Etiket arşivi: Google Drive

Çin, Dijital Güvenlik, Siber Güvenlik

Çinli hackerlar Katolik gazeteci taklidi yaparak Vatikan hakkında bilgi toplamış

Yorum yapın

Vatikan ve Pekin arasında diplomasi yürüten kuruluşları hedef alan bir hackleme kampanyasının açığa çıkmasından aylar sonra, bilgisayar korsanlarının operasyonlarına devam ettiği ortaya çıktı.

Recorded Future adlı güvenlik şirketinden araştırmacılar Mustang Panda adlı bir grupla bağlantılı hackerları, ilk olarak temmuz ayında gündeme getirmiş, söz konusu grubu tarihsel olarak hassas bir konu olan Çin’deki Katolik Kilisesi’nin operasyonlarıyla ilgili müzakereleri yürüten hedeflere karşı casusluk yaptıkları iddiası ile suçlamıştı.

Recorded Future, hackerlık hakkındaki araştırmasını yayınladıktan sonra, saldırganlar operasyonlarını yalnızca iki hafta ara vermek suretiyle aynı araçlarla devam ettirmişlerdi.

FARK EDİLMEMEK İÇİN SALDIRI ARAÇLARINI GÜNCELLEDİLER

Son yayınlanan Proofpoint araştırmasına göre, bu kez saldırganlar fark edilmemek için kötü amaçlı yazılım yerleştirme tekniklerinde güncellemeye gitti. Proofpoint’e göre hackerlar bu yılın başlarında, “RedDelta PlugX” adlı bir PlugX varyantı olan uzaktan erişim truva atını kullanarak diplomatik varlıkları hedef alırken, şimdi hedeflerinin peşinden gitmek için bir programlama dili olan Golang’de yazılmış yeni bir tür kötü amaçlı yazılım kullanıyorlar.

Son hacker saldırısı, Katolik Asya Haberleri Birliği’nden gazetecileri taklit ettiği anlaşılan aldatıcı e-posta başlıklarını içeriyor. Saldırı ayrıca Vatikan ile Çin Komünist Partisi arasında yakın zamanda yenilenen geçici anlaşmaya atıfta bulunan sosyal mühendislik yemlerinin kullanımını içeriyor.

Apple’ın açığını bulan Ünüver: Elimizde henüz bildirmediğimiz zafiyet var

Proofpoint araştırmacıları, son değişikliklerin “RedDelta” veya “TA416” olarak da bilinen Çin bağlantılı aktörleri izlemeyi kısmen daha zor hale getirirken araştırmacıları tamamen karanlıkta bırakmadığını söyledi.

Araştırmacılar konuyla ilgili bir blog yazısında şu değerlendirmelere yer verdi: “Söz konusu grup, güvenlik araştırmacıları tarafından deşifre edildikçe, saldırı araçlarını değiştirme yoluna gidiyorlar. Böylece haklarında yapılan analizleri boşa çıkartıyorlar ve tespit edilmelerinin önüne geçmiş oluyorlar. Veri yüklerindeki temel değişiklikler, operasyonları TA416 ile ilişkilendirme zorluğunu büyük ölçüde artırmasa da virüs bulaştırma zincirinden bağımsız kötü amaçlı yazılım bileşenlerinin otomatik olarak algılanmasını araştırmacılar için daha zor hale getiriyor.”

HEDEFTE ÇİN-VATİKAN DİPLOMATİK İLİŞKİLERİ VAR

En son bulgular, hackerların Vatikan ile Çin Komünist Partisi arasında diplomatik faaliyetlerde bulunan kuruluşlar hakkında istihbarat toplama niyetinde olduklarının kanıtı. Proofpoint’e göre, saldırıların yeniden başlatılması, Vatikan’ın Pekin ile Çin’deki piskoposların atanması konusunda anlaşmayı uzattığını resmi olarak açıklamasından birkaç gün önce gerçekleşti. Pekin daha önce eylül ayında Çin’deki Katolik Kilisesi’nin statüsü konusunda bir uzlaşmaya varıldığını duyurmuş olsa da Vatikan 1951’de Çin ile diplomatik ilişkileri kestiğinden beri Çin’deki Katoliklik hakkındaki bilgiler Çin hükümeti tarafından uzun yıllardır büyük ilgi görüyordu.

MYANMAR VE AFRİKA DA SALDIRGANLARIN HEDEFİNDE

Bilgisayar korsanları, son zamanlarda Myanmar’daki kuruluşları ve Afrika’da diplomasi yürüten kuruluşları da hedef alıyordu. Son bulgular bilgisayar korsanlarının son aylarda görev değişiklikleri yapmış olabileceğini öne sürüyor. Recorded Future araştırmasına göre hackerlar, son aylarda Hindistan ve Endonezya’daki devlet kuruluşlarının yanı sıra Hong Kong ve Avustralya’daki kimliği belirsiz kuruluşları da hedef alıyor.

