Güney Amerika ülkesi Meksika’da bulunan bazı finansal kuruluşların 15 ila 20 milyon dolar arasında kayıpla sonuçlanan bir siber soygunun kurbanı olduğu ortaya çıktı.
Wired.com’da yayınlanan habere göre, 2018’in ilk yarısında gerçekleşen hırsızlıktan önce, ocak ayında Kuzey Kore devleti tarafından desteklenen Lazarus grubunun ülkenin en büyük bankaları arasında yer alan Bancomext’e bir soygun amaçlı bir siber saldırı düzenlediği fakat 110 milyon dolar çalmayı hedefleyen grubun başarısız olduğu belirtildi.
Geçtiğimiz yıllarda Rusya ve Bangladeş merkez bankalarından SWIFT sistemindeki açıktan faydalanarak siber soygun gerçekleştirilmiş, saldırıların arkasında Lazarus grubu olduğu iddia edilmişti.
RSA Güvenlik Konferans’ında konuyla ilgili konuşan güvenlik uzmanı Josu Loza, henüz saldırganların kimliği tespit edilememiş olsa da, saldırının aylar boyu süren bir planlama süreci ve geniş tecrübe gerektirdiğini ifade etti. Hackerların bankanın güvenlik açısından zayıf ağ yapısı ve ülke içi kullanılan para transfer sistemi SPEI’nin güvenliğinin güçsüz olmasından faydalandıkları düşünülüyor.
Oltalama Saldırısı İşe Yaramış
Hedeflenen banka sistemlerindeki güvenlik zafiyetlerini istismar ederek, internet üzerinden bankaların internal sunucularına sızan ve üst yöneticilere yönelik oltalama e-postaları atan saldırganlar bu sayede kullanıcı adı ve parolaları ele geçirdi.
Sisteme erişim kontrollerinin iyi denetlenmemesi ve ağların net şekilde ayrılmaması yüzünden hackerlar sisteme girdikleri ilk andan itibaren SPEI’nin transfer sunucularına ulaşabildiler. Transfer verilerinin düzgün şekilde korunmadığının da ortaya çıktığı saldırı sonrasında, hackerların para transfer bilgilerini manipüle edip etmedikleri araştırılıyor.
FBI’dan Amerikan firmalarına gönderilen bir uyarı notunda Kuzey koreli hackerların ülkedeki finansal kurumlara saldırı düzenlemeye devam ettiğini duyurdu. ABD hükümetinin bazı siber operasyonların arkasında Kuzey Kore olduğunu dünyaya ilan eden hamlelerinin hacking operasyonlarını durdurmaya yetmediğinin vurgulandığı notta, saldırıların isnat Kuzey Kore’ye isnat edilmesinin (attribution) komünist rejime etkisinin olmadığı belirtildi.
Eylül ayında, ABD Adalet Bakanlığı Kuzey Koreli ajan Park Jin Hyok hakkında hazırladığı iddianamede, 2014 yılında Sony Pictures şirketine yapılan siber saldırı ve 2017 yılındaki WannaCry fidye saldırısında payı olduğu gerekçesiyle suçlamıştı. Adalet bakanlığı daha önce de İranlı ve Rus hackerlar hakkında farklı siber saldırılardan dolayı suçlayan iddianameler hazırlamıştı.
Siber saldırıların kimin tarafından düzenlendiğinin ortaya çıkartılması anlamında kullanılan isnat (attribution) teknik olarak çok zor olduğundan, siber alanda saldırganların bir avantajı olarak değerlendiriliyordu. Fakat ABD’nin Kuzey Kore’yi suçladığı iddianamesindeki teknik bilgilerin bir çok uzmanı şaşırtacak şekilde kesin sonuçlar ortaya çıkarması siber dünyada ‘isnat probleminin’ aşılabileceğinin göstergesi olarak kabul ediliyor.
Geçtiğimiz temmuz ayında düzenlenen Brüksel Zirvesi’nde Siber Alan Operasyon Merkezi kurma kararı alan NATO’nun, 2023 yılına kadar bilgisayar saldırganlarına karşı koymak ve caydırıcı siber saldırı düzenlemek amacıyla yeni bir askeri merkez kuracağı açıklandı.
