Mercedes-Benz sistemlerindeki kritik bir ihmal, Alman otomotiv devinin ticari sırlarının ve kaynak kodlarının sızmasına neden oldu. Peki bu kritik yanlış nasıl yapıldı?
İngiliz merkezli güvenlik şirketi RedHunt Labs, Alman otomotiv devi Mercedes-Benz’in API Anahtarları ve diğer kritik bilgilerine sınırsız erişim sağlayan halka açık bir GitHub deposu keşfetti.
Otomotiv devi olayı doğrularken, sözkonusu deponun kaldırıldığını söyledi.
RedHunt Labs’tan uzmanlar, rutin internet taramasında halka açık bir GitHub deposunda bir Mercedes-Benz çalışanının kimlik doğrulama anahtarını bulduğunu açıkladı.
Söz konusu kimlik doğrulama anahtarının, Alman otomotiv devinin kritik bilgilerine “sınırsız erişim” sağlayabilecek düzeyde olduğu tespit edildi.
Uzmanlara göre GitHub’da kimlik doğrulamak için şifre kullanmaya alternatif olan bu anahtarla herkes, Mercedes’in GitHub kurumsal sunucusuna tam erişim sağlayabilir ve böylece şirketin özel kaynak kodu depolarının indirilmesine olanak sağlayabilirdi.
İlgili GitHub deposunda yer alan kritik bilgiler arasında şirkete ait belgeler, planlar, tasarımlar, bulut erişim anahtarları ve API anahtarları gibi bilgiler yer alıyordu.
Hatta uzmanlar, deponun Microsoft Azure ve Amazon Web Services (AWS) sunucularının anahtarlarını, bir Postgres veri tabanını ve hatta bir Mercedes yazılımının kaynak kodunu ifşa ettiğini doğruladı.
SEBEBİ İNSAN HATASI MI?
Mercedes sözcüsü Katja Liesenfeld, şirketin “ilgili API anahtarını iptal ettiğini ve halka açık depoyu ivedilikle kaldırdığını” söyledi.
Yaptığı açıklamada Liesenfeld, “Dahili kaynak kodunun halka açık bir GitHub deposunda insan hatası nedeniyle yayınlandığını doğrulayabiliriz. Kuruluşumuzun, ürünlerimizin ve hizmetlerimizin güvenliği en önemli önceliklerimizden biridir” ifadelerini kullandı.
Ek olarak önlemler alınacağını vurgulayan sözcü, “Bu vakayı normal süreçlerimize göre analiz etmeye devam edeceğiz. Buna bağlı olarak iyileştirici tedbirler uygulayacağız.” dedi.
Kötü niyetli aktörlerin veya siber suçluların söz konusu depoyu kullandığına dair kesin bir kanıt bulunmuyor.
Microsoft, hukuk firmalarını ve bankaları hedef alan casus yazılımın arkasındaki Avusturyalı firmayı ortaya çıkardı.
Firmadaki güvenlik araştırmacıları, bir Avusturya firmasının en az üç ülkedeki bankalara, hukuk firmalarına ve stratejik danışmanlıklara yönelik bir dizi dijital müdahalenin arkasında olduğunu söyledi.
Microsoft Tehdit İstihbarat Merkezi (MSTIC) ve Microsoft Güvenlik Müdahale Merkezi’nin (MSRC) geçtiğimiz gün yayımladıkları raporda, DSIRF adlı özel sektör paravan tehdit aktörünün hukuk firmaları, bankaları ve strateji danışmanlığı firmalarına Subzero adlı casus yazılımla saldırı gerçekleştirdiği belirtildi.
