İngiltere’de Başbakanlık binasında çalışan bir kişinin telefonuna İsrailli NSO şirketinin casus yazılımı Pegasus’un bulaştırıldığı iddia edildi.
The Mirror gazetesinin haberine göre 10 numara olarak da adlandırılan Başbakan Boris Johnson’ın Downing Street üzerinde bulunan ofisinde çalışan bir kişide Pegasus casus yazılımına rastlandığı öne sürüldü.
Haberde casus yazılımı söz konusu cihaza Birleşik Arap Emirlik’lerinden bir tehdit aktörünün yerleştirdiği iddiası yer aldı. Casus yazılımın ilk kez 7 Temmuz 2020 tarihinde kullanılmaya başlandığı belirtiliyor.
Pegasus yazılımını kullananlar, hedeflediği kurbanlarının cep telefonlarındaki aramaları ve mesajları 24 saat boyunca takip edebiliyor.
Daha önce de 2020 ve 2021 yıllarında yaşanan veri güvenliği ihlallerinde, Pegasus yazılımının İngiltere Dışişleri Bakanlığı takip etmek için kullanıldığı ortaya çıkmıştı.
Başbakan Boris Johnson ise 2021’de telefonunu değiştirmek zorunda kalmıştı. Söz konusu olaylarda Birleşik Arap Emirlikleri, Hindistan, Kıbrıs ve Ürdün’de bulunan hackerların adı geçmişti.
Microsoft ve Okta’ya yönelik siber saldırılarıyla gündeme gelen Lapsus$ hacker grubunun 7 üyesi olduğu iddia edilen genç yaştaki şüpheliler tutuklandı.
BBC’nin haberine göre Londra polisi, yaşları 16 ile 21 arasında değişen 7 kişiyi yakaladı. Tutuklananlar arasında White ya da Breachbase takma adını kullanan kişinin 14 milyon dolar değerindeki bitcoin çaldığı öne sürüldü.
Şüphelilerden birinin babası, çocuğunun siber saldırılarla ilgili hiç konuşmadığını ve bilgisayarda devam oyun oynadığını zannettiğini söyledi.
Siber güvenlik araştırmacısı Brian Krebs’e göre grubun elebaşısı geçen yıl çalıntı kişisel verilerin satıldığı illegal platform Doxbin’i satın almıştı. Elebaşı, daha sonra Doxbin’deki verileri Telegram üzerinden paylaşmıştı.
Hacker grubunun geçtiğimiz kasım ayından bu yana Reddit ve Telegram gibi kanallar üzerinden işe alımlar gerçekleştirdiği belirtiliyor. Lapsus$’u Telegram’da 47 bin kullanıcı takip ediyor.
Çete geçtiğimiz günlerde ‘içeriden’ bilgi verebilecek insider arayışına girmiş ve bunu bir ilanla paylaşmıştı.
İngiltere, her ne kadar Doğu Avrupa’da aktif olup olmadıklarına dair bir açıklama yapmamış olsa da güvenlik kaynakları çevrimiçi elit bir birimin siber ortamda aktif olduklarını açıkladı.
Üst düzey bir yetkili konuyla ilgili şunları söyledi: “Vardiyalı olarak uzun saatler çalıştıklarını söylemek yanlış olmaz.”
BAŞBAKAN 2020 SONUNDA NCF’DEN BAHSETTİ
NCF olarak bilinen birimin varlığı ilk olarak 2020’nin sonlarında Başbakan tarafından dile getirildi. Söz konusu birim, İngiliz istihbaratı MI6’dan casusların yanı sıra Savunma Bakanlığı uzmanlığı ve Cheltenham’daki İngiltere Hükümet İletişim Merkezi (GCHQ)’dan dinleme uzmanlarını bir araya getiriyor.
Dışişleri Bakanı Liz Truss, geçtiğimiz yıl şunları söylemişti: “Ulusal Siber Güç, kötü niyetli aktörlerin saldırgan davranışlarını karşılama noktasında yardımcı olacak.”
