Etiket arşivi: NSA

Uluslararası İlişkiler

Çin’li bir hacker grubu ABD’yi kendi silahıyla vurdu: Tahmin edilenden daha önce NSA araçlarını kullanmışlar

Yorum yapın

Çin’li bir siber tehdit grubunun 2016 yılında tespit edilen bir sızıntıdan çok daha önce, ABD Ulusal Güvenlik Ajansı’nın (NSA) kullandığı siber araçları ele geçirerek bu ülkeye karşı kullandığı ortaya çıktı.

Kendisini “Shadow Brokers” adıyla tanıtan hackerlar, 13 Ağustos 2016 yılında NSA’in içindeki Tailored Access Operations (Özel Erişim Operasyonları) birimiyle bağlantılı olduğu düşünülen tehdit grubu Equation Group (Denklem Grubu) tarafından kullanılan zararlı yazılım kodlarını çaldığını duyurmuştu.

Shadow Brokers grubu, o günden beri eşi görülmemiş bilgiler açıklamış olsa da ortaya çıkarılan yeni ‘kanıtlar’, Shadow Brokers’ın Denklem Grubu’ndan kod çalan ilk grup olmadığını gösteriyor. 

SHADOW BROKERS’IN ÖNCESİ DE VAR

Amerika-İsrail ortaklığındaki siber güvenlik şirketi Check Point Research araştırmacıları tarafından yayımlanan kapsamlı bir raporda, Shadow Brokers saldırısından iki yıl kadar önce daha önce keşfedilmeyen başka bir sızıntının daha gerçekleştiğini, bunun sonucunda da ABD tarafından geliştirilen siber araçların Çinli bir grubun gelişmiş sürekli tehdit saldırılarıyla ABD’ye karşı kullanıldığını ortaya koydu.

Check Point Research araştırmacılarından Eyal Itkin ve Itay Cohen, “Microsoft tarafından Çinli APT31 veya diğer ismiyle Zirconium grubunun istismar ettiği ileri teknoloji ve havacılık şirketi olan Lockheed Martin tarafından Microsoft’a bildirilen CVE-2017-0005 sıfırıncı gün açıklığının aslında ‘EpMe’ kod adlı Denklem Grubu istismarının bir kopyası” olduğunu ortaya koydu. Ayrıca Eyal Itkin ve Itay Cohen, APT31 grubunun, Shadow Brokers sızıntısından iki yıldan fazla bir süre önce ‘EpMe’ dosyalarının hem 32bitlik hem de 64bitlik sürümlerine eriştiğini belirtti. Lockheed Martin şirketinin bu güvenlik açığını Microsoft’a bildirmesi ise araştırmacılarda şirkete yönelik bir saldırı gerçekleştiğine dair şüphe uyandırdı.

Apple’ın açığını bulan Ünüver: Elimizde henüz bildirmediğimiz zafiyet var

Siber güvenlik firması Kaspersky’nin 2015 yılında duyurduğu raporla birlikte duyurulan Denklem Grubu, ismini kapsamlı şifreleme kullanımından alıyor. 1996 yılından beri faaliyet gösteren Denklem Grubu’nun on binlerce kurbanı olduğu düşünülüyor.

 2017 YILINA KADAR KULLANILMIŞ

İlk olarak Mart 2017’de ortaya çıkan CVE-2017-0005, Windows XP ve Windows 8’e kadar çalışan sistemlerdeki ayrıcalık yükselmesine (EoP) izin veren Windows Win32k bileşenlerindeki güvenlik zafiyeti olarak biliniyor. Check Point araştırmacıları ‘EpMe’den kopyalanmış varyanta ise ‘Jian’ adını verdiler. Araştırmacılar, 2014 yılında kopyalanan Jian’ın 2015’ten itibaren, Microsoft tarafından 2017 yılında yamalanana kadar kullanıldığını tespit ettiler.

Fikri mülkiyet hırsızlığı ve kimlik bilgisi toplama konusunda üst düzey yetenekler sergileyen ve Çin hükümetinin emriyle keşif operasyonları yürüttüğü iddia edilen devlet destekli hacker grubu APT31’in (Zirconium), bir saldırganın dosyaları karşıya yüklemesine, indirmesine ve rastgele komutlar yürütmesine olanak tanıyan, GitHub’da bulunan Python tabanlı bir implantı indirmeye yarayan bağlantılarla, kimlik avı saldırıları ve ABD seçim personellerini hedef alan saldırıları yürüttüğü düşünülüyor. Grubun devletleri, uluslararası finans kuruluşlarını, havacılık sektörünü, savunma sanayisini, telekomünikasyon şirketlerini, medya ve sigorta sektörlerini ve çeşitli teknoloji sektörlerini hedef aldığı da biliniyor.

DAHA ÖNCE KEŞFEDİLMEMİŞ SIFIRINCI GÜN AÇIKLIĞI

DanderSpritz sömürü sonrası çerçevesinin, ikisi 2013’te geliştirilme sırasında sıfırıncı gün olan dört farklı Windows EoP modülü içerdiğini belirten Check Point araştırmacıları, “EpMo” olarak adlandırılan sıfırıncı günlerden birinin, Shadow Brokers sızıntısına yanıt olarak Mayıs 2017’de Microsoft tarafından belirli bir CVE-ID olmadan sessizce yamalandığını söyledi. EpMe ise bir diğer sıfırıncı gündü.