AVUSTURYALI ŞİRKET SALDIRILARIN ARKASINDA
Microsoft araştırmacılarının yayımladıkları raporda, Viyana merkezli DSIRF veya DSR Decision Supporting Information Research Forensic GmbH adlı şirketin parola veya oturum açma kimlik bilgileri gibi gizli bilgilere erişmek için Windows ve Adobe 0-day’leri kullanan “Subzero” adlı casus yazılım geliştirdiği ifadesine yer verildi
Söz konusu yazılımla Avusturya, İngiltere ve Panama’daki bankalara, hukuk firmalarına ve stratejik danışmanlık firmalarına saldırdığına dair kanıtlar bulduklarını belirten araştırmacılar, KNOTWEED olarak bilinen DSIRF’in aslında bir “özel şirket paravan tehdit aktörü” olduğunu açıkladı.
“ÖZEL SEKTÖR PARAVAN TEHDİT AKTÖRÜ” NEDİR?
Microsoft’un özel sektör paravan tehdit aktörleri olarak adlandırdığı aktörler, genellikle devlet kurumları olan müşterilerine çeşitli hack hizmetleri sağlıyor.
Söz konusu aktörlerin hizmet olarak erişim ve kiralık bilgisayar korsanlığı hizmetleri sağladıkları bilinirken, müşterilerinin hedeflerinin bilgisayarlarına, telefonlarına, ağ altyapılarına ve diğer cihazlara erişim sağlamak için siber silahlar üretip sattıkları biliniyor.
Söz konusu siber saldırı hizmetlerini satın alan devlet kurumları veya diğer aktörler bu şekilde fiili operasyonlar yürütebiliyor. Şirketler tarafından kullanılan araçlar, taktikler ve prosedürler ise yalnızca saldırıların karmaşıklığı ve ölçeğine katkı sağlıyor.
KNOTWEED ASLINDA DSIRF
DSIRF, internet sitelerinde kendisini “teknoloji, perakende, enerji ve finans sektörlerindeki çok uluslu şirketlere” hizmet veren, “bilgi toplama ve analiz etmede son derece karmaşık tekniklere” sahip olan ve bireyler ve kuruluşlar hakkında derinlemesine fikir sağlamak adına sofistike “kırmızı ekip” hizmeti sağlayan bir şirket olarak tanıtıyor.
Şirketi KNOTWEED ile ilişkilendirmeye yarayan çeşitli kanıtlar bulduklarını belirten Microsoft araştırmacıları, Subzero tarafından kullanılan C2 altyapısının ve şirketin bir istismarı imzalamak için kullandığı kod imzalama sertifikasının ve DSIRF bağlantılı bir GitHub hesabının KNOTWEED’in gerçekleştirdiği operasyonlarda kullanıldığını ortaya koyuyor.
Yayımlanan raporda, KNOTWEED olarak bilinen DSIRF’in, Windows ve Adobe 0-day’lerini kullanarak hedeflerine saldırı gerçekleştirdiğine dair direkt kanıtlar olduğunu ve aynı zamanda Subzero adlı casus yazılımı hedef cihazlara konuşlandırdığı yer alıyor.
DSIRF SUBZERO’YU GELİŞTİRDİĞİNİ KABUL ETTİ
Microsoft, en az üç ülkede kendi müşterilerinin bilgisayar sistemlerinde casus yazılımın tespit edildiğini açıklarken Avusturyalı şirketten açıklama geldi.
Casus yazılım Subzero’yu geliştirdiğini kabul eden şirket, söz konusu casus yazılımın resmî olarak yalnızca Avrupa Birliği ülkelerinde kullanıldığını ve üçüncü taraflara satılmadığını söyledi.
Avusturyalı şirketin yaptığı açıklamada, “Subzero, DSIRF GmbH Austria’nın Avrupa Birliği ülkelerinde resmî kullanım için özel olarak geliştirilmiş bir yazılımdır. SubZero, ticari kullanım için teklif edilmez, satılmaz veya kullanıma sunulmaz.” ifadeleri yer aldı.
Ayrıca şirket, “Subzero yazılımının kötüye kullanıldığı izlenimini reddeder.” açıklamasını yaptı.
