İsrail siber istihbaratında önemli görevler yapan Ariel Parnes, buradaki görevinden emekli olduktan sonra siber güvenlik sektörüne hızlı bir giriş yaptı.
Ülkenin siber istihbarat birimi Unit8200’den emekli olduktan sonra İsrailli şirket Mitiga’nın kurucularından Ariel Parnes, Task Force 7 Radio ve Task Force 7 Technologies’in başkanı ve CEO’su olan George Rettas’ın sorularını cevapladı.
İsrail’in özel birimi ‘Unit 8200’ dendiğinde akla Amerika’nın NSA’i veya İngiltere’nin GCHQ’su geliyor. İsrail Savunma Kuvvetleri’nin en büyük ve tek birimi Unit 8200’nin içinde albay olarak emekli olmadan önce 20 yıl çalıştı Ariel Parnes. Çalıştığı zaman boyunca da istihbarat, bilgi teknolojisi, ofansif ve defansif siber güvenlik operasyonları ve siber savaşlar gibi çeşitli rollerde yer aldı. Ariel Parnes aynı zamanda siber güvenlik alanında prestijli bir ödüle de sahip.
DİSİPLİN VE YARATICILIK
İsrail’in siber istihbarat birimi Unit 8200’de çeşitli görevler üstlenen Ariel, geçirdiği süre boyunca ordu disiplinini yaratıcılıkla dengelemeye çalıştı. Üstlendiği roller nedeniyle orduya katılan gençlere birimi tanıttı. Ordu kurallarıyla birimdeki yaratıcılığın hassas bir denge olduğunu söyleyen Ariel, yeni katılan gençler için “Hem kuralları uygulayıp hem de bu kuralları birimin genç yeteneklerine göre düzenlemek gerçekten çok hassas. Bir süre sonra yetenekli gençler yeterli tecrübe kazanıp kendi işlerini kurmaya başlıyor” ifadelerini kullandı.
“SÜREKLİ MEYDAN OKUYUN”
Ariel, askeri birliğin önemini üç maddeyle açıkladı: Ülke, aile ve toplum için oldukça önemli olan çabalara katılma ayrıcalığı, son teknolojilerle çalışabilme fırsatı ve üst düzey deneyime sahip olma. Bu üç maddeyle birim için hizmet etti ve daha sonra kendi eklediği üç madde ile de birimden ayrıldı. Ariel, “Risk alın ve hatalarınızı kabul edin. Çevrenizi sizden daha zeki olan insanlarla çevreleyin ve sürekli meydan okuyun.”
“ASIL ENDİŞELENMEMİZ GEREKEN ULUS DEVLET DESTEKLİ GRUPLAR”
Gelecekteki siber güvenlik tehditleri hakkındaki soruyu yanıtlayan Ariel, “Asıl endişelenmemiz gereken siber suç arenasında ortaya çıkan ulus devlet destekli gruplar. Shadow Brokers, EternalBlue, WannaCry gibi örneklerden bahsetmeye gerek yok. Siber yetenekler geliştirmek için daha fazla yatırım yaptıkça daha kontrollü hareket eden siber suç grupları da artacaktır. Ayrıca bu gruplar ulus devlet kaynaklarına sahip olacağından saldırganlar ile savunanlar arasındaki makasın açılmasını sağlayacak. Farklı bir şey yapmazsak siber güvenlikten sorumlu olanların elinde çok sınırlı kaynak olacak.” dedi.
Pandemi sürecindeki sıkıntılardan bahseden Ariel, “Şu anki sıkıntı ise pandemi kaosu sırasında teknolojiye adaptasyon konusunda yaşanıyor. Zoom gibi uygulamaları kullanma baskısı ve acelesi, kullanıcılardan geliştiricilere kadar güvenlik açıkları vermek anlamına geliyor. Açık kollayan siber suç grupları içinse bu, bulunmaz nimet. Böyle devam ettikçe yeni saldırı dalgaları da gelecektir. Bu tarz saldırılara karşı da en iyi silah, sürekli eğitim ve farkındalıktır.”
