Etiket arşivi: pentest

Uluslararası İlişkiler

Kuzey Kore’nin hacklediği ABD’li, intikam için ülkenin internetini kesti

Yorum yapın

Kuzey Kore’nin hacklediği ABD’li, intikam için ülkenin internetini kestiKuzey Kore’nin ABD’li güvenlik araştırmacılarına yönelik saldırılarına Washington’ın yeterli tepki vermemesinden dolayı hayal kırıklığına uğrayan bir hacker, meseleyi kendi yöntemleriyle halletmeye karar verdi. 

Geçtiğimiz haftalarda Kuzey Kore’deki gözlemciler, ülkenin bazı ciddi bağlantı sorunlarıyla boğuştuğunu fark etti. Zira, farklı farklı günlerde, web sitelerinde topluca bağlantı kopukluğu yaşandığı gözleniyordu. Air Koryo (uçak rezervasyon sitesi) ve Naenara, (diktatör Kim Jong—un hükümeti için resmi portal olarak hizmet veren sayfa) bağlantı problemi yaşayan sitelerden yalnızca ikisiydi. 

Yapılan incelemelerde ülkenin ağlarına erişime izin veren merkezi yönlendiricilerden en az birinin bir noktada felç olduğu ve bu durumun “Hermit Krallığı’nın dış dünyayla olan dijital bağlantılarını sakat bıraktığı ortaya çıktı. 

Bazı Kuzey Kore gözlemcileri, ülkenin bir dizi füze testi gerçekleştirdiğine dikkat çekerek, yabancı bir hükümete bağlı çalışan hackerların devlete karşı kılıç sallamayı bırakmasını söylemek için siber saldırı başlatmış olabileceğini ima etti. 

“DİŞİMİZİ GÖSTERMEZSEK SALDIRILAR DEVAM EDER”

Ancak kısa bir süre sonra Kuzey Kore’nin devam eden internet kesintilerinin sorumluluğunun ABD Siber Komutanlığı veya başka bir devlet destekli hackerlara ait olmadığı ortaya çıktı. Olayın oturma odasında pijama ve terliğiyle oturmuş uzaylı filmleri izleyip baharatlı mısır cipsi yiyen Amerikalı bir adamın işi olduğu anlaşıldı. 

Bir yıl kadar önce, P4x takma adını kullanan bağımsız bir hacker, Kuzey Kore casusları tarafından hacklendi. P4x, hackerlık araçlarını ve yazılım açıklarına ilişkin bilgileri çalmak amacıyla batılı güvenlik araştırmacılarını hedef alan bir siber saldırı kurbanlarından sadece biriydi. P4x, saldırganların kendisinden değerli bir şey çalmasını bir şekilde engellemeyi başarabildiğini belirtiyor. Ancak yine de, kendisini kişisel olarak hedef alan devlet destekli hackerlar yüzünden ve ABD hükümetinden görünür bir yanıt gelmemesi nedeniyle tedirgin olduğunu ifade ediyor.

Kuzey Koreli hackerlar, 2021’de 400 milyon dolarlık kripto para çalmış

P4x’in bir yılın ardından sorunu kendi yöntemleriyle çözmeye karar vermesi de bu sebebe dayanıyor. Konuyla ilgili Wired’a konuşan P4x, kovuşturma veya misilleme korkusuyla gerçek adını kullanmayı reddederek şu açıklamalarda bulunuyor: “Dişimizi göstermezsek bu saldırılar gelmeye devam edecek. Bize saldırmaya devam ederlerse altyapılarının çökmeye başlayacağını anlamalarını istiyorum.”

GÜVENLİK AÇIKLARINI AÇIKLAMAYI REDDETTİ

P4x, Kuzey Kore sistemlerinde, ülkenin ağının bağlı olduğu sunuculara ve yönlendiricilere tek başına DoS saldırıları başlatmasına izin veren çok sayıda bilinen ancak eşleştirilmemiş güvenlik açığı bulduğunu söylüyor. ABD’li güvenlik araştırmacısı, Kuzey Kore hükümetinin savunmasına yardımcı olacağı gerekçesiyle bu güvenlik açıklarını açıklamayı ise reddetti.

Web sunucusu yazılımı NginX’te, belirli HTTP başlıklarını yanlış kullanan ve yazılımı çalıştıran sunucuların aşırı yüklenmesine ve çevrimdışı duruma getirilmesine izin veren bir zafiyeti dile getirmekle yetindi. Ayrıca, Kuzey Kore’nin eski ve muhtemelen savunmasız bir Linux sürümü olarak tanımladığı Red Star OS olarak bilinen kendi ulusal homebrew işletim sistemini incelemeye başladığını söyledi.