DanderSpritz, 14 Nisan 2017’de Shadow Breakers tarafından “Lost in Translation” başlıklı bir gönderi altında sızdırılan çeşitli istismar araçlarından biriydi. Sızıntı en çok, 65’in üzerinde ülkede on milyarlarca dolar değerinde zarara neden olan WannaCry ve NotPetya gibi fidye yazılımlarına yetenek kazandıran ‘EternalBlue’ istismarını yayınlamasıyla tanınıyor. 

İşin ilginç kısmı ise EpMo’nun kaynak kodunun dört yıl önceki Shadow Brokers sızıntısından bu yana GitHub’da herkese açık olmasına rağmen ilk defa yeni bir Denklem Grubu istismarı ortaya çıkmış olması.

Denklem Grubu ve APT31 istismarlarının yanı sıra EpMe istismarının Microsoft’un CVE-2017-0005 sıfırıncı gün açığına tam anlamıyla örtüştüğünü ifade eden araştırmacılar, “Bu yeterli olmazsa, Microsoft’un Mart 2017’de yayınladığı yamayla bu istismarın önüne geçildiği görülmüştür” ifadelerini kullandı.

SIZINTI ÇOK BÜYÜK

Ortaya çıkarılan bu örtüşmenin yanında EpMe ve Jian’ın aynı bellek düzenini ve aynı sabit kodları paylaştığı keşfedildi. Bu keşif de kodların birbirinden kopyalandığı ihtimalini güçlendirdi.

Araştırmacılar, “Dört farklı istismarı içeren bütüncül bir istismar modülünün, GitHub’da dört yıldır fark edilmeden ortalıkta yatması gerçeği, bize Denklem Grubu araçları etrafındaki sızıntının büyüklüğünü gösterir” ifadelerini kullandı.

NSA, siber saldırı düzenlerken hacking gereçlerini Çin’e kaptırmış

 

ŞİMDİYE KADAR NELER OLDU?

  • Denklem Grubu’nun en erken 2013 tarihinden beri bilinen ‘EpMe’ istismarı, daha Zsonra CVE-2017-0005 olarak belirtilen güvenlik açığının orijinal istismarı olarak biliniyor.
  • 2014 yılında APT31, Denklem Grubu’nun ‘EpMe’ istismarının hem 32 bitlik hem de 64 bitlik örneklerini çalmayı başardı.
  • Saldırganlar “Jian” ı oluşturmak için bunları kopyaladı ve istismarın bu yeni sürümünü kullandı.
  • Jian, Lockheed Martin’in IRT’si tarafından yakalandı ve Mart 2017’de güvenlik açığını düzelten Microsoft’a bildirdi. Sıfırıncı gün açıklığı CVE-2017-0005 olarak belirtildi.
  • EpMe (CVE-2017-0005), APT31 tarafından kopyalanan ve böylece CVE-2017-0005’in Denklem Grubu yerine ikincisiyle ilişkilendirilmesine neden olan bir Denklem Grubu istismarı olarak biliniyor.
  • EpMo – Daha önce keşfedilmemiş ek bir Denklem Grubu istismarı olarak kayıtlara geçti.
  • Jian ise APT31’in Lockheed Martin’in IRT’si tarafından vahşi ortamda yakalanan EpMe’nin kopyalanmış versiyonu.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Siber Saldırılar

2020’nin en büyük hack olayı FireEye saldırısıyla ilgili bilmeniz gereken 8 şey

Yorum yapın

Yıllardır üst düzey bilgisayar korsanlarının hedefinde olan hükümet kurumlarına ve şirketlere yardıma koşan dünyanın önde gelen siber güvenlik firması FireEye, hacklendi. Şirketin Kırmızı Takımının (Red Team) müşterilerin sistemlerini test etmek için kullandığı siber gereçlerin çalındığı olay tüm dünyada yankı buldu.

Daha önceki yıllarda ABD Ulusal Güvenlik Ajansı’ndan (NSA) çalınan ofansif gereçlerle yapılan saldırılar düşünüldüğünde (WannaCry, NotPetya) FierEye’dan sızdırılan istismar kodlarıyla neler yapılabileceğine dair endişeli bir bekleyiş başladı. Gerçekleşen olayın kanıtları Rusya ile ilişkili hackerları gösterse de, FireEye herhangi bir isim vermedi.

İşte 2020’nin en önemli siber saldırısı olabilecek olay ile ilgili bilmeniz gerekenler.

1- FIREEYE NEDEN HEDEF OLDU? 

Merkezi Kaliforniya’da bulunan ve 2004 yılında kurulan FireEye, 2013 yılında halka açık küresel bir siber güvenlik şirketi haline geldi. 40’tan fazla ülkede 8,800’ü aşan sayıda müşterisi bulunan FireEye’ın müşterileri arasında Sony ve Equifax gibi Fortune 500’ün içinde yer alan 100’den fazla kurumun da yer aldığını, Forbes Global 2000’de bulunan telekomünikasyon, teknoloji, finansal hizmetler, sağlık hizmetleri, elektrik operatörleri, ilaç şirketleri, petrol ve gaz endüstrisi şirketleri gibi kurumlar da bulunuyor. 3,5 milyar dolarlık FireEye şirketi, büyük siber saldırıların tespiti ve önlenmesinde, bu saldırıları araştırmakta, kötü amaçlı yazılımlara karşı korumakla ve BT güvenlik risklerini analiz etmek için donanım, yazılım ve hizmet sağlamasıyla müşterilerine yardımcı oluyor. 