“MÜŞTERİLERİMİZE DEĞER KATIYORUZ”
Askerlikle biçimlenen hayatı nedeniyle Ariel, baskı altında nasıl çalışılması gerektiğini iyi biliyor. Kurumsal yaşantısında da bu deneyimini devam ettiren Ariel, çok fazla veriyi kısa sürede işleyebiliyor, hızlı kararlar alabiliyor, aldığı kararları hızla yürütebiliyor ve geliştirebiliyor. Siber güvenlik ihlallerini başarılı bir şekilde yönetmek bu özelliklere bağlı olduğu için bu beceri seti Ariel ve kurduğu şirket için değerli. Kurucusu olduğu Mitiga şirketinin başarısı için Ariel, “Müşterilerimizin gerçek ihtiyaçlarını ele alıyoruz, hizmetlerimizi ve yeteneklerimizi yeni teknolojiler oluşturmak için birleştiriyoruz ve müşterilerimize değer katıyoruz” ifadelerini kullandı.
“SİBER GÜVENLİK FARKINDALIĞINI ARTIRIN”
Herhangi bir iş kurmanın yeterince zor olduğunu söyleyen Ariel bir de kurulan işler için siber güvenlik konusunda adımlar atmanın daha da zor olduğunu ifade ediyor. Ancak her şirketin açıklarını kapatması için bir siber güvenlik uzmanına ihtiyacı olduğunu, şirket genelinde siber güvenlik farkındalığını artırmak için eğitime yatırım yapılmasını ve işin ciddiyetini kavramalarını sağlayacak uygulamalar yapılmasını tavsiye ediyor.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Yıllardır üst düzey bilgisayar korsanlarının hedefinde olan hükümet kurumlarına ve şirketlere yardıma koşan dünyanın önde gelen siber güvenlik firması FireEye, hacklendi. Şirketin Kırmızı Takımının (Red Team) müşterilerin sistemlerini test etmek için kullandığı siber gereçlerin çalındığı olay tüm dünyada yankı buldu.
Daha önceki yıllarda ABD Ulusal Güvenlik Ajansı’ndan (NSA) çalınan ofansif gereçlerle yapılan saldırılar düşünüldüğünde (WannaCry, NotPetya) FierEye’dan sızdırılan istismar kodlarıyla neler yapılabileceğine dair endişeli bir bekleyiş başladı. Gerçekleşen olayın kanıtları Rusya ile ilişkili hackerları gösterse de, FireEye herhangi bir isim vermedi.
İşte 2020’nin en önemli siber saldırısı olabilecek olay ile ilgili bilmeniz gerekenler.
1- FIREEYE NEDEN HEDEF OLDU?
Merkezi Kaliforniya’da bulunan ve 2004 yılında kurulan FireEye, 2013 yılında halka açık küresel bir siber güvenlik şirketi haline geldi. 40’tan fazla ülkede 8,800’ü aşan sayıda müşterisi bulunan FireEye’ın müşterileri arasında Sony ve Equifax gibi Fortune 500’ün içinde yer alan 100’den fazla kurumun da yer aldığını, Forbes Global 2000’de bulunan telekomünikasyon, teknoloji, finansal hizmetler, sağlık hizmetleri, elektrik operatörleri, ilaç şirketleri, petrol ve gaz endüstrisi şirketleri gibi kurumlar da bulunuyor. 3,5 milyar dolarlık FireEye şirketi, büyük siber saldırıların tespiti ve önlenmesinde, bu saldırıları araştırmakta, kötü amaçlı yazılımlara karşı korumakla ve BT güvenlik risklerini analiz etmek için donanım, yazılım ve hizmet sağlamasıyla müşterilerine yardımcı oluyor.
