Etiket arşivi: siber casusluk

Uluslararası İlişkiler

Almanya’da hükûmet mesajlaşma uygulamalarını mı dinliyor?

Yorum yapın

Almanya’da hükûmet mesajlaşma uygulamalarını mı dinliyor?Son yapılan araştırma Almanya’nın, Rus anlık mesajlaşma uygulaması Jabber’ı takip ettirdiğine ilişkin şüpheleri artırdı.

Rus siber güvenlik araştırmacıları, sunucuları Almanya’da bulunan Rusya kökenli bir anlık mesajlaşma servisini gizlice dinlemeye yönelik bir hükûmet girişimi keşfetti.

Kesin olarak üç ay boyunca mesajların okunmuş olabileceğini söyleyen araştırmacılar, dinlemenin altı ay boyunca devam etmiş olabileceğini iddia etti.

JABBER DİNLENMİŞ OLABİLİR

Rus anlık mesajlaşma servisi jabber.ru, geçtiğimiz günlerde gündeme oturan bir güvenlik olayı bildirdi.

Servis sunucuları Almanya’da Hetzner ve Linode adlı şirketlerde barındırılan mesajlaşma servisi, sunucularına ortadaki adam saldırısı (Man-in-the-Middle attack) düzenlendiğini açıkladı.

Konuyu araştıran araştırmacılar, saldırıyı süresi dolmuş sertifika uyarısı yardımıyla fark etti.

90 GÜN BOYUNCA KESİN BİR DİNLEME YAPILDI

Sunucularından birinin sertifikasının süresinin dolduğuna dair bir bildirim aldığında durumu fark eden Rus XMPP (Jabber) servisinin yöneticisi, süresi dolmuş sertifikanın servisin kullanıcılarla şifreli bir TLS bağlantısı kurmak için kullandığı tek bir bağlantı noktasında keşfetti.

Almanya, Rus Hydra Dark Web pazarını kapattı: 25 milyon dolar değerinde bitcoine el konuldu

 

Araştırmacılar, söz konusu sertifikanın, süresi dolmadan önce servis üzerinden iletilen trafiği şifrelemeyi sağladığını belirtti.

Şifreli veri alışverişini ihlal eden bu saldırıyla birlikte araştırmacılar, muhtemel dinlemenin 18 Nisan’dan 19 Ekim’e kadar yaklaşık altı ay boyunca devam ettiğini ancak tam olarak 90 gün boyunca kesin bir dinleme yapıldığını doğrulayabildi.

Bu süre zarfında jabber.ru ve xmpp.ru arasındaki tüm iletişimlerin tehlikede olduğunu belirtilirken, bu dinleme sayesinde ömür boyu şifrelenmemiş sunucu tarafındaki mesaj geçmişini okuma, yeni mesajlar gönderme veya gerçek zamanlı olarak değiştirme gibi eylemler yapılmış olabileceği değerlendiriliyor.

DİNLEME HÜKÛMET TALEBİ OLABİLİR

Araştırmacılar, sunucuların suçlular tarafından hacklenmediğini, bunun “Hetzner ve Linode’un yapmaya zorlandığı yasal bir dinleme olduğuna inandıklarını” ifade etti.

Araştırmacılar saldırının bir hükûmet talebi sonucunda dinlemeyi kolaylaştırmak için gerçekleştirildiğini iddia ederken, Alman şirketlerinden ve Alman hükûmetinden konu hakkında açıklama gelmedi.

AVRUPA’DA DİNLEME YASALARI TARTIŞILIYOR

Almanya da dâhil olmak üzere Avrupa’daki çoğu ülke, istihbarat servislerine ve kolluk kuvvetlerine telekomünikasyon mesajlarını toplu olarak dinleme olanağı sağlayan yasalara sahip.

Söz konusu yasalar genellikle kapsamlı güvenlik önlemleri alınmasına rağmen kötüye kullanılabiliyor ve bu nedenle tartışmalara yol açıyor.

ABD

Hackerler oltalama saldırısında Pentagon’un IP adresini kullandı

Yorum yapın

Siber tehdit aktörlerinin oltalama saldırısında kullandıkları IP adresi, ABD Savunma Bakanlığı’nın çıktı

NSFOCUS Security Labs, İran merkezli olduğu düşünülen APT34 grubunun oltalama saldırısını ortaya çıkardı.

