmeti veren firmaların istismar raporlarına ne kadar zamanda tepki verebildiğini ölçüyoruz. En güncel istatistikler internet sitemizde yer alıyor.

Siber Bülten: Abuse.ch bilgi platformunun bilgi paylaşımında kaliteyi nasıl geliştirdiniz?

Roman Hüssy: Yazılımı büyük kısmını ben boş vaktimde geliştiriyorum. Bununla beraber platformlarımızı geliştirmek için sıklıkla açık kaynak yazılım kullanıyoruz.

Siber Bülten: Siber güvenlikte tehdit istihbaratının en temel sorunlarından biri olduğu dikkate alındığında, abuse.ch gibi açık kaynak platformların problemin çözümünde ne ölçüde işlevsel olacağını düşünüyorsunuz?

Roman Hüssy: Siber tehdit istihbaratı bugünlerde önemli bir iş haline geldi. Bu tarz veri satan çok firma var.

Böyle satıcılara bilgilerimizi ticari olarak kullanma hakkı veriliyor. Biz de internet kullanıcılarının faydası için bu tür bir paylaşımı ücretsiz olarak gerçekleştirmek istiyoruz.

SOCRadar: Dark Web’de Türkçe konuşulan grupların sayısı artıyor

Siber Bülten: Açık kaynak platformlarıyla ve tehdit istihbaratı firmaları arasında bir rekabet var mı?

Roman Hüssy: Öyle düşünmüyorum. Birçok tehdit istihbaratı firması abuse.ch’dan sağladıkları bilgileri ürünlerine ekliyorlar. Bu yüzden geniş bir kitleye ulaşıyoruz.

“ÇOĞU FİRMA BİR TIKLAMAYLA BÜYÜK SALDIRILAR GERÇEKLEŞTİĞİNDEN HABERSİZ”

Siber Bülten: Tehdit aktörleri kendi aralarında paylaşım ve iş birliği konusunda daha iyi olduğunu görüyoruz. Savunma alanında kuruluşların daha etkin bir iş birliği yapmasını engelleyen faktörler neler?

Roman Hüssy: IT güvenliği araştırmacıları arasında arka planda çok bilgi paylaşımı yapılıyor. Hepimiz daha iyi bir internet için mücadele ediyoruz. Asıl meselenin bazı firmaların siber güvenlikteki en iyi uygulamaları kullanmamalarından kaynaklandığını düşünüyorum.

Birçok şirket siber saldırıyla karşılaşmayacağına inanıyor. Dünyanın herhangi bir yerinde herhangi bir teknoloji meraklısının bir tıklamayla tüm internette tarayıp bulduğu zafiyetlere sahip cihazlara kitlesel saldırılar düzenleyebileceğini bilmiyorlar.

Siber Bülten: Siber tehditler her geçen gün daha da karmaşık bir hal alıyor. 15 yıldan fazla bir süredir tehdit alanını takip eden birisi olarak gelecek için tahminleriniz neler?

Roman Hüssy: Bunu söylemek zor. Hiç fidye yazılım saldırısı tahmin etmedim. Ne kadar çılgınca bir iş.

Genel olarak yakın zamanda herhangi bir ilerleme olacağını düşünmüyorum. Her gün daha çok cihaz internete bağlanıyor. Sonuç olarak saldırı yüzeyi büyüyor. Aynı zamanda güvenlik güçleri için bizim her gün gördüğümüz siber saldırılardan sorumlu tehdit aktörlerini yakalamak zor. Siber saldırılara karşı alt yapımızı güçlendirmeli ve tehdit aktörlerini soruşturmak için uluslararası iş birliğimizi geliştirmeliyiz.

Makale & Analiz

Sizce Rus hackerlar şimdi ne yapıyordur?

25 Kasım 2015 Minhac Çelik 3 Yorum

Yakın geçmişteki hadiseler devletler arasında yaşanan çekişme ve çatışmaların siber alana yansımasının gecikmediğini gösteriyor. Gerek devlet yönetimleri, gerek terör örgütleri gibi çok uluslu yapılar asimetrik bir güç unsuru olan siber alan kabiliyetlerini kullanmada tereddüt etmiyor.

