Almanya, Rusya’nın Almanya’nın savunma ve teknoloji sektörüne yönelik siber saldırılarını protesto etmek için üst düzey bir Rus elçiyi çağırdı.
Almanya Dışişleri Bakanlığı, geçen yıl yaşanana ve Rusya’nın sorumlu olduğunu iddia edilen bilgi güvenliği olaylarına karşı diplomatik tavrını koymak için üst düzey bir Rus elçiyi görüşmeye çağırdı.
2023 saldırıları, Berlin’in Ukrayna’ya tank gönderme kararının ardından bazı web sitelerinin çevrimdışı bırakıldığı saldırılar olarak değerlendiriliyor. Bu saldırılar, Rusya’nın askeri istihbaratıyla bağlantılı bir hacker grubunun eylemi olarak kabul ediliyor.
Alman yetkililere göre, saldırganlar, Microsoft Outlook e-posta servisindeki o zaman keşfedilmemiş bir zafiyeti kullandılar ve etkilenen şirketlerin sunucularını ele geçirdiler.
Dışişleri Bakanı Annalena Baerbock, Avustralya ziyareti sırasında bir basın toplantısında, “Bu siber saldırıyı açıkça APT28 olarak adlandırabileceğimizi söyleyebiliriz, ki bu Rusya’nın askeri istihbarat servisi tarafından yönetilen bir grup” diye konuştu. Baerbock ayrıca başka bir konuşmasında Rusya’nın siber casusluk faaliyetlerinin sonuçlarıyla karşı karşıya geleceğini söyledi.
İçişleri Bakanı Nancy Faeser ise Rus cyber saldırılarını ülke demokrasisine yönelik bir tehdit olarak nitelendirdi ve Almanya’nın AB ve NATO ile birlikte hareket ettiğini vurguladı. Rusya’yı kınayan NATO ve AB yetkilileri de saldırıları “kötü niyetli” olarak nitelendirdi.
Türk siber güvenlik firması ADEO Cyber Security, dikkat çeken bir transfere imza atarak, tecrübeli isimlerden Cihan Yüceer’i kadrosuna kattı.
Sektörde birçok firmada üst düzey yöneticilik yapan Yüceer, ADEO’da Chief Technology Officer (CTO) görevine getirildi.
ADEO, siber güvenlik alanındaki hizmetlerini çeşitlendirmeye ve uluslarası ölçekteki faaliyetlerini genişletmeye çalışıyor.
ADEO, Microsoft Akıllı Güvenlik İşbirliğine katılan ilk Türk siber güvenlik şirketi olmuştu. Firma, Microsoft’un liderlik yaptığı ve siber güvenlik sektöründe söz sahibi üreticilerle servis sağlayıcıları bir araya getiren Microsoft Intelligence Security Assocation’a (MISA) üye olmuştu.
Siber suç çetelerinin gözdesi Cobalt Strike’a karşı Microsoft ve Fortra’dan ortak operasyon düzenledi.
Microsoft ve Fortra’nın iş birliği, siber suçluların son dönemde eski sürümlerini kırarak saldırı aracı hâline getirdiği Cobalt Strike aracının mağdurlarını önemli ölçüde azalttı.
Operasyon, siber suçluların kullandığı Cobalt Strike sunucularının ABD’de yüzde 50, diğer ülkelerde de yüzde 25 oranlarında düşmesine neden oldu.
Siber güvenlik uzmanları tarafından savunma testlerinde siber saldırıları simüle etmek için kullanılan Cobalt Strike, yıllar içerisinde dünya çapında fidye yazılımı saldırıları başlatmak için eski sürümleri kırıp manipüle eden suçluların favori aracı hâline geldi.
Son iki yılda siber suçlular Cobalt Strike’ın kırılmış kopyalarını kullanarak yaklaşık 1,5 milyon cihaza virüs bulaştırdı.