Söz konusu grup Orta Doğu’da faaliyet gösterirken ABD’deki işletmeleri hedef almasıyla da biliniyor.

NSFOCUS Security Labs, OilRig veya Helix Kitten olarak da bilinen Gelişmiş Kalıcı Tehdit (APT) grubu APT34’ün Ganjavi Global Marketing Services (GGMS) adlı bir pazarlama hizmetleri şirketinin kimliğine bürünerek gerçekleştirdiği oltalama saldırısının detaylarını ortaya koydu.

APT34, kurbanlarının ana bilgisayarları üzerinde kontrol elde edebilmek için SideTwist Truva Atı’nın bir varyantını kullandı.

APT34 KİMDİR?

2014’ten beri aktif olan APT34, siber casusluk ve sabotaj konusunda uzmanlaşmasıyla biliniyor.

Özellikle Orta Doğu’da faaliyet gösteren bu grup finans, devlet, enerji, kimya ve telekomünikasyon gibi çeşitli sektörleri hedef alıyor.

Saldırı yöntemlerini farklı hedeflere göre uyarlayan hatta tedarik zinciri saldırıları yürüten APT34, gelişmiş saldırı yeteneklerine sahip bir grup olarak biliniyor.

SALDIRI NASIL GERÇEKLEŞTİ?

APT34, görünüşte işletmelere odaklanarak küresel pazarlama hizmetleri sunan hayali bir Ganjavi Global Pazarlama Hizmetleri” şirketini kurbanlara hizmet olarak sunmaya çalıştı.

Kimlik avcısı Türk, Pentagon’u dolandırırken yakayı ele verdi

Hedef aldığı işletmeye gönderdiği “GGMS Overview.doc” başlıklı bir tuzak dosyasının içine gizlenmiş kötü niyetli bir makro kodla dağıtım ortamını düzenledi.

Bu makro kod, Trojan SystemFailureReporter.exe dosyasını belgeden base64 formatında çıkarmış, %LOCALAPPDATA%\SystemFailureReporter\ dizinine yerleştirmiş ve aynı dizinde Trojan’ın etkinleştirme anahtarı olarak görev yapan bir update.xml metin dosyası oluşturdu.

Ardından, kötü niyetli makro kod “SystemFailureReporter” adlı zamanlanmış bir görev oluşturarak her beş dakikada bir Trojan’ı çağırdı ve sürekli çalışmasını sağladı.

SideTwist varyantı olarak tanımlanan Truva Atı, HTTP aracılığıyla 11.0.188.38:443 adresindeki bir CnC sunucusuyla iletişim kurdu.

İlginç olan kısımsa APT34 kampanyasının 11.0.188.38 CnC IP adresini kullanmış olması. Yapılan araştırma, bu IP adresinin Columbus, Ohio’daki Amerika Birleşik Devletleri Savunma Bakanlığı Ağ Bilgi Merkezi’ne ait olduğunu ortaya çıkardı.

Araştırmaya göre bu IP seçimi, APT34’ün sonraki saldırılarda farklı, gizli bir CnC adresini etkinleştirmek amacıyla bu işlemi test etmek için kullanmış olabileceğini düşündürüyor.

Uluslararası İlişkiler

ABD, siber casusluğa karşı özel sektörle iş birliğini artıracak

Yorum yapın

ABD, Ulusal İstihbarat Stratejisi gereği uluslararası tehditler, bulaşıcı hastalıklar, tedarik zinciri gibi konuların tespiti ve önlemi için casusluk şirketleriyle iş birliği yapma kararı aldı.

Söz konusu yeni stratejiyle ABD casusluk şirketleri de ABD şirketleri, sivil toplum kuruluşları ve akademi ile daha fazla istihbarat paylaşacak.

SON STRATEJİ TRUMP DÖNEMİNDE BELİRLENMİŞTİ

ABD hükûmeti son yıllarda yabancı hackerların ana hedefi olan ABD şirketleri, kamu hizmetleri ve diğerleriyle büyük miktarlarda siber tehdit istihbaratı ve sosyal medya şirketleriyle yabancı etki operasyonları hakkında bilgi paylaşmaya başladı.

Son Ulusal İstihbarat Stratejisi, Covid-19 salgını ve Rusya’nın Ukrayna’yı işgalinden önce, 2019 yılında Trump yönetimi altında yayımlanmıştı.