FireEye tarafından Salı günü yayımlanan açıklamada, binlerce müşterisinin savunmasını araştırmak için kullandığı saldırı araçlarını hackleyenlerin “siber alanda üst düzey saldırı yetenekleri olan bir ülke” olarak tanımlanması dikkat çekti. Ayrıca şirket, hackerların dünya çapında yeni saldırılarda kullanılabilecek ‘yeni teknikleriyle’ birlikte kendi araç donanımlarıyla saldırıyı gerçekleştirdiğini duyurdu. Saldırıdan sonra ise şirket, konuyu FBI’a bildirdi.
Rendition Infosec’te çalışan eski bir NSA çalışanı Jake Williams, “Operasyon hakkında bildiklerimizin bir Rus devlet aktörüyle tutarlı olduğunu düşünüyorum” dedi. “Müşteri verilerine erişilmiş olsun ya da olmasın, Rusya için hala büyük bir kazanç” yorumunda bulundu.
FBI konuyu Rusya uzmanlarına devrederken yapılan saldırının ‘bir ülkenin işi’ olabileceğini doğruladı. FBI’ın Siber Bölümü’nden Matt Gorham, “Olayı araştırıyoruz. İlk göstergeler bir ulus devletle uyumlu yüksek düzeyde yeteneklere sahip bir aktörü gösteriyor” ifadelerini kullandı.
2- RED TEAM ARAÇLARI ÇALINMASI NE ANLAMA GELİYOR
Şirket tarafından yapılan açıklamada hackerların, şirketin ‘Red Team araçları’nın peşinde olduğu söylendi. FireEye’ın Red Team’i müşterilerinin güvenlik zafiyetlerini bulmak için tasarlanmış özel araçlarla müşterilerinin sistemlerini hackleyen ekibi tanımlıyor. Red Team’i bu kadar önemli yapan ise FireEye’ın çok çeşitli saldırılarda kullandığı bütün kötücül yazılım araçlarını içinde barındırıyor olması.
FireEye’a yapılan saldırının, halihazırda Amerika’nın gözleri ‘seçimlere’ kitlenmişken Rus istihbarat teşkilatlarının bu durumu avantaj olarak görmesi üzerine saldırıya geçmesi olarak yorumlandı. Amerika’nın kamu veya özel istihbarat sistemlerinin, seçmen kayıt sistemleri veya oylama makineleri ihlalleri aradığı bir anda 2016’daki seçimlerde ihlali bulunan Rus destekli aktörlerin saldırması için iyi bir zamanlama olduğu belirtildi.
3- NEDEN 2016’DAN BERİ YAŞANAN EN BÜYÜK FACİA?
Gerçekleştirilen saldırının 2016 yılında “ShadowBrokers” ekibinin NSA’yi hackleyişinin ardından yaşanan en büyük facia olarak nitelendirildi. 2016 yılında ShadowBrokers adlı hacker grubu NSA’in ‘siber silahları’nı çalmıştı. NSA’ye yönelik yapılan saldırıdan sonra Shadow Brokers’in eylemleri, NSA için feci sonuçlar doğurmuştu. Maddi anlamdaki felaketin dışında NSA’in büyük siber silahları koruma kabiliyeti ve kurumun ulusal güvenliğe verdiği önem konusunda soru işaretleri doğmuştu. Rakip ülkelerin bilgisayar ağlarına sızmada dünya lideri olan NSA, kendi ağlarını koruyamadı denilmişti.
O zamanlar “dijital krallığın anahtarlarını” ShadowBrokers’ın ellerine veren NSA yerine bugün FireEye’ın benzer senaryoyla karşılaştığını görüyoruz. Şirketin Red Team araçları çalındı. FireEye’ın güvenilirliği zedelendi ve şirketin şimdiden borsa değeri yüzde 7 oranında düştü.
4- FIREEYE NASIL ÖNLEMLER ALDI?