P4x, Kuzey Kore sistemlerine yönelik saldırılarını büyük ölçüde otomatikleştirdiğini, periyodik olarak hangi sistemlerin çevrimiçi kaldığını numaralandıran komut dosyalarını çalıştırdığını ve ardından bunları kaldırmak için istismar araçları piyasaya süreceğini söylüyor. P4x, “Bence bu, küçük ve orta ölçekli bir pentest’e benziyor.” diyor ve geçmişte bir müşterisinin ağındaki güvenlik açıklarını ortaya çıkarmak için gerçekleştirdiğine benzer şekilde beyaz şapkalı hackerlık yaptığını açıklıyor.

İnternetsiz Kuzey Kore siber saldırılar ile nasıl döviz elde ediyor?

Web sitelerinin çalışma süresini ve performansını izleme faaliyetlerinde bulunan Pingdom’un kayıtları, P4x’in hacklenmesi sırasında neredeyse her Kuzey Koreli web sitesinin birkaç kez devre dışı kaldığını gösteriyor. (Kapanmayan sitelerden Uriminzokkiri.com’un sunucusu ülke dışında bulunuyor.) Kuzey Kore internetini izleyen bir siber güvenlik araştırmacısı Junade Ali, iki hafta önce başlayan gizemli internet kesintilerini  kimin gerçekleştirdiğine dair uzunca bir süre hiçbir fikre sahip olmadan yakından takip ettiğini söylüyor.

Ali, ülke için kilit yönlendiricilerin zaman zaman devre dışı kaldığını gördüğünü ve yalnızca ülkenin web sitelerine değil, e-postalarına ve diğer internet tabanlı hizmetlere de erişimin durduğunu söyledi. 

ABD HÜKÜMETİNE  MESAJ NİTELİĞİNDE

Tek bir hackerın bu ölçekte bir internet kesintisine neden olması ne kadar nadir bir durum olursa olsun, saldırıların Kuzey Kore hükümeti üzerinde etkisi olduğu bir gerçek. Fakat bu etkinin ne boyutta olduğu net değil. Stimson Center adlı düşünce kuruluşunun Kuzey Kore odaklı projesi 38 Kuzey’in araştırmacısı Martyn Williams, Kuzey Korelilerin yalnızca küçük bir kısmının internet bağlantılı sistemlere erişebildiğini söylüyor. Vatandaşların büyük çoğunluğu ülkenin bağlantısız intranetiyle sınırlı. Williams, P4x’in defalarca devre dışı bıraktığı onlarca sitenin büyük ölçüde propaganda ve uluslararası bir kitleye yönelik diğer işlevler için kullanıldığını söylüyor.

Williams, bu siteleri devre dışı bırakmanın bazı rejim yetkilileri için hiç şüphesiz bir sıkıntı teşkil etmesine rağmen, geçen yıl P4x’i hedef alan hackerların – neredeyse tüm ülkenin bilgisayar korsanları gibi – Çin gibi diğer ülkelerde bulunduğuna dikkat çekiyor. Williams, “Bu insanların peşinden gidiyorsa, muhtemelen dikkatini yanlış yere yönlendirdiğini söyleyebilirim. Ama amacı eğer sadece Kuzey Kore’yi rahatsız etmekse, muhtemelen sinir bozucu oluyor.”

P4x ise rejimi rahatsız etmeyi bir başarı olarak sayacağını ve internet erişimi olmayan ülke nüfusunun büyük çoğunluğunun asla hedefi olmadığını söylüyor ve ekliyor: “Kesinlikle insanları mümkün olduğunca az ve hükümeti mümkün olduğunca çok etkilemek istedim.”

BAŞKA HACKERLARI DA TEPKİ VERMEYE ÇAĞIRIYOR

Ancak aynı zamanda hackerlığının şu ana kadar güvenlik açıklarını bulmak için test etmeye ve araştırmaya odaklandığını söylüyor. Şimdilerde ise bilgi çalmak ve uzmanlarla paylaşmak için Kuzey Kore sistemlerini gerçekten hacklemeyi denemeyi planlıyor. Aynı zamanda, planlarına başka hackerları da dahil etmek üzere FUNK Projesi (FU Kuzey Kore) adıyla karanlık bir web sitesi açan P4x, davasına daha fazla hacktivist dahil etmeyi umuyor. 

FUNK sitesinde “Bu, Kuzey Kore’yi dürüst tutmak adına hayata geçirilmiş bir proje. Bir kişi olarak bir fark yaratabilirsiniz. Amaç, Kuzey Kore’nin batı dünyasını hacklemesini önlemek için orantılı saldırılar gerçekleştirmektir.” ifadesi yer alıyor. 