FireEye tarafından Salı günü yayımlanan açıklamada, binlerce müşterisinin savunmasını araştırmak için kullandığı saldırı araçlarını hackleyenlerin “siber alanda üst düzey saldırı yetenekleri olan bir ülke” olarak tanımlanması dikkat çekti. Ayrıca şirket, hackerların dünya çapında yeni saldırılarda kullanılabilecek ‘yeni teknikleriyle’ birlikte kendi araç donanımlarıyla saldırıyı gerçekleştirdiğini duyurdu. Saldırıdan sonra ise şirket, konuyu FBI’a bildirdi. 

Rendition Infosec’te çalışan eski bir NSA çalışanı Jake Williams, “Operasyon hakkında bildiklerimizin bir Rus devlet aktörüyle tutarlı olduğunu düşünüyorum” dedi. “Müşteri verilerine erişilmiş olsun ya da olmasın, Rusya için hala büyük bir kazanç” yorumunda bulundu.

FBI konuyu Rusya uzmanlarına devrederken yapılan saldırının ‘bir ülkenin işi’ olabileceğini doğruladı. FBI’ın Siber Bölümü’nden Matt Gorham, “Olayı araştırıyoruz. İlk göstergeler bir ulus devletle uyumlu yüksek düzeyde yeteneklere sahip bir aktörü gösteriyor” ifadelerini kullandı. 

2- RED TEAM ARAÇLARI ÇALINMASI NE ANLAMA GELİYOR

Şirket tarafından yapılan açıklamada hackerların, şirketin ‘Red Team araçları’nın peşinde olduğu söylendi. FireEye’ın Red Team’i müşterilerinin güvenlik zafiyetlerini bulmak için tasarlanmış özel araçlarla müşterilerinin sistemlerini hackleyen ekibi tanımlıyor. Red Team’i bu kadar önemli yapan ise FireEye’ın çok çeşitli saldırılarda kullandığı bütün kötücül yazılım araçlarını içinde barındırıyor olması.

FireEye’a yapılan saldırının, halihazırda Amerika’nın gözleri ‘seçimlere’ kitlenmişken Rus istihbarat teşkilatlarının bu durumu avantaj olarak görmesi üzerine saldırıya geçmesi olarak yorumlandı. Amerika’nın kamu veya özel istihbarat sistemlerinin, seçmen kayıt sistemleri veya oylama makineleri ihlalleri aradığı bir anda 2016’daki seçimlerde ihlali bulunan Rus destekli aktörlerin saldırması için iyi bir zamanlama olduğu belirtildi.

 

3- NEDEN 2016’DAN BERİ YAŞANAN EN BÜYÜK FACİA?

Gerçekleştirilen saldırının 2016 yılında “ShadowBrokers” ekibinin NSA’yi hackleyişinin ardından yaşanan en büyük facia olarak nitelendirildi. 2016 yılında ShadowBrokers adlı hacker grubu NSA’in ‘siber silahları’nı çalmıştı. NSA’ye yönelik yapılan saldırıdan sonra Shadow Brokers’in eylemleri, NSA için feci sonuçlar doğurmuştu. Maddi anlamdaki felaketin dışında NSA’in büyük siber silahları koruma kabiliyeti ve kurumun ulusal güvenliğe verdiği önem konusunda soru işaretleri doğmuştu. Rakip ülkelerin bilgisayar ağlarına sızmada dünya lideri olan NSA, kendi ağlarını koruyamadı denilmişti. 

O zamanlar “dijital krallığın anahtarlarını” ShadowBrokers’ın ellerine veren NSA yerine bugün FireEye’ın benzer senaryoyla karşılaştığını görüyoruz. Şirketin Red Team araçları çalındı. FireEye’ın güvenilirliği zedelendi ve şirketin şimdiden borsa değeri yüzde 7 oranında düştü. 

4- FIREEYE NASIL ÖNLEMLER ALDI?

FireEye çalınan araç ve analizlerin saldırıyı gerçekleştiren aktörler tarafından kullanılmasına karşı bir dizi önlem aldıklarını duyurdu. Çalınan Red Team araçlarının kullanımını tespit edebilecek veya engelleyebilecek karşı önlemler hazırladığını duyuran FireEye, güvenlik ürünlerine karşı önlemler aldıklarını, bu karşı önlemleri güvenlik araçlarını güncelleyebilmeleri için güvenlik topluluğundaki meslektaşlarıyla paylaştıklarını açıkladı. 

Ek olarak karşı önlemleri GitHub’larında herkese açık hale getirdiklerini vurgulayan FireEye, “Red Team araçlarına yönelik ek azaltma önlemlerini hem genel olarak hem de doğrudan güvenlik ortaklarımızla paylaşmaya ve geliştirmeye devam edeceğiz” vurgusunu yaptı.

5- RED TEAM ARAÇLARIYLA NE YAPILABİLİR?

