Etiket arşivi: siber casusluk

Uluslararası İlişkiler

“Rus ajanından temiz, değişeni, kaza kaydı yok (!)”: Sahte araba ilanlarıyla diplomatları hedef aldılar

Yorum yapın

"Rus ajanından temiz, değişeni, kaza kaydı yok (!)": Sahte araba ilanlarıyla diplomatları hedef aldılarRusya’nın dış istihbarat ajansıyla bağlantılı olduğuna inanılan siber tehdit aktörleri, sahte bir ikinci el araba ilanıyla Ukrayna’daki büyükelçiliklerde görev yapan diplomatları hedef aldı. 

Palo Alto Networks’ün Unit 42 araştırma bölümü tarafından yayınlanan rapora göre geniş kapsamlı casusluk faaliyeti, en az 22 diplomatı etkiledi.

Olay ilk olarak Polonya Dışişleri Bakanlığı’nda çalışan bir diplomatın Nisan 2023 ortalarında Kiev’de bulunan bir BMW 5 serisi aracını internet üzerinden satışa koymasıyla başladı.

“APT29 veya Cozy Bear” olarak bilinen grup ise internete koyulan bu satılık araç ilanın sahtesini, “aracın daha yüksek kalitede fotoğraflarını görmek isterseniz bu bağlantıya tıklayınız” notuyla hedef aldıkları yabancı diplomatların e-posta adresine gönderdi.

Sahte ilan içinde yer alan Polonyalı diplomatın BMW’si, tehdit aktörleri tarafından ilana daha düşük bir fiyat olan 7,500 euro olarak konuldu. Bu şekilde daha fazla kişinin kötü amaçlı yazılımı indirmesi teşvik edilmeye çalışıldı.

Unit 42’nin raporuna göre bu yazılım, kullanıcının cihazına uzaktan erişim sağlayacak şekilde gizlenmiş bir fotoğraf albümü olarak kılık değiştirmişti.

Zararlı yazılım içeren bağlantı, bağlantıya tıklandığı anda diplomatların bilgisayarlarına indi.

Unit42’nin yayımladığı raporda söz konusu olay için “Kapsam olarak APT operasyonlarında şaşırtıcı bir durumla karşı karşıyayız.” ifadeleri kullanıldı.

Nisan ayında Polonyalı karşı istihbarat ve siber güvenlik yetkilileri aynı grubun NATO üyesi ülkelere, Avrupa Birliği’ne ve Afrika’ya yönelik “yaygın bir istihbarat kampanyası” yürüttüğü uyarısında bulunmuştu.

RUS DIŞ İSTİHBARAT SERVİSİNE ÇALIŞIYORLAR

Rusya merkezli bir siber casusluk grubu olan APT29, bir dizi hedefe karşı gelişmiş kalıcı tehdit saldırıları gerçekleştirmekle birlikte özellikle 2016 ABD başkanlık seçimlerine müdahale etmekle suçlanmıştı.

Hedefleri arasında devlet kurumları, askeri kurumlar, savunma şirketleri ve enerji sektörü yer alan APT29, ilk olarak 2015 yılında FireEye adlı siber güvenlik şirketi tarafından keşfedilmişti.

ABD’nin IŞİD’i hackediği operasyon: Teknolojiyle Psikolojik Harbin birleşimi: Glowing Symphony

APT29, Rusya’nın dış istihbarat servisi SVR’nin bir kolu olarak görülüyor. 

Unit 42 araştırmacıları da sahte araba ilanını, daha önce kendileriyle ilişkilendirilmiş bazı araçları ve teknikleri yeniden kullanması dolayısıyla SVR’ye bağladı.

Raporda, “Diplomatik misyonlar her zaman yüksek değerli bir casusluk hedefi olacaktır. Rusya’nın Ukrayna işgali üzerinden 16 aydan fazla bir süre geçmesine rağmen, Ukrayna ve müttefik diplomatik çabalarla ilgili istihbaratlar muhtemelen Rus hükûmeti için öncelikli bir konudur.” ifadeleri yer aldı.