P4x, hacktivist çabalarının yalnızca Kuzey Kore hükümetine değil, kendi hükümetine de bir mesaj olması gerektiğini söylüyor. Kuzey Kore ağlarına yönelik siber saldırıları, kısmen Kuzey Kore’nin ABD vatandaşlarını hedef almasına hükümetin yeteri kadar tepki göstermemesine dikkat çekme girişimi olduğunu söylüyor ve ekliyor: “Kimse bana yardım etmeyecekse, ben de kendime yardım edeceğim.” diyor.

Siber Güvenlik

Siber suçlular korsan mahkeme kurdu: Kuralları ihlal eden cezalandırılıyor

Yorum yapın

Dark web üzerinde faaliyet gösteren siber tehdit unsurlarının korsan mahkeme kurararak aralarındaki sorunları çözmeye çalıştıkları ortaya çıktı.

Birçok yeraltı forumu siber suçlular arasındaki anlaşmazlıklarda arabulucu işlevi görüyor.

Siber hırsızların da gururu olduğunu söylemek kulağa tuhaf geliyor olabilir. Ancak en azından bazıları yerine getirilmeyen vaatler, ödenmemiş alacaklar ve işe yaramayan zararlı yazılımlara ilişkin anlaşmazlıkları kendi aralarında çözmek için bir dizi yeraltı kuralına uymayı işin gereği olarak görüyor.

Tehdit istihbarat firması Analyst1’in araştırmacıları geçtiğimiz günlerde bazı büyük siber suç forumlarındaki yapılanmaları analiz etti. Buna göre en az ikisinin suçluların şikayette bulunabilecekleri ve birbirleriyle anlaşmazlıkları çözebilecekleri gayriresmi bir mahkeme sistemine sahip oldukları tespit edildi.

Analist1’in araştırması, dark webde faaliyet gösteren onlarca  davanın günlük olarak bu mahkemelere taşındığını ve forum yönetimi üyelerinden anlaşmazlıkları çözmelerinin beklendiğini ortaya koydu.

600’DEN FAZLA SUÇ BAŞLIĞI VAR

Analist1, bu mahkemelerde açılan davalara ilişkin olarak 600’den fazla konu başlığı sıraladı. Bu gibi durumlarda anlaşmazlıktaki miktarlar tipik olarak birkaç yüz ila birkaç bin dolar arasında değişmekle birlikte, bazıları ise daha yüksek miktarlar üzerindeki anlaşmazlıkları içeriyordu. Örneğin, Nisan 2021’de, Conti fidye yazılım grubuna bağlı bir operatör ve pentest ekibi hakkında, ABD merkezli bir okul sisteminin verilerinin hacklenmesi ve şifrelenmesini içeren bir anlaşmaya uymadığı için 2 milyon dolarlık dava açıldı.

Söz konusu dava, bir buçuk ay süren bir “yargılama” sürecinden sonra iki Conti iştirakinin lehine sonuçlandı. Analist1’in baş güvenlik stratejisti Jon DiMaggio’ya göre ancak diğer birçok durumda, anlaşmazlıklardan karlı çıkan davayı açan suçlular oluyor.  DiMaggio, “Sistem, hakem kararını vermesine rağmen davacılar ödeme almadığında işe yaramaz.” diyor.

Taramadan önce düşünün: QR kodlarını güvenli kullanmanın yolları

Bu yılın başlarında, Huntress Labs’tan araştırmacılar da siber suçluların kendi davranış kurallarına ve bunları uygulamak için bir tür yeraltı mahkeme sistemine sahip olduklarını bildirmişti. Şirketin izlediği bir davada, kötü amaçlı yazılımla gerçekleştirdikleri saldırılar için ödeme yapmak isteyen bağlı kuruluşlardan Hizmet olarak fidye yazılımı grubu DarkSide operatörlerine karşı çok sayıda şikayette bulunmuştu.

ABD makamları ve diğerlerinin, ABD’nin Doğu Kıyısı boyunca geçici petrol kıtlığına neden olan Colonial Boru Hattına yapılan saldırının arkasındaki grup olarak tanımladıktan sonra Darkside’ın aniden faaliyetlerini durdurmasıyla şikayetler artmıştı. İddialar, şikayetlerin yapıldığı siber suçlar forumunun yöneticileri tarafından çözüldü ve bu tür olaylar için oluşturulan bir DarkSide havuz hesabından “davacılara” para ödendi.