ABD hükümeti bir ‘amaca’ yönelik siber silahlar ürettiğinden muhtemelen NSA’in araçlarının FireEye’dan daha tehlikelidir. Özellikle yanlış ellere geçtiğinde. FireEye’ın Red Team araçları da şirketin çok çeşitli saldırılarda kullandığı kötü amaçlı yazılımlardan oluşuyor. Yine de bu saldırının olası sonuçları arasında, saldırının aktörlerinin çaldıkları araçlarla yapacakları yeni saldırıların izlerinin örtülmesini sağlaması olasılığı ön plana çıkıyor.

Eski bir NSA çalışanı olan Patrick Wardle, “Bilgisayar korsanları, riskli, yüksek profilli hedefleri hacklemek için FireEye’ın araçlarından yararlanabilir” yorumunu yaptı. Bir yazılım şirketi olan Jamf’te şu anda güvenlik araştırmacısı olan Wardle “Riskli ortamlarda, en iyi araçlarınızı kullanmak istemezsiniz, bu nedenle bu, gelişmiş rakiplere, en iyi yeteneklerini kullanmadan başka birinin araçlarını kullanmanın bir yolunu sunar” dedi.

Bu duruma örnek olarak NSA araçlarının çalınmasından sonra Çinli bir hacker grubunun NSA araçlarını dünyanın dört bir yanındaki saldırılarında kullandığı ortaya çıkmıştı.

6- SALDIRI HANGİ YOLLARLA GERÇEKLEŞTİ?

FireEye’a yapılan saldırıda, aktörler gizlenmek için olağanüstü önlemlere başvurma yoluna gitti. Birçoğu Amerika Birleşik Devletleri içinde, daha önce saldırılarda hiç kullanılmamış binlerce IP adresi oluşturdular. Saldırılarını gerçekleştirmek için bu adresleri kullanarak, bulundukları yeri daha iyi bir şekilde gizlediler.

FireEye’ın CEO’su ve şirketin 2014 yılında satın aldığı Mandiant firmasının kurucusu Kevin Mandia, “Bu saldırı, yıllar boyunca yanıtladığımız on binlerce olaydan farklı” dedi.

FireEye, bilgisayar korsanlarının en korumalı sistemlerini tam olarak nasıl ihlal ettiğini hala araştırdığını söylerken Mandia ince detayları aktardı.

Eskiden Hava Kuvvetleri istihbarat biriminde çalışan Mandia, aktörlerin “birinci sınıf yeteneklerini özellikle FireEye’ı hedef alacak ve onlara saldıracak şekilde tasarladıklarını” söyledi. “Operasyonel güvenlik” konusunda oldukça eğitimli göründüklerini, “disiplin ve odaklanma” sergilediklerini, güvenlik araçlarının tespitinden kaçmak için gizlice hareket ettiklerini söyledi. 

Google, Microsoft ve siber güvenlik araştırmaları yapan diğer firmalar ise bu tekniklerden bazılarını hiç görmediklerini belirttiler.

7- RUSLAR İNTİKAM MI ALIYOR?

Amerikalı araştırmacılar, NSA’in Pazartesi günü yaptığı açıklamada, Rusya’nın arkasında olduğunu belirttiği saldırılarla FireEye’a yapılan saldırı arasında herhangi bir ilişki olup olmadığını araştırıyor.

Ayrıca saldırının FireEye’a bir misilleme olduğu da düşünülüyor. FireEye daha önce birçok Rus destekli aktörü, yaptıkları araştırmalar sonrası ortaya çıkarmıştı. Örneğin FireEye, Mart 2018 tarihinde, siber korsanların bir Suudi petrokimya tesisinin güvenlik kontrollerini bozarak bir patlama yaratma girişiminde bulunduklarını, bunun arkasında ise Rus destekli aktörlerin yer aldığını duyurmuştu. New York Times’ın yazdığına göre saldırganların kodunda bir hata olmasaydı, planları başarıya ulaşacaktı.

Washington’daki Stratejik ve Uluslararası Çalışmalar Merkezi’nde bir siber güvenlik uzmanı olan James A. Lewis, “Ruslar intikam almaya inanıyor” yorumunu yaptı. Lewis “Birden, FireEye’ın müşterileri savunmasız hale geldi” dedi.

Salı günü, Rus uzmanlar yaptıkları forumda Amerika’nın yaptırım ve iddianameleriyle sonuçlanan saldırılardan sorumlu tutulan hackerların Ruslarla ilişkilendirilebileceğine dair bir kanıt yok dedi.

8 – SALDIRIYA UĞRAYAN DİĞER SİBER GÜVENLİK FİRMALARI HANGİLERİ?

Siber güvenlik firmaları, kısmen, araçlarının dünyanın her yerindeki kurumsal ve devlet müşterilerine ‘erişim düzeyi’ sağlaması nedeniyle, devlet destekli siber aktörler için sık sık hedef olmuştur. Siber aktörler, bu araçlara erişerek ve kaynak kodunu çalarak siber güvenlik firmalarının müşterilerinin sistemlerine girebilir.