FireEye çalınan araç ve analizlerin saldırıyı gerçekleştiren aktörler tarafından kullanılmasına karşı bir dizi önlem aldıklarını duyurdu. Çalınan Red Team araçlarının kullanımını tespit edebilecek veya engelleyebilecek karşı önlemler hazırladığını duyuran FireEye, güvenlik ürünlerine karşı önlemler aldıklarını, bu karşı önlemleri güvenlik araçlarını güncelleyebilmeleri için güvenlik topluluğundaki meslektaşlarıyla paylaştıklarını açıkladı.
Ek olarak karşı önlemleri GitHub’larında herkese açık hale getirdiklerini vurgulayan FireEye, “Red Team araçlarına yönelik ek azaltma önlemlerini hem genel olarak hem de doğrudan güvenlik ortaklarımızla paylaşmaya ve geliştirmeye devam edeceğiz” vurgusunu yaptı.
5- RED TEAM ARAÇLARIYLA NE YAPILABİLİR?
ABD hükümeti bir ‘amaca’ yönelik siber silahlar ürettiğinden muhtemelen NSA’in araçlarının FireEye’dan daha tehlikelidir. Özellikle yanlış ellere geçtiğinde. FireEye’ın Red Team araçları da şirketin çok çeşitli saldırılarda kullandığı kötü amaçlı yazılımlardan oluşuyor. Yine de bu saldırının olası sonuçları arasında, saldırının aktörlerinin çaldıkları araçlarla yapacakları yeni saldırıların izlerinin örtülmesini sağlaması olasılığı ön plana çıkıyor.
Eski bir NSA çalışanı olan Patrick Wardle, “Bilgisayar korsanları, riskli, yüksek profilli hedefleri hacklemek için FireEye’ın araçlarından yararlanabilir” yorumunu yaptı. Bir yazılım şirketi olan Jamf’te şu anda güvenlik araştırmacısı olan Wardle “Riskli ortamlarda, en iyi araçlarınızı kullanmak istemezsiniz, bu nedenle bu, gelişmiş rakiplere, en iyi yeteneklerini kullanmadan başka birinin araçlarını kullanmanın bir yolunu sunar” dedi.
Bu duruma örnek olarak NSA araçlarının çalınmasından sonra Çinli bir hacker grubunun NSA araçlarını dünyanın dört bir yanındaki saldırılarında kullandığı ortaya çıkmıştı.
6- SALDIRI HANGİ YOLLARLA GERÇEKLEŞTİ?
FireEye’a yapılan saldırıda, aktörler gizlenmek için olağanüstü önlemlere başvurma yoluna gitti. Birçoğu Amerika Birleşik Devletleri içinde, daha önce saldırılarda hiç kullanılmamış binlerce IP adresi oluşturdular. Saldırılarını gerçekleştirmek için bu adresleri kullanarak, bulundukları yeri daha iyi bir şekilde gizlediler.
FireEye’ın CEO’su ve şirketin 2014 yılında satın aldığı Mandiant firmasının kurucusu Kevin Mandia, “Bu saldırı, yıllar boyunca yanıtladığımız on binlerce olaydan farklı” dedi.
FireEye, bilgisayar korsanlarının en korumalı sistemlerini tam olarak nasıl ihlal ettiğini hala araştırdığını söylerken Mandia ince detayları aktardı.
Eskiden Hava Kuvvetleri istihbarat biriminde çalışan Mandia, aktörlerin “birinci sınıf yeteneklerini özellikle FireEye’ı hedef alacak ve onlara saldıracak şekilde tasarladıklarını” söyledi. “Operasyonel güvenlik” konusunda oldukça eğitimli göründüklerini, “disiplin ve odaklanma” sergilediklerini, güvenlik araçlarının tespitinden kaçmak için gizlice hareket ettiklerini söyledi.
Google, Microsoft ve siber güvenlik araştırmaları yapan diğer firmalar ise bu tekniklerden bazılarını hiç görmediklerini belirttiler.