Bahsi geçen birimin taktikleri arasında, saldırıları önlemek için hava savunmasına, cep telefonu trafiğine veya bilgisayar sunucularına nüfuz etmek gibi eylemler olacağı tahmin ediliyor.
SALDIRGANLARLA DOĞRUDAN İLETİŞİME GEÇECEKLER
NCF siber casusları, moral bozmak ve caydırmaya yönelik olarak saldırganlarla doğrudan iletişim kurma yeteneğine de sahip.
Siber Güç için 2030 yılına kadar Lancashire’daki Samlesbury’de 5 milyar sterlinlik yeni bir teknoloji karargahı planlandığı belirtildi.
ABD ve İngiliz istihbarat ajansları, İran hükümeti için çalışan hackerların dünya genelinde savunma, yerel yönetim, petrol ve doğal gaz ve telekomünikasyon sektörlerini hedef alan siber casusluk saldırıları yürüttüklerini açıkladı.
Konuyla ilgili ortak açıklama, ABD hükümetinin geçtiğimiz ay ilk kez doğrudan Tahran’a atfettiği Muddywater adlı gruba işaret ediyor. Son uyarıda söz konusu kuruluşlar, MuddyWater’ın 2018’den bu yana Afrika, Asya, Avrupa ve Kuzey Amerika’da aktif olduklarını gözlemlediklerini söyledi.
Uyarıda ayrıca şu ifadeler yer aldı: “MuddyWater aktörleri İran hükümetine hem çalınan verileri hem de erişimleri temin etmek ve bunları diğer kötü niyetli siber aktörlerle paylaşmak için konumlandırıldı.”
Uyarıların yer aldığı bülten, FBI, İç Güvenlik Bakanlığı’na bağlı Siber Güvenlik ve Altyapı Güvenlik Ajansı, ABD Siber Komutanlığı, Siber Ulusal Görev Gücü ve İngiltere’nin Ulusal Siber Güvenlik Merkezi’nin ortak çalışması olarak öne çıkıyor.
ÖZELLİKLE ORTADOĞUDAKİ KURULUŞLARI HEDEF ALIYORLAR
MuddyWater, Türkiye’nin de aralarında olduğu başta Orta doğudaki hedefler olmak üzere casusluk faaliyetlerinde bulunduğuna ilişkin uzun bir geçmişi var, ancak ABD’nin yaptığı uyarı, grubun potansiyeli göz önüne alındığında hükümetin konuya oldukça güçlü bir şekilde odaklandığını gösteriyor.
Bir CISA sözcüsü ise “İran hükümeti destekli aktörler, bilinen güvenlik açıklarından yararlanmak ve kimlik avı faaliyetlerine öncülük etmek de dahil olmak üzere çeşitli yollarla hükümet ve ticari ağları sürekli olarak hedef alıyor” dedi ve ekledi: “Kritik altyapımıza yönelik ulus devlet tehditlerini belirlemeye ve kuruluşların siber risklerini azaltmalarına yardımcı olma noktasında kararlıyız.”
Perşembe günkü uyarı, siber güvenlik firması Mandiant’ın MuddyWater ile ilişkili olduğunu söylediği bir grubun Orta Doğu teknolojisini ve hükümet kuruluşlarını hedef almak için Telegram kötü amaçlı yazılımını nasıl kullandığı hakkında bir araştırma yayınladığı gün geldi.
2017’DEN BERİ AKTİFLER
Mandiant analisti Emiel Haeghebaert, Cyberscoop’a e-posta yoluyla yaptığı açıklamada, Muddywater’ın en az 2017’den beri aktif olmasına rağmen, özellikle geçtiğimiz yıl faaliyetlerinin büyük ölçüde arttığını gözlemlediklerini söyledi.
Haeghebaert ayrıca “Operasyonlarının artmasına ek olarak, bir diğer kayda değer gelişme de grubun meşru araçları ve kaynakları saldırı araçlarına giderek daha fazla dahil etmesidir. Meşru uzaktan erişim yazılımının kullanımı ve Slack ve hatta Telegram gibi ortak işyeri uygulamalarının ağ iletişimi yetenekleri, bu tehdit aktörlerinin tespit edilmekten kaçınmaya çalıştığını gösteriyor.” ifadelerini kullandı.