Temmuz ayında alınan kararın ardından 31 Ağustos’ta Operasyon Merkezi’ni açan NATO, 2016 yılından bu yana siber alanı bir muharebe alanı olarak değerlendirerek savunma gücünü artırma yönünde çalışmalarına devam ediyor.
Renner, NATO’nun kendi siber silahlarının bulunmadığının altını çizerek, ABD, İngiltere ve Estonya’nın Operasyon Merkezi için siber kabiliyetlerini kullanıma açtığını ifade etti.
Alman generalin siber alanda tehditlerin hızla geliştiğinin altını çizdikten sonra, “Hazırlıklı olmalıyız ve operasyon gerçekleştirecek kapasiteye ulaşmalıyız. Koruma ve önlemenin ötesine geçmiş bulunmaktayız.” ifadelerini kullanması ‘NATO’nun ofansif saldırı kapasitesini arttırma yolunda somut adımlar attığı’ şeklinde yorumlandı.
NATO’ya ve müttefik ülkeleri hedef alan Çin, Rusya ve Kuzey Kore kaynaklı saldırıların artması, İttifak’ın siber güvenliği öncelikli bir konu olarak gündeme almasını sağladı.
2023’e kadar tam anlamıyla teşekkül etmesi beklenen merkezin NATO’nun siber caydırıcılık faaliyetlerini koordine etmesi bekleniyor. Müttefiklerden gelecek askeri istihbarat ve gerçek zamanlı bilgiler ile beslenen merkezin ilk aşamada 70 uzman istihdam etmesi bekleniyor.
NATO’nun siber saldırı prensipleri ve normları üzerinde anlaşması sonrasında siber saldırıların 5. Madde kapsamına alınması öngörülüyor.
NATO komutanlarının konvansiyonel saldırılardan daha az kayba neden olacağı öngörüsünde bulunarak, düşmanın silah sistemlerine yönelik siber saldırı gerçekleştirme yetkisi bulunuyor.
Amerikalı yetkililer, 34 yaşındaki Kuzey Koreli Park Jin Hyok’un Lazarus Grup tarafından yürütülen siber bir saldırıya karıştığı iddiasıyla suçladı. Ünlü hacker grubu ile Koreli arasındaki ilişki, Federal Araştırma Bürosu (FBI) ajanının yeminli beyanı ile ortaya çıktı.
Park Jin Hyok hem bilgisayar sahtekârlığı ve suiistimal suçlarını işlemek hem de elektronik sahtekârlık suçu işlemek için Lazarus Grubu’yla gizli anlaşma yapmakla suçlanıyor. FBI söz konusu kişiyi Siber Arananlar Listesi’ne eklerken ABD Hazine Bakanlığı, Park ve çalıştığı Kuzey Kore şirketine yaptırım uygulayacağını ilan etti.
8 Haziran’da hazırlanan suç duyurusu, geçtiğimiz perşembe günü kamuoyu ile paylaşıldı. Bu suç duyurusunda, Lazarus Grubu’nun hem başarılı hem de başarısız olduğu siber operasyonlar yer alırken özellikle sekiz saldırıya dikkat çekildi: 2014’teki Sony Entertainment hacklemesi, 2016’daki Bangladeş Merkez Bankası’na yönelik siber soygun, 2017’deki Wannacry fidye yazılım saldırısı, 2016 ve 2017’deki ABD savunma yüklenicilerinin sistemine sızma girişimi.
Hükümetler ve siber güvenlik sektörü üyeleri daha önce bu saldırıların büyük kısmı ile Kuzey Kore ve Lazarus Grup arasında paylaşılmış kod ve altyapıya dayalı olarak bağlantı kurmuştu. Bununla birlikte perşembe günü kamuoyuyla paylaşılan suç duyurusunda, araştırmacıları Park’ı saldırılarda yer almakla suçlamaya yöneltecek açık bir harekât güvenliği açığı ortaya koydu.