7- RUSLAR İNTİKAM MI ALIYOR?
Amerikalı araştırmacılar, NSA’in Pazartesi günü yaptığı açıklamada, Rusya’nın arkasında olduğunu belirttiği saldırılarla FireEye’a yapılan saldırı arasında herhangi bir ilişki olup olmadığını araştırıyor.
Ayrıca saldırının FireEye’a bir misilleme olduğu da düşünülüyor. FireEye daha önce birçok Rus destekli aktörü, yaptıkları araştırmalar sonrası ortaya çıkarmıştı. Örneğin FireEye, Mart 2018 tarihinde, siber korsanların bir Suudi petrokimya tesisinin güvenlik kontrollerini bozarak bir patlama yaratma girişiminde bulunduklarını, bunun arkasında ise Rus destekli aktörlerin yer aldığını duyurmuştu. New York Times’ın yazdığına göre saldırganların kodunda bir hata olmasaydı, planları başarıya ulaşacaktı.
Washington’daki Stratejik ve Uluslararası Çalışmalar Merkezi’nde bir siber güvenlik uzmanı olan James A. Lewis, “Ruslar intikam almaya inanıyor” yorumunu yaptı. Lewis “Birden, FireEye’ın müşterileri savunmasız hale geldi” dedi.
Salı günü, Rus uzmanlar yaptıkları forumda Amerika’nın yaptırım ve iddianameleriyle sonuçlanan saldırılardan sorumlu tutulan hackerların Ruslarla ilişkilendirilebileceğine dair bir kanıt yok dedi.
Siber güvenlik firmaları, kısmen, araçlarının dünyanın her yerindeki kurumsal ve devlet müşterilerine ‘erişim düzeyi’ sağlaması nedeniyle, devlet destekli siber aktörler için sık sık hedef olmuştur. Siber aktörler, bu araçlara erişerek ve kaynak kodunu çalarak siber güvenlik firmalarının müşterilerinin sistemlerine girebilir.
McAfee, Symantec ve Trend Micro gibi güvenlik şirketleri, geçen yıl Rusça konuşan bir hacker grubunun kodlarını çaldığını iddia ettiği büyük güvenlik şirketleri arasında yer aldığı, Rus güvenlik şirketi Kaspersky’nin 2017 yılında İsrailli bilgisayar korsanları tarafından saldırıya uğradığı, 2012’de Symantec’in, antivirüs kaynak kodunun bir bölümünün bilgisayar korsanları tarafından çalındığını doğruladığı biliniyor.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Çin istihbarat örgütlerinin, Amerikan Ulusal Güvenlik Ajansı’nın (NSA) hackleme araçlarını ele geçirdiğini ve bunları 2016 yılında Avrupa ve Asya’daki Amerikan müttefiklerine yönelik siber saldırılarda kullandığı ortaya çıktı.
Dünyanın önde gelen siber güvenlik şirketlerinden Symantec’in yaptığı araştırmada, Çinli hackerların saldırılarının zamanlaması ve kullanılan yöntemlere bakıldığında hackerların NSA’in hacking gereçlerini çalmadığı, bunun yerine NSA’in kendi bilgisayar sistemlerine karşı yaptığı saldırılardan ‘elde ettiği’ sonucuna ulaşıldı.
NSA: Ava giderken avlanmış
Araştırmanın ortaya çıkmasının ardından, ABD istihbarat çevrelerinde ‘kötücül yazılım’ geliştirme konusunda önemli bir tartışma başladı. Ava giderken avlanan NSA’in bundan sonra ‘eğer doğru düzgün koruyamayacaksa, zararlı yazılım geliştirmemesi’ fikri ön plana çıktı.
Son zamanlarda yayımlanan bir raporda, Çinliler tarafından kullanılan NSA yazılımlarının, hala gerçek kimliği belirlenememiş Shadow Brokers grubu tarafından daha sonra ele geçirildiği ve internette yayınlandığı da hatırlatıldı.