Bunun yanı sıra şirket, hâlihazırda hangi Avrupa Birliği ülkelerinde Subzero yazılımının kullanıldığına yönelik soruları yanıtsız bıraktı.
DSIRF, Microsoft tarafından gündeme getirilen sorunları araştırmak için bağımsız bir uzman görevlendirdiklerini ve “sorunla ilgili işbirliği” için ABD teknoloji devine ulaştıklarını söyledi.
Avusturya İçişleri Bakanlığının yaptığı açıklamadaysa Microsoft’un iddialarının araştırılacağı belirtildi.
DSIRF’E REFERANS OLMAYI KABUL ETMEDİLER
Alman haber sitesi Netzpolitik tarafından geçen yıl yayımlanan Avusturyalı şirketin bir sunumun bir kopyasına göre, DSIRF, Subzero’yu bir hedefin bilgisayarının tam kontrolünü ele geçirebilen, şifreleri çalabilen ve yerini ortaya çıkarabilen “yeni nesil bir siber savaş” aracı olarak tanıtmıştı.
Söz konusu sunumda DSIRF, referans olarak birkaç ticari müşterisini listelemişti. Bu sunumda adı geçen şirketlerden ikisi, SIGNA Retail ve Dentons, casus yazılımı kullanmadıklarını ve şirket için referans olmayı kabul etmediklerini söyledi.
GitHub üzerinde bir süredir yer alan ve oldukça popüler hâle gelen GHunt OSINT aracı, Google hesap bilgilerinin yanı sıra diğer birçok bilgiye erişmek için de kullanılıyor.
Söz konusu araç Google hizmetlerinizden telefon modelinize, yüklü yazılımlarınızdan konumunuza kadar pek çok bilgiyi biraraya getiriyor. Toplanan bilgiler Gizlilik Ayarları’na göre değişse de böyle bir farkındalığın pek olmadığı dünyamızda elde edilen bilgiler aleyhinize kullanılabiliyor.
OSINT NEDİR?
İngilizce açılımı “Open Source Intelligent” olan Osint, internet üzerindeki tüm kaynaklardan bilgi toplama anlamına geliyor. Türkçeye “Açık Kaynak İstihbaratı” olarak çevirebileceğimiz bu terim, pasif bilgi toplama aşamalarının tamamını içeren bir süreç olarak karşımıza çıkıyor.
Genellikle hackerlar hedefleri hakkında çeşitli bilgi edinmek için bu tarz yollara başvurabiliyor. Hedefledikleri biri hakkında ne kadar fazla bilgi, ileriki safhalarda o kadar rahat olmak anlamına gelebiliyor.
GHunt OSINT NEDİR?
GHunt ise bir Gmail hesabı yardımıyla başka Gmail hesaplarından bilgi toplayan bir OSINT aracı olarak biliniyor.
Edineceğiniz bilgiler hedef kişinin Google Gizlilik Ayarları’na göre değişiklik gösterse de GHunt OSINT aşağıdaki bilgileri hedef kişiden toplayabiliyor:
Hesap Sahibinin adı
Profilin en son düzenlendiği zaman
Google kimliği
Etkinleştirilmiş Google hizmetleri (YouTube, Fotoğraflar, Haritalar, News360, Hangouts vb.)
Muhtemel YouTube kanalı
Muhtemel diğer kullanıcı adları
Herkese açık fotoğraflar (P)
Telefon modelleri (P)
Telefon yazılımları (P)
Yüklü yazılımlar (P)
Google Haritalar incelemeleri (M)
Olası fiziksel konum (M)
Google Takvim (C)
(P) ile işaretlenmiş bilgiler, hedef hesabın Google Albüm Arşivinde veya Google hesabına bağlı Picasa uygulamasında varsayılan olarak “İçerik paylaştığınız kişilerin fotoğraflarınızı ve videolarınızı indirmesine izin verin” ayarında olması gerekiyor.