CONTI COBALTI KULLANARAK ÇOK SAYIDA KURUMA SALDIRDI
Cobalt Strike aracını kullanan çetelerden biri olan Conti fidye yazılımı çetesi, 2020 yılında bayrağı Ryuk çetesinden devraldıktan sonra çeşitli sektörlerdeki şirketlere, hükûmet kurumlarına, okullara ve sağlık kurumlarına saldırarak dünyaca tanınan siber suç örgütü hâline gelmişti.
Conti’nin sıkça kullandığı araçlardan biri olan Cobalt Strike, daha önce de çetenin Kosta Rika hükûmetine yönelik saldırısında kullanılmış ve hükûmetin acil durum çağrısı yapmasına neden olmuştu.
Aynı zamanda Conti, İrlanda Halk Sağlığı Merkezi’ne yönelik saldırısında da Cobalt Strike kullanmış, ağ sistemlerinin yüzde 80’den fazlasını ele geçirmiş ve binlerce hastanın hayatının tehlikeye girmesine neden olmuştu.
Conti’nin dışında da siber suç gruplarının Cobalt Strike kullandığı biliniyor. Bunlar arasındaysa Evil Corp, LockBit ve Küba fidye yazılımı çetesi gibi 8 farklı çetenin olduğu belirtiliyor.
ÖNCE MICROSOFT HAREKETE GEÇTİ
Microsoft ve Fortra, suçluların eski sürümleri kırılmış Cobalt Strike araçlarını kullanmalarına karşı önlem almak için harekete geçti.
Microsoft’un Dijital Suçlar Birimi’nden (DCU) Jason Lyons tarafından yapılan öneriyle, birden fazla suçlu grubu hedef alacak şekilde büyük bir operasyon başlatıldı. Ekibin temel hedefi, bu grupların ortak olarak kullandığı kırılmış Cobalt Strike araçlarını etkisiz hâle getirmekti.
Azure’daki ve daha sonra internetteki tüm aktif, halka açık Cobalt Strike komuta ve kontrol sunucularına bağlanan bir tarayıcı oluşturuldu. Ancak tarama yeterli değildi. Araştırmacılar, Cobalt Strike’ın geçerli güvenlik kullanımları ile tehdit aktörleri tarafından yasa dışı kullanımlarını nasıl ayırt edecekleri konusunda zorlukla karşılaştı.
Fortra, sattığı her Cobalt Strike kiti için benzersiz bir lisans numarası ya da filigran veriyor ve bu da kırılmış kopyalarda adli bir ipucu sağlıyordu. Ancak Fortra ilk operasyonun bir parçası olmadığı için DCU araştırmacıları bir süre tek başlarına çalıştı.
Fortra ise 2023’ün başlarında operasyona katıldı ve 3.500 yetkisiz Cobalt Strike sunucusuyla bağlantılı 200’den fazla “gayrimeşru” filigranın bir listesini sağladı. Şirket kendi araştırmalarını yapıyor ve yeni güvenlik kontrolleri ekliyordu, ancak Microsoft ile ortaklık, ölçeğe erişim, ek uzmanlık ve aracını ve interneti korumak için başka bir yol sağladı. Soruşturma süresince Fortra ve Microsoft, kırılmış Cobalt Strike’ın yaklaşık 50.000 benzersiz kopyasını analiz etti.
ELDE EDİLEN BİLGİLERLE DAVA AÇILDI
Ortaklık sonucunda operasyonun erişim alanı büyük ölçüde genişledi.
Operasyon sonucu elde edilen bilgiler, kötü niyetli altyapıyı her biri ayrı bir tehdit grubu olan 16 isimsiz sanığa açılan davada yardımcı oldu.
Dava sürecinde şirket avukatları, tehdit gruplarının telif hakkı yasalarını ve hizmet şartlarını ihlal ettiği için Fortra ve Microsoft’un kırılmış Cobalt Strike altyapısını kaldırma hakkı tanınmasını isterken mahkeme bu istemi kabul etti.