Ulusal İstihbarat Direktörü Avril Haines, kendisi ile ilgili yapılan bir röportajda yeni strateji anlayışı hakkında “Bilgi ve tahmin alışverişi konusunun yeniden gözden geçirilmesi gerekiyor. Günümüz dünyasının tehdit ortamında değişen birçok şey var.” dedi.

GÜNÜMÜZ DÜNYASINDA TEHDİTLER DEĞİŞİYOR

Değişen tehditleri örnekleyen üst düzey bir ABD’li yetkili, Başkan Biden ve üst düzey danışmanları için hazırlanan günlük istihbarat brifinginin bir zamanlar terörizm ve Orta Doğu ağırlıklı olduğunu, şimdi ise düzenli olarak Çin’in yapay zeka çalışmaları, iklim değişikliğinin jeopolitik etkileri ve yarı iletken çipler gibi çok çeşitli konuları kapsadığını söyledi.

Haines, “Akademiden yerel yönetimlere kadar özel sektörle daha geniş bir yelpazede, daha kurumsal bir bilgi alışverişi oldukça mühim.” ifadelerini kullandı.

Kuzey Koreli siber casuslar, Rus füze sistemine sızdı

Yeni strateji, Haines’in çalışmalarını koordine ettiği yıllık yaklaşık 90 milyar dolar bütçeye sahip 18 ABD istihbarat kurumuna rehberlik etmeyi amaçlıyor.

Yeni stratejide istihbarat kurumlarının ABD’yi, Çin ve Rusya gibi otoriter hükümetlerle rekabetinde, özellikle de teknolojik alanlarda desteklemesi gerektiğini belirtiyor.

Mali krizler, uyuşturucu kaçakçılığı, tedarik zincirinin bozulması ve bulaşıcı hastalıklar gibi küresel tehditler konusunda ise söz konusu strateji, istihbarat kurumlarından, ABD hükûmetini yaklaşan tehditler konusunda uyarmak üzere kendi iç kapasitelerini güçlendirmeleri istiyor.

Daha fazla istihbarat paylaşımına yapılan vurgu, Biden yönetiminin izlediği gizliliğin kaldırılması yönündeki daha geniş bir eğilimin parçası olarak yorumlanıyor.

Son yıllarda ABD, Rusya’nın Ukrayna’daki planlarına ve Çin, İran ve Kuzey Kore’den silah arayışına karşı uyarıda bulunmak için daha önce benzeri görülmemiş düzeyde gizli istihbarat yayınlamıştı.

Uluslararası İlişkiler

Kuzey Koreli siber casuslar, Rus füze sistemine sızdı

Yorum yapın

Kuzey Kore hükûmetiyle ilişkilendirilen siber casusluk gruplarının, Rusya’nın en iyi füze teknolojisi geliştiricisinin ağına sızdığı ortaya çıktı.

Güvenlik araştırmacılarının raporlarına göre, casuslar Rusya Devlet Başkanı Vladimir Putin’in ses hızının dokuz katına çıkan “Zircon” hipersonik füzesini tanıtmasıyla da bilinen şirketin sisteminde beş ay kadar kaldı.

ŞİRKET, SOVYET DÖNEMİNDEN BERİ DEVLET VE ORDUYLA ÇALIŞIYOR

Kuzey Kore hükûmetiyle ilişkilendirilen ScarCruft ve Lazarus adlı gruplar, Rusya’nın en iyi füze teknolojisi geliştiricisi NPO’nın ağına sızdığı belirlendi.

Rusya merkezli bir savunma sanayi şirketi olan NPO Mashinostroyeniya’nın, füze sistemleri, uçaklar, uzay araçları ve diğer askerî ekipmanların tasarımı ve üretimi gibi savunma teknolojilerinde uzmanlaştığı biliniyor.

Sovyetler Birliği döneminde, 1944 yılında kurulmuş olan şirketin Rus devleti ve ordusuyla birlikte çalıştığı biliniyor.

Füze uzmanlarına göre hedef alınan şirketin faaliyet gösterdiği alanlar, ABD anakarasını vurabilecek bir Kıtalararası Balistik Füze (ICBM) yaratma misyonuna başladığından beri Kuzey Kore’nin yoğun ilgisini çekiyordu.