(M) ile işaretlenen bilgilerse hedef hesabın Google Haritalar incelemelerinin varsayılan olarak herkese açık olmasını gerektiriyor.
(C) ile işeretlenen bilgi için de yine Google Takvim ayarlarınızın varsayılan olarak herkese açık olması gerekiyor.
Söz konusu bilgiler irili ufaklı olsa da ülkedeki ‘farkındalığın’ pek de olmadığı düşünüldüğünde Gmail hesaplarınızdan elde edilecek bilgiler ciddi durumlara yol açabiliyor.
GHUNT OSINT NASIL KURULUR?
GHunt OSINT aracını kullanmak için cihazınıza öncelikle Ubuntu kurmanız gerekiyor. Daha sonra gerek Docker ile gerekse manuel olarak Pyhton ile GHunt OSINT aracını kurabiliyorsunuz.
GHunt OSINT aracını detaylarıyla birlikte öğrenmek için linkteki GitHub sayfasına göz atabilirsiniz.
GİZLİLİK AYARLARINIZI DEĞİŞTİRİN
İnternet üzerinde araştırma yaparken, oyun oynarken, kitap okurken, müzik dinlerken vs. neredeyse her şey için üyelik istenirken Gmail hesaplarımızda birçok yere üye oluyoruz. Her yere üye olup bir de üstüne Gizlilik ayarlarımızı varsayılan neyse öyle tutuyoruz. Hatta parola da “parola123” yaparak gelin beni hackleyin diyoruz. Bu sebeple siber tehdit unsurları tarafından açık bir hedef haline geliyoruz.
Tüm bunları değiştirebilmek için, öncelikle kendi ana Gmail hesabınızın dışında internette gezineceğiniz diğer yerler özelinde başka bir Gmail hesabı açmanız faydanıza olacaktır. Tabii hem ana Gmail hesabınızı hem de yan Gmail hesabınızın Gizlilik ayarlarını üst seviyeye getirmeniz ve parolarımızı güçlü olarak belirlemeniz sizi çeşitli saldırılardan koruyabilirken hakkınızda GHunt OSINT gibi araçlardan elde edilecek bilgileri de sınırlandırmış olacaksınız.
Popüler programlama dili PHP’ye ait sunucularda keşfedilen kritik bir arka kapı zafiyeti kullanıcı verilerini tehlikeye soktu. Firmada yapılan bir iç denetim sırasında yapılan güvenlik testlerinde geçen ay gerçekleşen siber saldırıda yazılımın bulunduğu Git deposunda kullanıcıların parolarını ihtiva eden veri tabanına erişildiği tespit edildi.
Araştırmacı Nikita Popov, 6 Nisan’dayayımladığı mesajda, “git.php.net sunucusunun ele geçirildiğine pek ihtimal vermesek de master.php.net kullanıcı veritabanının sızdırıldığı ihtimaller dahilinde.” değerlendirmesinde bulundu.
Tehdit aktörleri, 28 Mart’ta Rasmus Lerdorf ve Popov adlarını kullanarak yazılım tedarik zinciri saldırısı başlatmak için PHP kaynak kodlarına arka kapı eklediği git.php.net sunucusu üzerinde çalıştırılmak üzere “php-src” git deposuna zararlı kodlar yolladı.
ÖNCE ZARARLI YAZILIMDAN KUŞKULANDILAR
İlk olarak git.php.net sunucusuna olası bir saldırı konusunu ele alan araştırmacılar, yaptıkları çalışmalardan sonra siber saldırganların, HTTPS ve parola tabanlı kimlik koruma kullanarak yolladıkları zararlı yazılımlar vasıtasıyla master.php.net kullanıcı veritabanının sızdırıldığından şüphelendi.