Kuzey Koreli programcı Park, Lazarus’un Sony saldırılarının hemen öncesine denk gelen 2014 yılına kadar Çin merkezli Korea Expo Ortak Teşebbüsü olarak da bilinen Chosun Expo’da çalışıyordu. Kuzey Kore hükümeti yanlısı şirketin ülkenin askeri istihbaratı ile bağlantılı olup, komünist yönetimin siber faaliyetlerini desteklediği iddia ediliyor.
Araştırmacılara göre Park, Çin’in Kuzey Kore sınırında bulunan Liaoning- Dalian’daki KEJV ofislerinde çalışıyordu. Ajanlar tarafından ortaya çıkarılan bir özgeçmiş, Park’ın geliştirici olarak işe alındığını ve Lazarus’un birçok aracını yaratmak için kullanılan kodlama dilleri (Visual C++) konusunda programlama becerisine sahip olduğunu ortaya koyuyor.
Lazarus tarafından operasyonlarını yürütmek için kullanılan kişilerden biri de Kim Hyon Woo. Araştırmacılar bu isimle Park’ın online faaliyetleri arasında dosyalara ortak erişim, ortak isimler ve ortak IP adresleri dahil birçok bağlantı buldular.
Ajanlar, Park tarafından kullanılan e-posta adreslerinden biri olan ttykim1018@gmail.com ile Kim Hyon Woo’nun kullandığı tty1984@gmail.com adreslerinin ikisinin de tty harflerini içerdiğini ortaya koydu.
Fakat bu tek bağlantı değil. Bir e-posta adresi diğerlerinin adres defterlerine eklenmiş ve Kim Hyon Woo adresinin, Park’ın adresi ile bağlantılı uzak dosya saklama hesabında kayıtlı arşiv dosyalarına erişim hakkına sahip tek adres olması dikkat çekici.
Park’ın adresi ayrıca Kim Hyon Woo tarafından yaratılan ödeme hesabı ve profil bilgisi paylaşan bir video hesabı kaydı için kullanılmış.
Lazarus’un tty198410 hesabı,mrkimjin123@gmail.com adlı Gmail hesabını kaydetmek için kullanılmış. Söz konusu adresin hem Kim hem de Jin’in isimlerini içermesi dikkate değer bir ayrıntı olarak düşünülüyor.
Park’ın KEJV ve kişisel hesapları ile Lazarus’un Kim Hyon Woo kişisi tarafından kaydedilmiş operasyonel hesapları arasında bağlantı olduğunu gösteren bir diğer önemli kanıt da, hesaplara erişim için kullanılan Kuzey Kore ve başka bir yer merkezli ortak IP adreslerinin varlığı.
Araştırmacılar ayrıca ABD’nin yakın zamanda Hidden Cobra’ya dayandırdığı Brambul zararlı yazılımının, gizliliği ihlal edilmiş cihazlardan çalınan bilgileri depolamak için çeşitli toplayıcı e-posta hesaplarını kullandığını ortaya çıkardı. Aynı Kuzey Koreli IP adresi Brambul toplayıcı hesapları ve KEJV bağlantılı e-posta hesaplarına erişim için kullanılmış.
Suç duyurusu ayrıca Park’ın Lazarus saldırılarına yönelik gerçekleştirilen FBI araştırmasının tek öznesi ve analiz edilmiş hesaplara erişimi olan tek kişi olmadığını açığa çıkardı.
TRUMP KUZEY KORE’YE TEŞEKKÜR ETMİŞTİ
Öte yandan suç duyurusunun ABD Başkanı Donald Trump’ın Kuzey Kore liderinin kendisine sarsılmaz inancını dile getirmesinin ardından Twitter’da minnettarlığını belirtmesinden kısa bir süre sonra gelmesi dikkat çekti. Park’a yönelik suç kaydı oldukça dikkat çekti. Bir FBI ajanının konuyla ilgili notu çarpıcı: “Kuzey Kore’nin operasyonlarının boyutu ve zararı eşi görülmemiş bir halde.”
Siber Bülten abone listesine kaydolmak için formu doldurunuz
ABD İran’a yönelik yaptırımlarını sürdürürken, ülkedeki hackerler Bitcoin’i güvence altına almak için fidye yazılım üzerinde çalışıyor. Fidye yazılımı bir kullanıcının programa yeniden giriş yapabilmesi için belirli bir tutarı ödeyene kadar bilgisayarı etkisiz hale getiren zararlı bir yazılım türü.