Shadow Brokers’ın yayınladığı hacking gereçleri ile Rusya ve Kuzey Kore için çalışan hackerlar tüm dünyada ses getiren siber saldırılar düzenlemişti. Symantec raporu, Shadow Brokers’dan aylar önce bu zararlı yazılımların Çin istihbarat örgütleri tarafından kullanıldığını ortaya koyan ilk kanıt oldu.
İlk kez yaşanmıyor
ABD’nin geliştirdiği komplike siber silahların rakip ülkeler tarafından ele geçirilerek kullanılması yeni bir hadise değil. İsrail ve ABD’nin İran’a karşı geliştirdiğine inanılan Stuxnet saldırının ardından dünyanın birçok yerinde görülmüş, Chevron gibi büyük Amerikan şirketlerine karşı kullanılmıştı.
Yine Edward Snowden tarafından ele geçirilen bazı NSA programları gazetecilere sızdırılmıştı. 2017 yılında da muhtemelen bir personel tarafından CIA’in kullandığı hackleme araçları Wikileaks’e sızdırılmıştı.
Geçtiğimiz hafta Pentagon yayınladığı raporda, Çin’i ‘askeri istihbarat alanında ve endüstriyel siber operasyonlarda Amerikan teknolojik üstünlüğünü alt etmeye çalışan üstün yetenekli bir aktör’ olarak tanımlamıştı.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Amerikan Ulusal Güvenlik Ajansı NSA’nın siber silahlarını hedef alan hackerlar ve bunların basına sızması, teşkilatta ağır bir krize yol açtı. New York Times’ın haberine göre söz konusu sızıntılar çalışanların morallerini bozdu, istihbari operasyonları yavaşlattı.
NSA’nın diğer ülkelerdeki casusluk faaliyetlerinde kullandığı siber saldırı araçları, Shadow Brokers adlı gizemli bir grup tarafından çalınmıştı. Shadow Brokers, NSA’nın casusluk faaliyetlerine oldukça hakim ve çok tecrübeli, yüksek kabiliyetlere sahip bir hacker grubu.
Çeşitli kuruluşlara güvenlik hizmeti sunan Rendition Infosec’in kurucusu siber güvenlik uzmanı Jake Williams olayın patlak verdiği geçtiğimiz Nisan ayında blogunda yazdığı yazıda gizemli hacker grubunun bir şekilde NSA’nın çok gizli siber silahlarını ele geçirdiğini yazmıştı.
Shadow Group, Williams’ın bu sözlerine Twitter’dan uzun bir yazıyla cevap verdi. Sözkonusu grup Williams’ın NSA’nın hacker ekibi olan T.A.O.’nun eski bir üyesi olduğunu açıkladı. Daha sonra Williams’ın orada çalışırken içinde bulunduğu hacker faaliyetlerine dair detaylı teknik bilgiler verdi.
Williams grubun operasyonel sezgilerinin T.A.O.’daki çalışma arkadaşlarından bile çok daha derin olduğunu söyleyerek ekliyor: “Can evimden vurulmuş gibi hissettim. Her kim bunu yazdıysa ya iyi yerleştirilmiş bir ajan ya da çok sayıda operasyonel bilgi çalmış biri.” Williams, buradan hareketle söz konusu belgeleri incelediğini ve belgelerin doğru olabileceğini ifade etti.
Hacker grubunun Williams’a karşı hamlesinin oluşturduğu darbe, NSA’yı kökünden sarsan çok daha geniş bir depremin parçasıydı. Şu anki ve eski NSA yetkilileri, 2016 Ağustosunda başlayan ifşalar NSA için bir felaket olduğunu ve ulusal ajansın çok güçlü olduğu bilinen siber silahlarının güvenilirliğini ve kurumun ulusal güvenliğe verdiği önemi sorgulattığını ifade ediyorlar.