Proofpoint, kötü amaçlı dosyaların ilk olarak nasıl yerleştirildiğine dair bir bilgiye sahip değil, ancak hacker grubu, geçmişte, PlugX adlı kötü amaçlı yazılımları dağıtabilen spam içerikli Google Drive veya Dropbox URL’lerine sahip kimlik avı e-postalarını kullandığı bilinen bir durum.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

ABD, Teknik

BM’den dev veri sızıntısı

Yorum yapın

Birleşmiş Milletler (BM), popüler iş takip uygulaması Trello’yu, ekip içi iletişim uygulaması Jira’yı ve online ofis uygulaması Google Docs’ı yapılandırırken yanlışlıkla şifreler, şirket içi dökümanlar ve web siteleri hakkında teknik bilgileri yayınladı.

Hata, gizli kalması gereken malzemeleri uygun bir link ile erişim hakkı olan kullanıcılar yerine herkesin erişimine açık hale getirdi. Etkilenen veriler arasında Birleşmiş Milletler’e ait bir dosya sunucusu için kimlik bilgileri, BM’ye ait bir dil okulundaki video konferans sistemi ve ABD’nin İnsani İşler Koordinasyon Ofisi’nin web geliştirme ortamı bulunuyor.

Kazara gerçekleşen sızıntıyı keşfeden Güvenlik Araştırmacısı Kushagra Pathak, bir aydan fazla bir süre önce bulduğu sızıntı hakkında BM’yi bilgilendirdi. Açığa çıkan malzemenin çoğu sözkonusu bilgilendirmeden sonra geriye çekilmiş görünüyor.

Pathak bir çevrimiçi sohbette yaptığı açıklamada Google’da arama yaparken hassas bilgileri bulduğunu söyledi. Aramalar, bazılarının kamusal Google Dokümanlar ve Jira sayfalarına bağlantılar içerdiği genel Trello sayfalarını ortaya koydu.

Trello projeleri “kartlar” olarak adlandırılan görev listelerini içeren “panolar” aracılığıyla organize ediliyor. Panolar kamuya açık veya belirli kullanıcılara özel olabiliyor. Pathak, BM tarafından yönetilen kamuya açık bir Trello panosunu bulduktan sonra, bazı hileler kullanarak kamuya açık başka BM panolarını buldu. Bu hileler “bir Trello panosunun kullanıcılarının diğer bazı panolarda da aktif olup olmadıklarını kontrol etmek gibi” eylemler içeriyordu.

Bir Trello panosu, kendisi daha da hassas bilgiler içeren Jira’da bulunan ‘sorun iz sürücü’ye yönlendiren linkler içeriyordu. Pathak ayrıca, Google Dokümanlar ve Google Drive’da bulunan ve web adreslerini bilen herkes tarafından erişilebilecek şekilde yapılandırılmış belgelere bağlantılar buldu. Bu belgelerin bazıları şifreler de içeriyordu.

İLGİLİ HABER>> Hem veri çaldırdı hem de milyon dolar ceza yedi

Pathak, kamuya açık Trello panolarında özel bilgi bulma konusunda bir nevi uzman haline geldi. Bu yılın başlarında, korumasız 50 panoda İngiltere ve Kanada hükümetlerine ait parolalar ve güvenlik planları da dahil olmak üzere bir dizi özel veri keşfetti. Bundan önce, “iyi bilinen bir araç paylaşım şirketi” de dahil olmak üzere onlarca başka kuruluşa ait olan Trello’ya ilişkin çok sayıda hassas veriyi ortaya çıkardı.

Pathak’ın araştırması, şifreleri ve çevrimiçi çalışmak ve yayınlamak için ihtiyaç duyulan sayısız diğer gizli bilgileri idare etmeye çalışırken kuruluşların ne kadar sıklıkla hata yapabildiklerini ortaya koyuyor.

Google Drive ve Google Dokümanlar’daki bilgilerin yanı sıra Trello panoları da varsayılan olarak ‘özel’ bilgi konumunda. Kullanıcı bu bilgileri internet üzerinden görüntülemek üzere herkese açık hale getirmek için ayarları manuel olarak değiştirmek zorunda.

Pathak, daha önce Trello’nun hassas verilerin açığa çıkmasını engellemek için yeni önlemler aldığını belirtmişti. O dönemde, Trello’nun CEO’su şunları söylemişti:  “Kamuya açık panoların bilerek yaratıldığından emin olmak için çalışıyoruz ve bir panoyu kamuya açık hale getirmeden önce bir kullanıcının niyetini teyit etmek için önlemler aldık. Ek olarak, görünürlük ayarları her kartın üstünde kalıcı olarak görüntüleniyor. ”

Pathak, sırf böylesi daha pratik olduğu için insanların kuruluşlarının hassas verilerini kamuya açtığını düşünüyor. Bu şekilde kişileri panoya eklemeden sadece panonun URL’sini paylaşarak panodaki bilgileri paylaşabiliyorlar. Pathak’a göre kişileri panoya eklemek bu insanlar için zor bir iş gibi görülebilir fakat aslında çok kolay.

Siber Bülten abone listesine kaydolmak için formu doldurunuz