McAfee, Symantec ve Trend Micro gibi güvenlik şirketleri, geçen yıl Rusça konuşan bir hacker grubunun kodlarını çaldığını iddia ettiği büyük güvenlik şirketleri arasında yer aldığı, Rus güvenlik şirketi Kaspersky’nin 2017 yılında İsrailli bilgisayar korsanları tarafından saldırıya uğradığı, 2012’de Symantec’in, antivirüs kaynak kodunun bir bölümünün bilgisayar korsanları tarafından çalındığını doğruladığı biliniyor. 

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Uluslararası İlişkiler

BND internet trafiğini kafasına göre ‘dinleyemeyecek’

Yorum yapın

Siber casusluk dünyasında, güç, dünyanın internet altyapısından sağlanan bilgi akışına sahip olanların elinde bulunmakta. Dolayısıyla Almanya’nın, dünyanın en büyük internet değişim noktalarından (IXP) birine ev sahipliği yapması, ülkenin istihbarat örgütüne çok fazla bir güç sağlamış oldu. Alman İstihbarat Örgütü (BND), NSA gibi denizaşırı ortakları ile paylaşılabilecek bilgiler için bu değişim kavşağından geçen tüm yabancı internet trafiğini kontrol edebiliyordu. Ancak Anayasa mahkemesi bu durumun önünü kesecek bir karara imza attı.

Söz konusu davayı Anayasa mahkemesine taşıyan kişiler, çatışma bölgelerinde insan hakları ihlallerine ilişkin haberler yapan gazeteciler. İstekleri ise Alman casusların yurtdışındaki yabancıların e-posta ve diğer verilerini izleme imkanının ellerinden alınması. Halihazırda bu verilerin bir kısmı diğer ülkelerin istihbarat örgütleri ile paylaşılıyor.

Alman Anayasa Mahkemesi yabancıların da Almanya anayasası uyarınca kişinin mahremiyetinin korunması hakkından yararlandığına hükmetti. Bu da Alman istihbarat örgütlerine bundan böyle bu kişilerin bilgilerine hak çerçevesinden bakma zorunluluğu getirdiği anlamına geliyor. 2016 yılında yürürlüğe konan söz konusu düzenleme yabancıların haklarını çeşitli şekillerde çiğnemekte. Mahkemenin konuya ilişkin kararında ise şu ifadeler yer aldı: “Düzenlemeler, tek tek hedeflerden ziyade toplu halde gözetime imkan sağlıyor. Gazeteciler ve avukatlar için olması gereken koruma yok ve bilgiyi NSA gibi kuruluşlarla paylaşma noktasında ise yeterli kısıtlama bulunmamakta.”

https://siberbulten.com/uluslararasi-iliskiler/tarihin-ilk-siber-casusuluk-operasyonu-kgbye-veri-satan-alman-hackerlar/

FRANKFURT’TAKİ İNTERNET DEĞİŞİM NOKTASINI DİNLEMİŞLERDİ

Mahkeme, diğer ülkelerdeki yabancıların izlenmesini düzenleyen anayasaya uygun bir kanun çıkarmanın mümkün olduğunu, Alman hükümetinin 2021’in sonuna kadar gerekli düzenlemeleri yapması gerektiğini kaydetti.

Alman BND istihbarat ajansı 11 Eylül olaylarının ardından NSA ile bir istihbarat paylaşımı anlaşması yapmıştı. Edward Snowden’ın 2013’te NSA’ya ait gizli bilgileri ifşa etmesinin ardından NSA, BND’yi Avrupa Havacılık Savunma ve Uzay Şirketi, Fransa ve Avusturya yönetimleri gibi yüksek profilli hedefler hakkında bilgi toplamaya yönlendiriyordu.

Bu gelişme, Berlin’de bir meclis soruşturmasını tetikledi. Soruşturma, BND’nin Frankfurt’ta (Brezilya İnternet Değişim Noktası’ndan sonra dünyanın en büyük ikinci İnternet değişim noktası) DE-CIX İnternet değişim noktasından akan verileri kullandığına ilişkin bir çok bilgi açığa çıkarmıştı. DE-CIX’in operatörleri, BND’nin akan internet trafiğinin sadece beşte birini izlemesi gerekirken her şeyi kullandığını ileri sürmüştü.

https://siberbulten.com/sektorel/trky/yeni-yayinlanan-kalkinma-plani-siber-guvenligi-nasil-etkileyecek/

BEŞTE BİR KURALI 2016’DA DEĞİŞTİ

2016 yılında çıkarılan yasa ile getirilen çözüm, BND’nin aslında gizlice yaptığı şeyleri yasal hale getirmekten başka bir şey değildi. Gözetlemelerde yüzde 20 sınırını kaldıran yasa, BND’nin istediği her şeye erişmesine izin verdi. Yasa ayrıca ajansın gazetecilerin iletişim ağını gözetlemesine de açıkça izin verdi.

Anayasa mahkemesinin verdiği son karar ise elde edilen bilgilerin hiçbirinin meşru olmadığını zira Alman hükûmetinin sınırları dışındaki yabancıları Almanya’nın anayasası ile güvence altına alınan mahremiyet haklarının dışında tutma yanılgısına düştüğünü ileri sürdü.