Geçtiğimiz günlerde tüm dünyayı sarsan terör saldırıları sonrasında, IŞİD’e karşı Anonymous’un başlattığı kampanya bu yaklaşımın en taze örneklerden biri olarak karşımızda duruyor. Çin-ABD, İran-İsrail, Rusya- Ukrayna gibi aktörlerin müdahil olduğu siber saldırılar artık uluslararası medyanın rutin haberleri arasında yerini almaya başladı.

Bu açıdan değerlendirildiğinde, 24 Kasım günü Suriye sınırında Türk jetleri tarafından Sukhoi SU-24 savaş uçağının düşürülmesiyle başlayan Rusya-Türkiye diplomatik geriliminin de siber alana taşınması yüksek bir ihtimal olarak ele alınabilir.

Çünkü Rusya bunu hep yapıyor.

Moskova yönetiminin siber alanda bedel ödetme geçmişine baktığımızda, Rus hackerların sabıkasının kabarık olduğunu görmek hiç de zor değil. 2007 yılında Estonya, yaklaşık bir ay boyunca siber saldırılara uğramış, sonunda NATO’dan yardım istemek zorunda kalmıştı. Eston ve Rus hükümetleri arasında yaşanan bir diplomatik anlaşmazlık sonrasında başlayan saldırıları, Kremlin ile yakın ilişkileri bulunan Russian Business Network adlı hacker grubu üstlenmişti.

Rus Ordusu’nun işgaline uğrayan Ukrayna da, Rus hackerların hedefi olmaktan kaçamadı. Sayısız örnek arasında dikkat çekilmesi gereken önemli saldırı teşebbüslerinden biri olarak, Rusya kaynaklı CyberBerkut grubunun seçim sonuçlarına müdahale etmek için Ukrayna Merkezi Seçim Komisyonuna kötücül yazılım yerleştirmesini unutmamak gerek.

Yakın zamanda ortaya çıkan başka bir Rusya kaynaklı siber saldırı, Moskova’nın siber kabiliyetini nasıl siyasi ve stratejik amaçlar için kullandığını bir kez daha gözler önüne serdi. Amsterdam’dan yola çıkan ve Kuala Lumpur’a giderken Ukrayna hava sahasında düşürülen Malezya uçağıyla ilgili soruşturmayı yürüten kurumlara, Pawn Strom adlı Rus hacker grubunun siber espiyonaj operasyonu düzenlediği ortaya çıkmıştı.

Peki ya Türkiye?

Rusların siber alandaki hedefleri arasında Türkiye de yer alıyor. Birçok örnekten sadece biri olarak Ağustos ayında ortaya çıkan GameOver Zeus zararlısı verilebilir. FBI’ın yürüttüğü bir soruşturma sonucunda, Rus hackerların Türk devlet kurumlarının sistemlerinde Suriye ile ilgil bilgi / belge aradıklarına dair önemli deliller ortaya konuldu.

Maalesef sadece bu kadar da değil. Geçen sene siber güvenlik camiası merkezinde Türkiye olan önemli bir haber ile çalkalandı. Bloomberg’in haberine göre 2008 yılında Rus hackerlar Bakü-Tiflis-Ceyhan boru hattında patlamaya yol açan bir siber saldırı düzenledi. Bu operasyonun o zamanlar Rusya’nın savaş ilan ettiği Gürcistan’ı hedef aldığı iddia edilmişti. Türk yetkililer ise patlamanın PKK saldırısıyla gerçekleştiği açıklamasını yapmıştı.