Hackerlerin fidye yazılımları kullanarak ödemeleri kripto para ile almak niyetinde oldukları iddia ediliyor. Zira ABD’nin ambargosunu en az hasarla atlatma girişimlerinde kripto paralar son dönemde önemli bir alternatif haline gelmiş durumda. Bu iddiayı dile getirenler ise Wall Street Journal’a açıklama yapan siber güvenlik uzmanları.
Accenture PLC’nin siber güvenlik istihbarat grubu, son iki yılda İranlıların ürettiği beş fidye yazılımı varyasyonunu takibe aldı. Accenture’daki endüstriyel siber güvenlikten sorumlu yönetici Jim Guinn’e göre, İranlı hackerler bu şekilde kripto para ödemelerini güvence altına almayı umuyor. Fidye yazılımlarının İran’la bağlantısını ortaya koyan birkaç ipucu bulunuyor. İran merkezli bilgisayarlara bağlı Farsça mesajlar bu ipuçlarından biri. Yakın tarihli bir Accenture raporu, fidye yazılımının İran hükümetinin desteklediği taraflar, suçlular veya her ikisi tarafından yönetilebileceğini ortaya koyuyor.
Fidye yazılımları San Francisco Belediyesi Ulaştırma Dairesi, Birleşik Krallık hastaneleri ve kargo gönderilerinde ödeme sistemlerini devre dışı bırakarak yıllardır hem işletmeleri hem de hükümetleri rahatsız ediyordu. Hükümet tarafından desteklenen korsanlar bazı durumlarda kurbanlardan kripto para ödemeleri elde etmişlerdi.
Bir diğer siber güvenlik firması olan CrowdStrike’ya göre, iDefense’nin keşfettiği bir tür fidye yazılımı İran hükümetiyle bağlantılı. CrowdStrike, Tyrant adlı yazılımın, İran vatandaşlarının hükümetin vatandaşların özel hayatını takip etmesinin önüne geçecek yazılımları indirmelerini engellemek için geliştirildiğini belirtti.
Palo Alto Networks Inc. ve Symantec Corp da geçtiğimiz ay İran’la bağlantılı iki veri hırsızlığı operasyonunu ortaya koyan raporlar yayınlamıştı.
Bilgisayarları kripto para madenciliği yapmak için işleme gücünden mahrum bırakan kripto madencilik yazılımı ile de İran arasında bağlantı tespit edilmişti.
Accenture, Orta Doğu müşteri ağlarına kurulmuş, İran’a işaret eden dijital ipuçları ile donatılmış, bir kripto madencilik yazılımına dikkat çekti.
Guinn’e göre kripto madencilik yazılımı Orta Doğu’daki doğalgaz ve petrol tesislerinde sorun yaratıyor. Geçen yıl milyonlarca dolarlık hesaplama döngüsünün çalındığını tahmin ediyor.
İran hükümeti ise iddiaları reddetti. Siber saldırılara katılmadığını açıklayan hükümet, bunun bir korsanlık vakası olduğunu iddia etti. ABD ve İsrail tarafından on yıl önce başlatılan Stuxnet adlı bir siber saldırı, İran’ın nükleer programı için uranyum zenginleştirme santrifüjlerini devre dışı bırakmıştı. İran hükümet yetkilileri ve güvenlik araştırmacılarına göre, ülke bu olaylardan sonra kendi siber yeteneklerini geliştirmeye odaklandı.
IronNet Cybersecurity Inc.’in CEO’su ve ABD Siber Komutanlığı ve Ulusal Güvenlik Dairesi eski müdürü Keith Alexander, kripto madenciliğinin ve hırsızlığın nakit sıkıntısı çeken ülkelerin hızlı kâr elde etmesinin bir yolu olduğunu söyledi. Geçtiğimiz yıllarda da nükleer programından dolayı ABD’nin yaptırım uyguladığı Kuzey Kore tüm dünyayı etkileyen WannaCry fidye yazılımını geliştirmiş ve Bitcoin elde ederek yaptırımları aşmayı denemişti.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