BND ise yaptığı açıklamada, kararı değerlendireceklerini ve hükümetin kanunlarını hem temel hakları hem de Almanya’nın güvenliğini koruyacak şekilde düzenlemesine yardımcı olacaklarını söyledi. BND Başkanı Bruno Kahl, “Yasalara uygun hareket edilmesi, en fazla BND’nin çıkarınadır” şeklinde konuştu.

Sınır Tanımayan Gazeteciler Başkanı Christian Mihr yaptığı açıklamada, “Federal Anayasa Mahkemesi bir kez daha basın özgürlüğünün öneminin altını çizdi. Mahkeme’nin BND’nin deniz aşırı ülkelerde artan gözetim uygulamalarına son vermesinden memnuniyet duyuyoruz.” dedi.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

 

Uluslararası İlişkiler

Covid-19 siber çatışmanın merkezine oturdu: ABD Çin’i aşı için siber saldırıda bulunmakla suçluyor

Yorum yapın
A man is reflected in a monitor as he takes part in a training session at Cybergym, a cyber-warfare training facility backed by the Israel Electric Corporation, at their training center in Hadera, Israel July 8, 2019. Picture taken July 8, 2019. REUTERS/Ronen Zvulun

FBI ve ABD İç Güvenlik Bakanlığı, Çinli bilgisayar korsanları ve casuslarının Amerika’da korona virüse karşı geliştirilen aşı ve tedavi yöntemlerine erişmeye çalıştığına dair bir uyarı hazırlığı içerisinde.

Uyarı, İsrailli yetkililerin iddiasını destekleyecek kanıt sunmamasına rağmen İran’ı nisan ayı sonlarında su rezervlerine yönelik siber saldırı iddiasıyla uyarmasıyla aynı dönemde gündeme geliyor. Birçok ülke askeri istihbarat servislerini ve bilgisayar korsanlarını, diğer ülkelerin virüsle mücadele bilgilerini toplamak için konuşlandırdı. Özel güvenlik şirketlerine göre, Güney Kore gibi Amerikan müttefiki ülkeler ve hatta siber casusluk konusunda öne çıkmayan Vietnam gibi ülkeler bile aniden devlet destekli bilgisayar korsanlarını virüsle ilgili bilgilere odaklanmaya yönlendirdiler.

Önümüzdeki günlerde yayınlanmak üzere hazırlanan ‘uyarı’ taslağı, Çin’in ‘yasadışı yollarla aşıya, tedavi ve testlere dair değerli fikri mülkiyet ve halk sağlığı verilerine erişmeye çalıştığını’ söylüyor. ‘Uyarı’ taslağı siber hırsızlık ve “geleneksel olmayan aktörlerin” eylemlerine odaklanıyor. Bu kavram Trump yönetiminin, akademik ve özel laboratuvarlardan başkaları tarafından harekete geçirilen ve veri çaldığını söylediği araştırmacı ve öğrencilere taktığı isim.

TRUMP’IN 2 YIL ÖNCE ÇIKARDIĞI BAŞKANLIK EMRİ DEVREDE

Eski ve mevcut yetkililerin söylediklerine göre, Çin devletince desteklenen hacker ekiplerine karşı özel bir suçlamada bulunma kararının, ABD Siber Komutanlığı ve Ulusal Güvenlik Ajansı’na (NSA) Trump’ın yaklaşık iki yıl önce verdiği yasal yetkiler nezdinde orantılı karşı saldırılarda bulunmaları için Çinli ve diğer bağlantılara baskıda bulunma gücüne sahipler. Bu durum 18 ay önce 2018 yarı dönem seçimlerine müdahale etmeye çalışan Rus istihbarat gruplarına darbe indirme çalışmalarına; Amerikan kamu kuruluşlarına yapılan saldırılara karşılık bir uyarı olarak Rus enerji nakil şebekesine kötü amaçlı yazılım yüklemelerine benziyor.

Trump ABD’nin ofansif siber operasyonları için kuralları gevşetti

İlerleyen günlerde yapılacak uyarı aynı zamanda Trump yönetiminin Çin hükümetini, salgının kaynağı olmakla ve ardından bu durumu kendi yararına kullanmakla suçlamaya yönelik çabalarının bir tekerrürü.

ABD Dışişleri Bakanı Mike Pompeo bu ay, virüsün Çin’deki bir laboratuvardan geldiğiyle alakalı ‘önemli kanıtlar’ olduğunu iddia etmişti. ABD Ulusal İstihbarat Direktörlüğü ise salgının kaynağının ne olduğunu hâlen araştırdıklarını ancak virüsün insan eliyle üretilmiş gibi görünmediğini belirtmişti. Bilim insanları, koronavirüsün büyük ihtimalle, Vuhan’da egzotik hayvan etlerinin satıldığı bir pazardan yayıldığına inanıyor. Virüsün hayvandan insana geçişinin bu pazarda gerçekleştiği düşünülüyor.

Dışişleri Bakanlığı Cuma günü virüs hakkında yanlış içerikler paylaşan Çinli bir Twitter hesabını açıkladı. Twitter yöneticileri, Dışişleri Bakanlığı’nın bahsettiği bazı twitter hesaplarının aslında Çin hükümetinin açıklamalarını eleştirdiğini ifade ederek herhangi bir girişimde bulunmadı.