Rus hackerlar bir yandan Kremlin ile işbirliği içerisinde devletlerinin jeopolitik hedefleri için klavye başında ter dökerken, diğer taraftan siber suç dünyasında da ciddiye alınması gereken bir şöhret edinmiş durumda. Özellikle finansal kurumları hedef alan zararlı yazılımlar ile milyonlarca dolar ‘çarpan’ Rus bilgisayar korsanları güvenlik birimlerinin aranan listelerinde ön sıralarda yer alıyor. Örneğin FBI’ın en çok aranan hackerlar listesinin ilk 3’ünde 2 Rus vatandaşı bulunuyor.

Rusya’nın siber operasyonları akla önemli bir soruyu getiriyor. Siber güvenlik konusunda ciddi eleman açığı yaşanırken, Rusya bu operasyonları nasıl yapabiliyor? Devlet için çalışan hackerları nasıl buluyor? Onlar ile nasıl bir ilişki içinde?

Devlet için çalışan hackerları siber suçlulardan ayıran temel bir özellik bulunuyor. Devlet için çalışanların ana motivasyonu ‘vatanseverlik’ iken, siber suçluları maddi kazanç motive ediyor. Yani ilki devletinin stratejik hedeflerini yerine getirmede yardımcı olmak için siber saldırı düzenliyor. Siber suçlular ise bunu bir geçim kaynağı olarak yapıyorlar.

Devlet için çalışan hackerları ele aldığımızda da karşımızı iki ayrım çıkıyor. Biri devletin istihdam ettiği ‘memur hackerlar’ (Çin örneğinde olduğu gibi) diğeri ise legal sorunlardan dolayı devlet ve hackerlar arasında organik bir bağ olmayan ‘paramiliter hackerlar’ (Rusya).

Yazının konusu Rusya olduğu için Rus devletinin hackerlar ile nasıl bir ilişki kurduğunu kısa örnekler ile özetlemeye çalışalım. Estonya saldırısını üstlenen ve NATO tarafından tehdit olarak görülen tek hacker grubu olan Russian Bussines Network’ün –RBN- bir dönem yöneticiliğini Flyman kod adlı bir hacker yaptı. Bu siber saldırganın sanal alemde kimliğini gizlese de, St. Petersburg’lu ünlü bir politikacının yeğeni olduğu ortaya çıkması gecikmedi. Flyman’in bu bağlantısı sayesinde güvenlik güçlerinden saklanma gereği duymadığı haberi medyada yer aldı. Aynı şekilde RBN’nin hiç bir sunucusu kapatılmadı, hiç bir üyesi hakkında kovuşturma açılmadı. Üstelik bu grubun Çeçen sitelerine yaptığı saldırıların illegal olmadığı resmi ağızlar tarafından ilan edildi.

Rus güvenlik birimlerinden Milli Anti-terörizm Merkezi’nin (NAC) açıkça devlet için çalışacak hacker aradığı bilinen bir gerçek. RBN içerisinde aktif olan Anton Moskla’nın NAC aracılığıyla bulunduğu tahmin ediliyor. Putin’in gençlik örgütü olarak bilinen NASHİ de yetenekli hackerlar ile devlet arasında bağ kuran başka bir organizasyon. Örneğin bir NASHİ yetkilisi olan Konstantin Goloskov’un Estonya saldırılarında etkin rol aldığı iddia edildi. Daha şaşırtıcı olan ise, Goloskov’un birkaç yıl sonra Rus alt parlamentosu DUMA milltevekili Sergei Marko’nun asistanı oldu.*[1]

Yukarıda bahsedilen örnekler Rusya’nın hackerlara sadece istihbarat ve teknik destek değil aynı zamanda koruma ve kollama hizmeti sunduğunu da gösteriyor.

Bu noktada sorulacak soru, muhtemel Rus saldırılarına karşı bizim nasıl bir savunma stratejimiz var?

Endişelenmemiz gerekiyor mu?

[1] Ohri’de 2014 yılında NATO tarafından düzenlenen ‘Terrorist Use of Cyberspace’ konferansında yapılan sunumdan alınan bilgilerden derlenmiştir. Sunumun tamamı için minhac@siberbulten.com ‘a mail atabilirsiniz.

HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ

[wysija_form id=”2″]

Türkiye, Uluslararası İlişkiler

Rus hackerlar Türk devlet kurumlarında ‘Suriye’yi aramış

19 Ağustos 2015 Ergün Varlık 1 Yorum

GameOver Zeus adlı bot yazılımın arkasındaki ekibin, banka hesaplarını boşaltmanın yanı sıra aralarında Türkiye’nin de olduğu pek çok ülkede casusluk yaptığı öne sürüldü.

Amerikan federal ajanları ile iki üstdüzey güvenlik uzmanı, GameOver ZeuS botnet’in sadece bankalardan 100 milyon dolar çalmakla kalmadığını ayrıca içinde Türkiye, Gürcistan ve bazı petrol üreten ülkeleri de geliştirdikleri yazılımla gözetlediklerini açıkladı.

İLGİLİ HABER >> TÜRKİYE’DEKİ PATRIOTLAR HACKER KURBANI MI?

Sanal güvenlik haberlerine yer veren CSO adlı sitedeki habere göre, Türkiye’de devlet kurumlarının hedef alındığını ve sanal korsanların Suriye krizine yönelik de bilgi bulmaya çalıştığı kaydedildi. Ayrıca korsan grubu, Gürcistan’da da istihbarat birimi ile devlet kurumlarına saldırdığı ifade edildi.

Fox-IT’in üstdüzey güvenlik uzmanı Michael Sandee, Rus makamların, botnet yazılımının arkasındaki isimlerden Evgeniy Bogachev’in hırsızlıklarına, siyasi avantaj sağladığı için göz yummuş olabileceğine dikkat çekti.

İLGİLİ HABER >> TÜRKİYE’DEKİ ŞİRKETLER GÜVENDE Mİ?

Sandee, “Tabii bu bir spekülasyon olarak kalıyor şimdilik ama hala tutuklanmamasının nedenlerinden de biri” diye konuştu. Amerikan federal ajansı, Bogachev için 3 milyon dolarlık bir ödül koymuştu.

Aralarında Bogachev’in olduğu ve “Business Club” olarak nam salmış olan grubun, çok gizli bir yapıda olduğu ve çoğunluğunu da Rus ve Ukraynalıların oluşturduğu bildirildi.

Fox-IT Ürün Direktörü Eward Driehuis, 7 rakamlı hırsızlıkların arkasında dünya genelinde 200 kadar kişinin olduğuna dikkat çekti. “Bu gruba girmek çok zor. Çok güvenmeleri gerekiyor. Altyapıları da çok iyi korunuyor. Olabildiğince sıkı tutuyorlar” ifadelerini kullanıyor Driehuis.

Zeus adlı botnet yazılımı ilk önce 2005 yılında ortaya çıktı. İkinci versiyonu 2009’da ortaya çıkan yazılımın, 2010 ve son olarak da GameOver ZeuS adıyla 2011’de yayımlandı.

İLGİLİ HABER >> OBAMA KİMSEDEN ÇEKMEDİ RUS HACKERLARDA ÇEKTİĞİ KADAR

Suçlular, bilgisayarınızı bir bot’a (zombi olarak da bilinir) çevirebilen kötü amaçlı yazılımları dağıtırlar. Böyle bir durumda bilgisayarınız, sizin haberiniz olmadan Internet üzerinden otomatik görevleri gerçekleştirebilir.

Suçlular genelde çok sayıda bilgisayarı etkilemek için bot kullanırlar. Bu bilgisayarlar da bir ağ veya botnet oluştururlar.

Suçlular botnetleri, istenmeyen e-posta mesajları göndermek, virüsleri yaymak, bilgisayar ve sunuculara saldırmak ve diğer türlerdeki suçları işlemek ve sahtekarlıklarda bulunmak amacıyla kullanır.

Bir botnetin parçası olması durumunda bilgisayarınız yavaşlayabilir ve istemeden suçlulara yardımcı olabilirsiniz.