SİSTEMLERDE BEŞ AY KALDILAR

İhlal haberi, Rusya Savunma Bakanı Sergei Shoigu’nun geçen ay Kore Savaşı’nın 70. yıldönümü dolayısıyla Pyongyang’a yaptığı ziyaretten kısa bir süre sonra gerçekleşti. Ziyaret, 1991’de Sovyetler Birliği’nin dağılmasından bu yana bir Rus savunma bakanı tarafından Kuzey Kore’ye ilk kez düzenleniyordu.

ABD’li siber güvenlik firması SentinelOne’da güvenlik araştırmacısı olarak görev yapan ve sızıntıyı ilk keşfeden Tom Hegel’e göre, tehdit grupları şirketin BT ortamına girerek e-posta trafiğini okuma, ağlar arasında geçiş yapma ve veri elde etme becerisi kazandı.

Araştırmacılar yaşanan ihlal sırasında herhangi bir verinin alınıp alınmadığını ya da hangi bilgilerin görüntülenmiş olabileceğini belirleyemedi.

Teknik verilere göre, ihlal kabaca 2021’in sonlarında başladı ve incelenen şirket içi yazışmalara göre, BT mühendislerinin tehdit gruplarının faaliyetlerini tespit ettiği Mayıs 2022’ye kadar devam etti.

İnternetsiz Kuzey Kore siber saldırılar ile nasıl döviz elde ediyor?

Sistemin ihlalini takip eden aylarda Pyongyang, yasaklı balistik füze programında bazı gelişmeler olduğunu duyursa da bunun sızmayla ilgili olup olmadığı net değil.

Uzmanlar bu olayın, Kuzey Kore’nin kritik teknolojileri elde etmek amacıyla Rusya gibi müttefiklerini bile nasıl hedef alabileceğini gösterdiğini ifade ediyor.

“BUNLAR ANCAK FİLMLERDE OLUR”

2019 yılında Rusya Devlet Başkanı Vladimir Putin, NPO Mash’ın ses hızının yaklaşık dokuz katına çıkabilen “Zircon” hipersonik füzesini “umut verici yeni bir ürün” olarak duyurmuştu.

Kuzey Kore’nin füze programlarını araştıran füze uzmanı Markus Schiller, Kuzey Koreli bilgisayar korsanlarının Zircon hakkında bilgi edinmiş olmalarının aynı kabiliyete hemen sahip olacakları anlamına gelmediğini söyledi.

Schiller, “Bunlar ancak filmlerde olur. Planları alıp bu tür şeyleri inşa etmede bu bilgiler size pek yardımcı olmaz. İşin içinde çizimlerden fazlası var.” dedi.

Bununla birlikte Schiller, NPO Mash’ın en iyi Rus füze tasarımcısı ve üreticisi olarak konumu göz önüne alındığında, şirketin değerli bir hedef olduğunu da sözlerine ekledi.

HEDEF FÜZE YAKIT VE İKMAL YÖNTEMİ OLABİLİR

Öte yandan Kuzey Kore’nin ilgisini çekmiş olan bir başka konunun NPO Mash’ın kullandığı yakıt ve ikmal yöntemi olduğu iddia edildi.

NPO Mash’in Kıtalararası Balistik Füzesi olan SS-19’un kullandığı yakıt ve ikmal yöntemi, savaş sırasında füzelerin daha hızlı konuşlandırılmasını sağlıyor.

Geçtiğimiz aylarda Kuzey Kore, katı yakıt kullanan ilk Kıtalararası Balistik Füzesi olan Hwasong-18’i test amaçlı fırlatmıştı.

Füze araştırmacısı olan Jeffrey Lewis, “2021’in sonlarında Kuzey Kore hemen hemen benzer bir şeyi yaptığını açıklamıştı. NPO Mash’ta onlar için yararlı bir şey olacaksa, bu yöntem listenin başında olurdu.” dedi.

NPO Mashinostroyeniya, Rusya’nın Washington’daki büyükelçiliği ve Kuzey Kore’nin New York’taki Birleşmiş Milletler elçisi de konuyla alakalı yorum talebine yanıt vermedi.

Uluslararası İlişkiler

“Rus ajanından temiz, değişeni, kaza kaydı yok (!)”: Sahte araba ilanlarıyla diplomatları hedef aldılar

Yorum yapın

Rusya’nın dış istihbarat ajansıyla bağlantılı olduğuna inanılan siber tehdit aktörleri, sahte bir ikinci el araba ilanıyla Ukrayna’daki büyükelçiliklerde görev yapan diplomatları hedef aldı. 