Siber Güvenlik ve Altyapı Güvenlik Ajansı yöneticisi Christopher Krebs ‘Çin’in siber alemdeki kötü davranışlarının uzun tarihinin halihazırda belgelendiğini, böylece Çin’in, ülkenin Covid-19 salgınına müdahalede bulunan kritik kurumlarını takip etmesinin kimseyi şaşırtmayacağını’ söyledi. Kurumun ‘agresif bir şekilde ülke çıkarlarını koruyacağını’ da ekledi.

Geçen hafta, ABD ve Britanya ‘sağlık kuruluşları, ilaç şirketleri, akademik çevreler, tıbbi araştırma kuruluşları ve yerel yönetimlerin’ hedef alınmış olduğuna dair ortak bir uyarı yayınladı. Hedef kelimesi genellikle Rusya, Çin, İran ve Kuzey Kore gibi en aktif siber operatörleri tanımlamak için kullanılsa da belirli bir ülke ismi uyarıda geçmedi.

ABD’nin B planı: Seçim sistemi hacklenseydi, Rusya’ya siber saldırı yapılacaktı

YARIŞTAKİ TEK ÜLKE ÇİN DEĞİL

Güvenlik uzmanları Çinli bilgisayar korsanlarının, Covid-19 aşısı veya etkili bir tedavi bulma yarışında üstünlük kurmak için saldırılarını arttırdığını ancak Çinlilerin bu yarıştaki tek ülke olmadığını söylüyor.

İranlı bilgisayar korsanları da on gün önce klinik denemeler için Gıda ve İlaç İdaresi tarafından onaylanan tedavisel ilacı ele geçirmek üzere ilaç araştırma şirketi ve aynı zamanda remdesivir üreticisi olan Gilead Sciences’a saldırmaya çalışırken yakalandı. Hükümet yetkilileri ve Gilead bu saldırının başarılı olup olmadığını açıklamayı reddetti.

İsrail güvenlik danışmanları 24-25 Nisan tarihlerinde İsrail’in su rezervlerine yönelik gerçekleştirilen siber saldırı hakkında geçen hafta gizli bir toplantı düzenledi. İsrail medyası bu saldırı için İran’ı suçlarken herhangi bir kanıt sunmadı. Yetkililer saldırının erkenden tespit edildiğini ve su rezervlerine zarar vermediğini bildirdi.

Nijeryalı siber suçlular da bu yarışa dahil oluyor. Son zamanlarda Nijeryalı siber suçlular, koronavirüs temalı e-posta saldırılarıyla beraber şirketleri hedeflemeye başladılar. Bu saldırılar aracılığıyla hedefleri para transfer etmekle veya karanlık ağdan gelir sağlayacak kişisel verileri çalmakla ikna etmeyi kapsıyor.

Google’daki güvenlik araştırmacıları, Amerika Birleşik Devletleri hükümeti çalışanlarına gönderilenler de dahil olmak üzere kurumsal ağlara sızmak için virüsle alakalı e-postaları kullanan bir düzineden fazla ulus devlet hack grupları tanımladı. Google özel olarak ülke ismi vermedi. Ancak son sekiz haftada birçok devlet, aralarında siber saldırı konusunda tanınmış olan İran ve Çin gibi hatta bu alanda ön plana çıkmamış olan Vietnam ve Güney Kore gibi ülkelerin milyonlarca çalışanın aniden evden çalışmaya zorlanmasından kaynaklanan güvenlik boşluklarından faydalanmaya çalıştığı biliniyor.

Bir güvenlik firması olan Bugcrowd’un kurucusu Casey Ellis, ‘Saldırıların ve güvenlik açıklarının doğası, dışarıdan gelen tehditlere karşı oluşturulan güvenli alanı radikal bir biçimde değiştirdiğini’ söyledi. Ayrıca Casey Ellis bazı durumlarda ise bilgisayar korsanlarının zaten sıkışmış olan ve saldırıya uğraması kolay görünen hastaneleri hedef olarak seçmesinin ‘yalnızca bebek tekmelemek’ olduğunu söyledi.

KORONAVİRÜS SİBER ALANDA YENİ BİR ‘HEDEF SINIFI’ YARATTI

Koronavirüs bütünüyle yeni bir ‘hedef sınıfı’ yarattı. Son haftalarda siber güvenlik uzmanlarına göre, Vietnamlı bilgisayar korsanları odak noktalarını virüs konusunda çalışma yürüten Çinli hükümet yetkililerine yönlendirdi.

Güney Koreli bilgisayar korsanları Dünya Sağlık Örgütü, Kuzey Kore, Japonya ve Amerika Birleşik Devletleri resmi kurumlarını hedef almış durumda. Özel şirketler için çalışan iki güvenlik uzmanına göre saldırılar, büyük bir olasılıkla virüs önleme düzenlemeleri ve tedavileri hakkında istihbarat toplama amacıyla geniş çaplı bir çalışmanın parçası olarak e-posta hesaplarını kırmaya yönelik bir teşebbüs olarak görünüyor. *Durum böyleyse bu hareketler müttefiklerin bile, hükümet yetkililerinin dünya genelindeki ölüm ve vaka sayılarının yanlış verildiğine yönelik şüphelerinin olduğunu gösteriyor.