Popov, “git.php.net, değişiklikleri yalnızca SSH (Gitolite, Git depolarında erişimi kontrol etmek için kullanılan bir ara katman ve açık anahtarlı şifreleme kullanarak) ile değil HTTPS ile de destekliyor. Saldırganlar, gitolite kullanmayan HTTPS’de master.php.net kullanıcı veritabanına karşıApache 2 Digest kimlik doğrulamasının arkasında git-http-backend kullandı.” ifadelerini kullandı.
Ayrıca Popov, “Siber saldırganların kullanıcı adlarını birkaç tahminle bulması ve doğru kulllanıcı adlarını bulduktan sonra başarılı bir şekilde kimlik doğrulama yapması dikkat çekici. Bunun için spesifik bir kanıtımız olmasa da ve saldırganların bu saldırıda neden kullanıcı adlarını tahmin ettiği belirsiz olsa da ihtimal dahilinde olan şey master.php.net kullanıcı veritabanının sızdırılmış olmasıdır.” diye konuştu
Parolalar Olaydan Sonra “Read Only” Biçiminde Kaydediliyor
Tüm bunların yanında master.php.net kimlik doğrulamasının eski bir işletim sistemine dayandığı ve siber saldırganların da muhtemelen sistem içindeki güvenlik zafiyetlerinden yararlandığı düşünülüyor.
PHP programlama dili geliştircileri master.php.net’i, TLS 1.2’nin desteklendiği yeni bir main.php.net sistemine taşıdı. Ayrıca önlem olarak var olan tüm parolaların sıfırlanmasının yanında parolalar MD5 yerine bcrypt kullanılarak depolandı.
Popov ayrıca daha önce parolaların, git.php.net ve svn.php.net üzerinde bit HTTP doğrulaması gerektiren HTTP besleme sisteminde saklandığını hatırlattı. Siber güvenlik uzmanı söz konusu saldırıdan sonra parolaların yalnızca okumaya (read only) izin verecek şekilde kayıt edildiğini sözlerine ekledi.
Siber güvenlik araştırmacıları, “tedarik zinciri saldırısı” olarak bilinen SolarWinds siber saldırısını araştırmaya devam ederken, Teksas merkezli yazılım firmasının üst düzey yöneticileri, saldırının zayıf parola kullanan bir stajyerden kaynaklandığını duyurdu.
“solarwinds123” şeklindeki söz konusu parolanın yanlış yapılandırmanın ortaya çıkarıldığı 22 Kasım 2019 tarihinden önce 17 Haziran 2018’den bu yana bir GitHub deposu aracılığıyla kamuya açık olduğuna inanılıyordu. Ancak geçtiğimiz cuma günü Senato’da düzenlenen oturumda SolarWinds’in CEO’su Sudhakar Ramakrishna, parolanın 2017’nin başından beri kullanımda olduğunu ifade etti.
Saldırı ile ilgili ön soruşturma, casusluk kampanyasının arkasındaki saldırganların, ‘Sunburst’ kötü amaçlı yazılımı yüklemek için Ekim 2019’da SolarWinds Orion platformunun yazılım oluşturma ve kod imzalama alt yapısını ele geçirmeyi başardığını ortaya çıkarırken, Crowdstrike’ın saldırıya müdahale ekipleri, 4 Eylül 2019’da SolarWinds ağına ilk sızmayı tespit eden revize edilmiş bir zaman çizelgesine işaret etti.
EN AZ 9 DEVLET KURULUŞU HEDEF ALINDI
Bugüne kadar, en az dokuz devlet kurumu ve 100 özel şirkete, müşterilerin gizliliğini ihlal etme amacıyla düzenlenen saldırı, Orion Software Platform’a kötü amaçlı yazılımın yüklenmesini içeren gelmiş geçmiş en sofistike ve iyi planlanmış operasyonlardan biri olarak tanımlanıyor.
ABD Temsilciler Meclisi’nin Kaliforniya Temsilcisi Katie Porter, “Çok fazla Youtube izlemelerini engellemek için çocuklarımın tabletlerine koyduğum parola bile ‘solarwinds123’ den daha güçlü” şeklinde açıklama yaptı.