Palo Alto Networks’ün Unit 42 araştırma bölümü tarafından yayınlanan rapora göre geniş kapsamlı casusluk faaliyeti, en az 22 diplomatı etkiledi.

Olay ilk olarak Polonya Dışişleri Bakanlığı’nda çalışan bir diplomatın Nisan 2023 ortalarında Kiev’de bulunan bir BMW 5 serisi aracını internet üzerinden satışa koymasıyla başladı.

“APT29 veya Cozy Bear” olarak bilinen grup ise internete koyulan bu satılık araç ilanın sahtesini, “aracın daha yüksek kalitede fotoğraflarını görmek isterseniz bu bağlantıya tıklayınız” notuyla hedef aldıkları yabancı diplomatların e-posta adresine gönderdi.

Sahte ilan içinde yer alan Polonyalı diplomatın BMW’si, tehdit aktörleri tarafından ilana daha düşük bir fiyat olan 7,500 euro olarak konuldu. Bu şekilde daha fazla kişinin kötü amaçlı yazılımı indirmesi teşvik edilmeye çalışıldı.

Unit 42’nin raporuna göre bu yazılım, kullanıcının cihazına uzaktan erişim sağlayacak şekilde gizlenmiş bir fotoğraf albümü olarak kılık değiştirmişti.

Zararlı yazılım içeren bağlantı, bağlantıya tıklandığı anda diplomatların bilgisayarlarına indi.

Unit42’nin yayımladığı raporda söz konusu olay için “Kapsam olarak APT operasyonlarında şaşırtıcı bir durumla karşı karşıyayız.” ifadeleri kullanıldı.

Nisan ayında Polonyalı karşı istihbarat ve siber güvenlik yetkilileri aynı grubun NATO üyesi ülkelere, Avrupa Birliği’ne ve Afrika’ya yönelik “yaygın bir istihbarat kampanyası” yürüttüğü uyarısında bulunmuştu.

RUS DIŞ İSTİHBARAT SERVİSİNE ÇALIŞIYORLAR

Rusya merkezli bir siber casusluk grubu olan APT29, bir dizi hedefe karşı gelişmiş kalıcı tehdit saldırıları gerçekleştirmekle birlikte özellikle 2016 ABD başkanlık seçimlerine müdahale etmekle suçlanmıştı.

Hedefleri arasında devlet kurumları, askeri kurumlar, savunma şirketleri ve enerji sektörü yer alan APT29, ilk olarak 2015 yılında FireEye adlı siber güvenlik şirketi tarafından keşfedilmişti.

ABD’nin IŞİD’i hackediği operasyon: Teknolojiyle Psikolojik Harbin birleşimi: Glowing Symphony

APT29, Rusya’nın dış istihbarat servisi SVR’nin bir kolu olarak görülüyor. 

Unit 42 araştırmacıları da sahte araba ilanını, daha önce kendileriyle ilişkilendirilmiş bazı araçları ve teknikleri yeniden kullanması dolayısıyla SVR’ye bağladı.

Raporda, “Diplomatik misyonlar her zaman yüksek değerli bir casusluk hedefi olacaktır. Rusya’nın Ukrayna işgali üzerinden 16 aydan fazla bir süre geçmesine rağmen, Ukrayna ve müttefik diplomatik çabalarla ilgili istihbaratlar muhtemelen Rus hükûmeti için öncelikli bir konudur.” ifadeleri yer aldı.

HANGİ BÜYÜKELÇİLİKLERİN ETKİLENDİĞİ BELİRSİZ

APT29 tarafından hedef alınan 22 büyükelçilikten 21’i yorum yapmadı. Hangi büyükelçiliklerin etkilendiği belirsizliğini sürdürmekle birlikte ABD Dışişleri Bakanlığı sözcüsü, “Bu faaliyetin farkındayız ve analizlerimize göre, bakanlık sistemlerini veya hesaplarını etkilemediği sonucuna vardık.” şeklinde açıklama yaptı.

Arabasının hâlâ satılık durumda olduğunu belirten Polonyalı diplomatsa, “Muhtemelen onu Polonya’da satmaya çalışacağım. Bu durumdan sonra daha fazla sorun yaşamak istemiyorum.” dedi.