Bir siber güvenlik firması olan Darktrace’in siber istihbarat direktörü olan eski bir ulusal güvenlik istihbarat analisti olan Justin Fier ’Bu küresel bir salgın ancak ülkeler bunu global bir problem olarak ele almıyor’ dedi. Justin Fier sözlerini şöyle sürdürdü ‘ Herkes ilaç araştırmaları, kişisel koruyucu donanım siparişleri ve mücadele konularında kimin ilerleme kaydettiğini görmek için geniş çaplı istihbarat toplama faaliyetleri yürütüyor’. Son zamanlarda artan siber saldırılardaki sıklığın alışılmışın dışında olduğunu da ekliyor.

Cambridge Üniversitesi ve İngiliz istihbaratının arkasında olduğu şirket: Darktrace

Salgından önce bile Amerika Birleşik Devletleri, biyolojik araştırmalara ait fikri hakları çalmak için Çin’in şüpheli girişimlerini takip eden davalar hakkında daha da agresif hale geliyordu. Adalet Bakanlığı Ocak ayında yaptığı açıklamada, Harvard Üniversitesi Kimya ve Kimyasal Biyoloji bölümü başkanı Charles M. Lieber’in, Çin’e yabancı teknoloji transferi ve fikri mülkiyete sahip insanları çekmek için oluşturulan Çin’in ‘Bin Yetenek Planı’ndaki rolünü ve dahlini gizlemekle suçlandığını duyurdu. Profesöre yöneltilen suçlamalardan bir diğeri, bu işin karşılığında Pekin yönetiminden aldığı on binlerce dolarlık ödeneği saklamak.

Ancak halihazırda Harvard Üniversitesi ve bir Çin enstitüsü koronavirüs tedavileri ve aşıları hakkında birlikte bir çalışma yürütüyor ve araştırmacılar, küresel bir aşı için eğer umut varsa uluslararası iş birliğinin hayati önem taşıyacağını söylüyor.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Türkiye

Kriz çıkartacak iddia: Phlips, Türkiye’yi dinlemesi için ABD’ye yardım etti

Yorum yapın

Dünya İsviçre merkezli Crypto AG’nin gerçek sahiplerinin CIA ve BND olduğunun ortaya çıktığı yüzyılın istihbarat skandalını konuşurken, Türkiye’nin merkezde olduğu yeni bir iletişim güvenliği krizi  patlak verdi.

Hollandalı teknoloji devi Philips’in, Türkiye’de şifreli görüşmeleri dinleyebilmesi için Amerika Birleşik Devletleri’ne yardım ettiği iddia edildi.

Philips’in eski çalışanı kriptolog Cees Jansen, Türkiye’ye kırılması kolay şifreleme cihaz satıldığını söyledi.

Hollandalı basın kuruluşu Argos’a konuşan Jansen, ABD’li Ulusal Güvenlik Ajansı’nın (NSA) Philips’ten yardım aldığı süreci anlattı.

NATO ÜYELERİNİN GÜVENLİ İLETİŞİMİ İÇİN KULLANILIYORDU

Eski Philips çalışanı Aroflex adlı bir teleksin şifresinin kırılmasını kolaylaştırdıklarını açıkladı. Aroflex 1976 ile 1982 yılları arasında NATO üyeleri arasında güvenli iletişimi sağlamak için kullanılıyordu.

Türk hükümeti de kendi elçilikleri ile iletişim kurmak ve iç görüşmelerde kullanmak üzere cihazdan satın almak istedi. Jansen’in yaptığı açıklamaya göre ABD Ulusal Güvenlik Ajansı Türkiye’ye cihazın satılmasından önce şifresinin kırılmasının kolaylaştırılmasını istedi. Almanya bu konuda iş birliğini reddetti. Bunun üzerine Amerikalılar, görüşmeleri Hollanda istihbaratı ve üretici firma Philips ile devam ettirdi.

TÜRK HÜKÜMETİ FARK EDER DİYE GÖRÜNÜMÜ DEĞİŞTİRMİŞLER

Aroflex’in üreticileri Philips ve Siemens, açık pazarda da söz konusu cihazın bir türünü satıyordu. Şirket içinde “Beroflex” şeklinde adlandırılan cihazın şifrelerinin kırılması, orijinal Aroflex’e göre daha kolaydı.

Ancak Türkiye’ye doğrudan “Beroflex” satmaları durumunda Türk hükümetinin bunu fark edeceğini söyleyen eski çalışan Jansen, “Benden Aroflex görünümlü ama aslında Beroflex olan bir cihaz üretmemi istediler” açıklamasını yaptı.

Zamanında yapılanı sorgulamadığını ve patronlarının talebini yerine getirdiğini söyleyen Jansen, fikir değiştirdiği için açıklamalarda bulunduğunu belirtti.

Geçtiğimiz günlerde The Washington Post gazetesinin yayımladığı bir haberde Amerikan ve Alman istihbarat birimlerinin 120’den fazla ülkeye şifreleme cihazı satan Crypto AG’yi satın aldığı ortaya çıkmıştı:

https://siberbulten.com/dijitalguvenlik/dunyaya-kripto-cihazlari-satan-isvicreli-sirketin-gercek-sahibi-cia-cikti-iste-yuzyilin-istihbarat-skandali-hakkinda-bilmeniz-gerekenler/

Siber Bülten abone listesine kaydolmak için formu doldurunuz