Bu arada Amerikan yetkililerin bunun bir Rus operasyonu olduğuna dair güçlü bir inanca sahip. Aylar boyu yapılan çalıntı dökümanları sızdırma şekli, Rus hackerlar tarafından geçtiğimiz yıl çalınan Demokrat e-maillerinin yavaş bir şekilde sızdırılmasını hatırlatıyor.
Ancak Amerika-Rusya rekabetine dair çok daha spesifik olgular var. 2014’te Rusya devlet destekli hacker gruplarının izini süren Amerikan güvenlik araştırmacıları bu konuda güçlü raporlar hazırladılar. Symantec, Crowdstrike ve FireEye gibi Amerikan firmaları, birçok siber saldırının ve Rus kökenli hacker grubunun arkasında Moskova’nın olduğunu ileri sürmüşlerdi.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Geçtiğimiz yıl Amerikan Ulusal Güvenlik Ajansı (NSA) tarafından kullanıldığı iddia edilen istismar yazılımlarını ortaya çıkaran Shadow Brokers adlı hacker grubu, yeni bir “dosya hazinesi” daha yayınladı. Grup, ilk önce açık artırma ile satışa sunduğu “NSA’dan çaldığı” bu dosyalar için, daha sonra ücretsiz bir şifre sundu. Söz konusu dosya, bazı eski Windows sürümlerindeki açıkları içeriyor ve bu yüzden Windows, sızıntının ardından bir güvenlik güncellemesi yayınlamakta gecikmedi. Ancak sızdırılan dosyalar arasında özellikle Ortadoğu’daki bazı bankaların hedef alındığını gösteren veriler de yer alıyor.
Shadow Brokers ismi daha önce, geçtiğimiz Ağustos ayında, birçok güvenlik ürününde yer alan açıklıkları içeren ve NSA ile Equation Group ile bağlantılı exploitleri sızdırmalarıyla gündem olmuştu. Grup daha sonra da Equation Group tarafından gizliliği ifşa edildiği iddia edilen bazı IP adreslerini sızdırmıştı. Shadow Brokers, sızdırdıkları bu dosya hazinesi için bir açık artırma düzenlemeyi umuyordu, ancak çok fazla ilgi çekmemişti. Bunun üzerine de grup Ocak ayında “bir veda mesajı” ile birlikte Windows işletim sistemi ile ilgili bazı açıklıkları içeren bir yayın daha yapmıştı.
TRUMP’A SELAM ÇAKTILAR
Ancak Shadow Brokers grubu geçen hafta yayınladığı bu son sızıntısını, “Donald Trump’ın liderliğine olan inancını kaybettikten sonra bir protesto olarak” yaptığını duyurdu. Medium’da yayınladığı mesajında Trump’ın “üssü terk ettiği” belirtilirken, “Amerika’yı yeniden güçlü bir ülke yapmak için” bazı tavsiyelerini sıraladı.
Güvenlik araştırmacıları, hâlâ dosyaları inceliyor. Ancak exploitlerin büyük kısmının daha eski veya kullanılmış sistemleri hedef aldığı görülüyor. Ve sadece bir kişi, bu sızıntının hackerların maskesini düşürebileceğini düşüyor: Edward Snowden.
Snowden, sızıntıyla ilgili Twitter mesajında “sızıntının dolu bir kütüphaneden başka bir yerden yapılamayacağını, NSA’nın bu dosyaları nerede kaybettiğini ve nereden geldiğini kolaylıkla bulabileceğini, bunu yapamamasının ise tam bir skandal olacağını” kaydetti.
HAZİNENİN İÇİNDE NE VAR?
Shadow Brokers’ın son sızıntısında yer alan bazı exploitler, daha önce etkilenmiş olduğu bilinmeyen bazı sağlayıcıları da içeriyor. Ayrıca ‘hazinenin’ içinde bankacılık sistemlerinden veri toplanmasına ilişkin bazı dosya ve sunumlar da yer alıyor.