Analyst1, tehdit aktörlerinin çeşitli nedenlerle birbirlerine karşı dava açabileceğini tespit etti. Şirket, daha önce başka bir tehdit aktörüne satıldığını ortaya çıkarmak üzere bir ara bulucudan gizliliği ihlal edilmiş bir ağa erişim satın aldığı düşünülen bir tehdit aktörüne işaret ediyor.  Bu davadaki tehdit aktörü, olayın ayrıntılarını genellikle Mahkeme veya Arabuluculuk başlıklı özel bir alt forumda yazarak komisyoncuya karşı harekete geçiyor.

DAVACI DELİL SUNUYOR HAKEM İNCELİYOR

Burada “şikayetçi”, komisyoncunun takma adı, Jabber ve Telegram gibi hizmetlerle ilgili iletişim bilgilerine yönlendiren bir link ve iddia konusu ihlali içeren sohbet günlükleri, ekran görüntüleri gibi delilleri içeren ayrıntılar sunuyor. Sonrasında, delilleri incelemek ve iddia edilen ihlalcinin karşı iddialarını dinlemek için davaya bir hakem atanıyor. Hacker mahkemesi her bir forum üyesine davaya katılma hakkı veriyor, ancak nihai kararı sadece hakem veriyor.

Bir karar davacının lehine olduğunda, “davalı”nın zararı karşılamak ya da forumda gelecekteki herhangi bir faaliyetten menedilme tehlikesiyle karşı karşıya kalmak seçeneklerinden birini seçmesi için belli bir süre veriliyor. Genellikle, iyi organize olan siber suç operatörleri, aldıkları hizmet karşılığında ödeme yapacaklarının kanıtı olarak bir emanet hesaba bitcoin yatırıyorlar. Bir anlaşmazlık kendi lehlerine çözüldüğünde ise tehdit aktörlerine bu hesaptan ödeme yapılıyor. 

DiMaggio, “Satıcı / hizmet operatörünün tahkimden geçtiği ve hakem kararını verdikten sonra ödeme yapmadığı görülürse, hiç kimsenin kendisinden gizliliği ihlal edilmiş bir hedefe erişim satın almayacağı veya kötü amaçlı yazılım satın almayacağı ön görülüyor. 

Analyst1, siber suç forumlarının çoğunun fidye yazılımı ile ilgili tüm konuları, işlemleri ve arbitrajları yasakladığını tespit etti. Yasak, Colonial Pipeline ihlalinden kısa bir süre sonra uygulamaya kondu ve saldırının ardından fidye yazılımı operatörlerini hedef alan kolluk güçleri faaliyetlerine cevap olarak görünüyor.

Büyük yeraltı forumlarında faaliyet gösteren tehdit aktörlerinin genellikle itibarlarını korumak istedikleri için yeraltı mahkemesi kararlarına hızlı bir şekilde uyduğu biliniyor. 

SUÇLULAR İTİBARLARINI KORUMAK İÇİN BÜYÜK ÇABA SARFEDİYOR

DiMaggio, “Suçlular bu forumlarda itibarlarını artırmak için çok çalışıyorlar” diyor. “Bu forumlar fidye yazılımı ortaklık alımının yanı sıra kötü amaçlı yazılım satışı, ihlaller, erişim istismarı hatta hack hizmetlerinin bile verildiği yerler olarak biliniyor.” 

Güven kaybı ya da forumdan yasaklanmanın, siber suçlular üzerinde çok büyük olumsuz bir etkisi olabilir.” diyor. Analyst1, bazı aşırı durumlarda, tehdit aktörlerinin siber suçluların gerçek kimliklerini (fiziksel adres, sosyal medya profilleri ve telefon numaraları dahil) ortaya çıkardığını söyledi.

Huntress’in kıdemli güvenlik araştırmacısı John Hammond, hemen hemen her siber suç forumunun suçlular arasındaki anlaşmazlıkları ele almak için bir tür yargı sistemine veya “halk mahkemesine” sahip olduğunu söylüyor. “Bunlar, bilgisayar korsanlarının, hırsızların ve dolandırıcıların bir çeşit garip sportmenlik veya davranış kuralları” diyor.

Hammond, genellikle bir anlaşmazlığı ele alan hakemin, davacının sunduğu kanıtlara ve forumdaki daha geniş topluluğun genel görüşüne dayanarak karara karar verdiğini söylüyor ve ekliyor:  “Suçlu bulunursa, sanıklar topluluktan men edilebiliyorlar, halka açık bir utanç duvarına yerleştirilebiliyorlar ve kötü itibarları diğer yeraltı forumlarında paylaşılabiliyor” diyor.