Mahkeme kararıyla elde edilen yetki sayesinde, kırılmış sürümlere ait altyapılar tespit edilerek engellendi. Ayrıca suçluların Microsoft yazılım kodlarını kötüye kullanarak anti-virus sistemlerini devre dışı bıraktığı altyapılar da etkisiz hale getirildi. Nisan ayında yürürlüğe giren bu kararın ardından, enfekte edilmiş IP adreslerinin sayısı ciddi şekilde azaldı.
Bu operasyon sayesinde kırılmış Cobalt Strike sunucularının sayısı dünya genelinde yüzde 25, ABD’de ise yüzde 50 oranında azaldı. Ele geçirilen alan adlarıyla ilişkili zararlı sunucular tarafından enfekte edilen IP adreslerinin sayısı yaklaşık üçte iki oranında azaldı. Bu durum, suçluların faaliyetlerini büyük ölçüde sınırlandırdı ve fidye yazılım saldırılarının sayısında ciddi bir düşüş yaşandı.
MICROSOFT VE FORTRA OPERASYONLARA DEVAM EDECEK
Microsoft ve Fortra, çatlak Cobalt Strike araçlarını kullanarak suç işleyenlere karşı bu tür operasyonların devam edeceğini vurguluyor.
Söz konusu operasyonlar yakın zamanda Cobalt Strike araçlarının kullanımının sınırlandırılması, hastanelerin ve sağlık kuruluşlarının bilgisayar ağlarını daha güvenli hâle getirmeye yardımcı olması konularında katkı sağlayacağı düşünülüyor.
Siber güvenlik zafiyetlerini bulan ve bu açıkların ayrıntılarını Google’a bildiren kişiler, 2022 yılında şirketin Zafiyet Ödül Programları (VRP) kapsamında rekor bir yıl yaşadı.
Toplamda 2 bin 900’den fazla güvenlik araştırmacısı güvenlik açıklarını bildirerek Google’dan ödül kazanırken Google, bugüne kadarki en yüksek ödeme miktarını gerçekleştirdi.
GOOGLE, MICROSOFT’LA REKABET EDİYOR
Google’ın 2022’deki VRP bug bounty programı, 12 milyon doların üzerinde ödeme gerçekleştirerek rekor bir seviyeye ulaştı. Bu, önceki yıllarda ödenen 8,7 milyon dolarlık zafiyet ödüllerini geride bıraktı. Microsoft’un ödeme miktarıyla rekabet etmek amacıyla, Google ödüllendirme programlarını genişletti ve yeni programlar ekledi.
YUVAL AVRAHAMİ 133 BİN DOLAR KAZANDI
Google’dan en çok ödül kazanan kişi Palo Alto Networks Unit 42 analisti Yuval Avrahami oldu.
Avrahami’nin, Google Kubernetes Engine (GKE) Autopilot’ta bulduğu zafiyetler ve saldırı yöntemleri sayesinde bir saldırganın sistemden kaçması, yetkilendirme düzeyini yükseltmesi ve erişimi korumak için arka kapılar oluşturması mümkün hâle geliyordu.
Google ise Avrahami’yi en büyük ödül olan 133.337 dolarla ödüllendirdi. Sivanesh Ashok ve Sreeram KL, Google Compute Engine’deki SSH anahtar enjeksiyonu ve Google Cloud Workstations’da yetkilendirme atlatma üzerine yaptıkları araştırmalarla 73.331 dolarlık ödül kazandı.
Kubernetes’teki ayrıcalık yükseltme vektörleri ve Azure AKS, Amazon EKS ve Google GKE gibi Kubernetes barındırma sağlayıcılarında bulunan zafiyetler nedeniyle bazı araştırmacılara da 17.311 dolarlık ödül verildi.
BUG BOUNTY PROGRAMLARI ŞİRKETLER İÇİN ÖNEMLİ BİR ROL OYNUYOR
Google ve diğer şirketlerin bu ödüllendirme programları, şirketlerin güvenlik açıklarını hızlı bir şekilde tespit etme ve düzeltme sürecini destekliyor. Bunun yanı sıra bu programlar dijital güvenlik alanında önemli bir rol oynuyor.