Motherboard’a konuşan Hacker Fantastic isimli bir güvenlik araştırmacısı, bu dosyaların “artık dosyalar” olduğunu söyledi.
Shadow Brokers’ın hazinesinin içinde bazı dosyalar ve klasörler yer alıyor. Bir alt klasör “Exploits” olarak adlandırılmış, içinde ise “Eternalsynergy,” “Erraticgopher” ve “Emeraldthread” gibi isimleri bulunan çalıştırılabilir dosyalar bulunuyor.
Araştırmacılar bu dosyaların ne için kullanıldığı veya bu hazinenin içinde gerçekten Windows platformuna karşı bir etkili bir exploit olup olmadığı üzerinde çalıştırmalarını sürdürse de, Windows çoktan bir güvenlik güncellemesi yayınladı bile.
Yine Hacker Fantastic’e göre sızdırılan dosyalar “Fevkalade bir veri, dâhili saldırı araçlarının tüm özelliklerini taşıyor.” Daha da önemlisi Hacker Fantastic, bu veriler üzerinde yapılacak analizin bir sıfırıncı gün açıklığı ortaya çıkaracağından emin olduğunu söylüyor.
Güvenlik mimarı Kevin Beaumont’un Motherboard’a yaptığı açıklamaya göre de “Windows implantlarının tümü VirusTotal’ın [bir çevrimiçi dosya tarama aracı] daha önce karşılaşmadığı dosyalar, yani bu dosyalar daha önce hiç görülmemiş.”
Windows tabanlı implantların yer aldığı ODDJOB adlı bir klasörde, “Windows 2003 Enterprise işletim sisteminden Windows XP Professional sistemine kadar hangi sistemlerle çalıştığı” belirtiliyor. Bir başka klasörde ise ODDJOB’un virüs yazılımlarını atlatma başarısı gösteriliyor. Buna göre F-Secure, Kaspersky, Symantec ve daha birçok firmanın yanına “Virüs bulunamadı” etiketi yerleştirilmiş. Dosyanın içinde 2013 ortalarına kadar giden tarih bilgisi bulunuyor.
Bu dosyalara bakıldığında hazinenin, daha eski Windows sistemleri ile ilgili araçlar olduğu anlaşılıyor. Ancak bu elbette rahatlatıcı bir durum değil, zira halen birçok kurum, kuruluş ve şahıslar eski sürüm Windowsları kullanmaya devam ediyor. Exploitlerden bir tanesinin de Windows 8’i hedef aldığı görülüyor.
Bir Microsoft sözcüsü – güvenlik güncellemesi yayınlanmadan önce – Motherboard’a “iddiaları incelediklerini ve müşterileri korumak için gerekli tedbirleri alacaklarını” açıklamıştı.
Hazinede yer alan bir başka klasörde ise “ÇOK GİZLİ” işaretli “JEEPFLEA_MARKET” isimli bir klasör yer alıyor. JEEPFLA’nın, NSA tarafından kullanılan bir elit hackleme birimi olduğu biliniyor.
HEDEFTEKİ BANKALARIN ÇOĞU ORTADOĞU’DA
Dosyalar incelendiğinde ise “JEEPFLEA_MARKET” klasörünün Swift İttifak Erişimi (SSA – Swift Alliance Access) sistemleri ile ilgili olduğu görülüyor. SSA, dünyadaki bankalar tarafından para transferi yapmak için kullanılan bir sistem. Bu klasörün bir bölümünde “9 SAA sunucusunda devam eden tahsilat” başlığı yer alıyor ve bazı bankalara işaret ediliyor. Bu bankaların büyük kısmı ise Ortadoğu bölgesinde yer alıyor.
Shadow Brokers son olarak “Gelecek sefere elimizde ne olacağını kim bilebilir?” mesajını paylaştı.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