UYARILARA NASIL CEVAP VERECEK?
Haeghebaert, Mandiant’ın da TEMP.Zagros olarak adlandırdığı MuddyWater’ın hükümetin uyarılarına nasıl cevap vereceğini merakla beklediklerini belirterek, “Bu grubun ilginç bir özelliği de kamuya yönelik açıklamaları dikkate alıp bunlara yanıt vermeleri. Örneğin, güvenlik araştırmacıları, kötü amaçlı yazılımlarının Twitter’daki ‘sory’ [sic] kelimesinde bir yazım hatası içerdiğini açıklamasından birkaç gün sonra hatayı ‘Sorry’ [sic] olarak düzeltmişlerdi. Bu durum şu sorunun cevabını da merakla beklememize yol açıyor: Acaba TEMP.Zagros ABD ve İngiltere’nin uyarılarının ardından cephaneliklerini sıfırdan yeniden mi yapacak mı yoksa hız kesmeden devam mı edecek?” değerlendirmesinde bulundu.
İngiltere Dışişleri Bakanlığı, siber saldırıya uğramasının ardından “acil durum” bildirisi yaparak güvenlik yüklenicisinden acil yardım istedi.
Dışişleri, İngiliz Milletler Topluluğu ve Kalkınma Ofisi (FCDO), acil destek talebi ile sonuçlanan “ciddi bir siber güvenlik olayının” hedefi oldu. Kurum, denizaşırı ülkelerdeki 280 büyükelçilik ve yüksek komisyonlar dahil olmak üzere diplomatik ve kalkınma ofislerinde 17 bin 300 personel istihdam ediyor.
İHALE DOĞRUDAN BAE SYSTEMS APPLIED INTELLIGENCE’A VERİLDİ
İngiltere hükümeti, olayın açığa çıkmasının ardından güvenlik hizmeti almak adına ihaleye çıktı. Kesinleşen ihale bildiriminde FCDO’nun BAE Systems Applied Intelligence’a ciddi bir siber güvenlik olayına maruz kalmasının ardından 467 bin 325 pound ödediği ve konuyla ilgili daha fazla ayrıntı verilmediği bildirildi. Başka şirketlerin başvuruları değerlendirilmeden, durumun aciliyeti dolayısıyla ihale doğrudan BAE Systems Applied Intelligence’a verildi. FCDO işin aciliyeti ve kritikliği nedeniyle rekabet prosedürlerini gerçekleştirmedi.
Kesinleşen ihale bildiriminde “Hak sahibi tedarikçi, kurumun uzun vadeli hizmet yönetimi entegratörü olarak işlev görüyor ve bu nedenle Kurumun altyapısı hakkında önemli bilgi ve anlayışa sahip kaynaklara sahip” ifadeleri yer aldı.
Dışişleri, İngiliz Milletler Topluluğu ve Kalkınma Ofisi (FCDO) sözcüsü ise şunları söyledi: “Güvenlik hakkında yorum yapmıyoruz, ancak potansiyel siber olayları tespit etmek ve savunmak için sistemlerimiz mevcut.”
KİMLİĞİ BELİRSİZ HACKERLAR SALDIRDI
BBC’den gelen bir rapor, kimliği belirsiz hackerların FCDO sistemlerine girdiğini, ancak daha sonra tespit edildiğini ekliyor.
Forrester’ın baş analisti Paul McKay,” FCDO’nun bir siber saldırının hedefi olması ve şu anda içinde bulunduğumuz karmaşık jeopolitik durum göz önüne alındığında düzenli olarak hedef alınması şaşırtıcı değil” dedi ve ekledi: “İhlalin niteliği, nasıl tespit edildiği ve saldırı motivasyonunun ne olduğu hakkında fazla bir şey bilmiyoruz”