Ramakrishna, Porter’a cevaben yaptığı açıklamada “Bunun, 2017’de bir stajyerin güvenlik ekibimize bildirilir bildirilmez kaldırılan ve sunucularından birinde kullandığı bir parola olduğuna inanıyorum” dedi. Eski CEO Kevin Thompson da Ramakrishna’nın ifadesini tekrarladı. Thompson,” Bir stajyerin yaptığı hatayla ilgili bir sorun yaşadık. Parola politikalarımızı ihlal ettiler ve bu parolayı kendi özel GitHub hesabına gönderdiler ” dedi.
Güvenlik araştırmacısı Vinoth Kumar, geçtiğimiz aralık ayında şirketi halka açık bir GitHub deposu konusunda uyarmıştı. Söz konusu GitHub deposu şirketin indirme web sitesinin FTP kimlik bilgilerini sızdırıyordu. Bu da bir hackera zararlı bir çalıştırılabilir dosya yükleme ve bunu bir SolarWinds güncellemesine ekleme imkanı veriyor. Saldırının açığa çıkarılmasını takip eden haftalarda, SolarWinds’e Ocak 2021’de toplu dava açıldı. Davanın gerekçesi şirketin 2020’nin ortalarından bu yana, SolarWinds Orion takip ürünlerinin hackerlara bu ürünlerin çalıştığı sunucuyu ele geçirmesine izin veren bir güvenlik açığına sahip olması ve “SolarWinds güncelleme sunucusunun solarwinds123 gibi kolayca erişilebilen bir parolaya sahip olması idi.
NASA VE FAA DA HEDEF ALINDI
Operasyonun arkasındaki tehdit aktörünün hedeflerini dikkatli bir şekilde seçmiş olsa da SolarWinds’in 18 bine yakın müşterisinin truva atı haline getirilmiş Orion güncellemesi aldığına inanılıyor. Saldırganların Microsoft, FireEye, Malwarebytes, CrowdStrike ve Mimecast ağlarına sızmanın yanı sıra, Solarwinds’i Ulusal Havacılık ve Uzay Dairesi (NASA) ve Federal Havacılık Dairesi’ne (FAA) sızmak için bir atlama noktası olarak kullandığı belirtiliyor. Gizliliği ihlal edilen diğer yedi kurumun Adalet, Ticaret, İç Güvenlik, Enerji, Hazine bakanlıkları ile Ulusal Sağlık Enstitüleri olduğu açıklandı.
Microsoft Başkanı Brad Smith, senatoda düzenlenen oturumda yaptığı açıklamada, ek olarak, diğer ülkelerdeki kamu ve özel sektör mağdurlarını belirlediklerini ve bulut göçünün Amerika Birleşik Devletleri’nde olduğu kadar gelişmiş olmadığı dünyanın diğer bölgelerinde henüz tespit edilmemiş başka mağdurların olduğuna inandıklarını ifade etti.
Rus orijinli olduğu iddia edilen tehdit grubu, UNC2452 (FireEye), SolarStorm (Palo Alto Unit 42), StellarParticle (CrowdStrike) ve Dark Halo (Volexity) dahil olmak üzere farklı takma adlar altındatakip ediliyor.
Ulusal Güvenlik Danışmanı Yardımcısı Anne Neuberger, geçen ay Beyaz Saray’da yaptığı açıklamada, hackerların içeriden bir saldırı başlattıklarını bunun da ABD hükümetinin faaliyetlerini gözlemlemesini zorlaştırdığını söylemişti. “Bu, izlerini gizlemek için elinden gelenin en iyisini yapan sofistike bir aktör. Bu saldırıyı planlamanın ve gerçekleştirmenin aylar sürdüğünü düşünüyoruz.”
Siber Bülten abone listesine kaydolmak için formu doldurunuz