HANGİ BÜYÜKELÇİLİKLERİN ETKİLENDİĞİ BELİRSİZ

APT29 tarafından hedef alınan 22 büyükelçilikten 21’i yorum yapmadı. Hangi büyükelçiliklerin etkilendiği belirsizliğini sürdürmekle birlikte ABD Dışişleri Bakanlığı sözcüsü, “Bu faaliyetin farkındayız ve analizlerimize göre, bakanlık sistemlerini veya hesaplarını etkilemediği sonucuna vardık.” şeklinde açıklama yaptı.

Arabasının hâlâ satılık durumda olduğunu belirten Polonyalı diplomatsa, “Muhtemelen onu Polonya’da satmaya çalışacağım. Bu durumdan sonra daha fazla sorun yaşamak istemiyorum.” dedi.

Türkiye

Kılıçdaroğlu’nun adalet yürüyüşünü takip eden casus yazılıma soruşturma!

Yorum yapın

FinFisher adlı casus program geliştiricisi şirket, Almanya’da açılan soruşturmada Türkiye’ye muhalefeti takip etmek için kullanılacak bir casus yazılımı satmakla suçlandı.

Firmanın eki dört eski yöneticisine, Türkiye’ye yasa dışı bir şekilde bu uygulamayı satma suçlaması yöneltti.

Savcılar, bu uygulamanın Türkiye’de iktidar tarafından muhalefeti fişlemek için kullanıldığını düşünüyor. Münih merkezli FinFisher şirketi, dünya genelinde kolluk kuvvetleri ve istihbarat servislerine FinSpy adlı uygulamayı satıyordu. Fakat bu tür, hem sivil hem askeri amaçlarla kullanılabilecek yazılımların Avrupa Birliği dışına ihraç edilmesi izne tabi.

Türkiye’ye casus yazılım sattığı iddia edilen Alman FinFisher firması iflas etti

Münih merkezli FinFisher şirketi, dünya genelinde kolluk kuvvetleri ve istihbarat servislerine FinSpy adlı uygulamayı satıyordu. Fakat bu tür, hem sivil hem askeri amaçlarla kullanılabilecek yazılımların Avrupa Birliği dışına ihraç edilmesi izne tabi. Münih savcılarına göre şirket 2015 yılında 5 milyon eurodan fazla bir fiyata bu uygulamayı Türk istihbaratına sattı, ardından da kullanımı için eğitim verdi.

Savcılar bu uygulamayla Türkiye’de, 2017’de CHP Genel Başkanı Kemal Kılıçdaroğlu’nun Adalet Yürüyüşü sırasında muhalefetin gizlice izlenmeye çalışıldığını aktardı. Yürüyüş sırasında Twitter’da #AdaletİçinYürü etiketiyle yapılan bazı paylaşımlarda, tıklayan kişilerin telefonlarına bu casus uygulamayı yükleyen linkler bulunuyordu. Bu linklerin vardığını Access Now adlı insan hakları örgütü ortaya çıkarmıştı.

 UYGULAMA KİŞİSEL BİLGİLERE ERİŞİP ORTAM DİNLEMESİ YAPIYOR

Access Now’ın hazırladığı rapora göre linkleri paylaşan hesaplar, yürüyüş sırasında Twitter’da muhalif paylaşımlar yapan anonim hesaplardan oluşuyordu. Access Now, bunların önceden açılmış bir bot hesap ağı olduğunu aktarmıştı.

Uygulama, indirildiği cep telefonundaki rehber, takvim, arama geçmişi, dosyalar, fotoğraflar, ekran görüntüleri, WhatsApp ve benzeri yazışma programlarında yazışılanlar, konum gibi bilgilere erişmenin yanı sıra mikrofonu açarak ortam dinlemesi de yapabiliyordu.  O dönem basına yansıyan haberlerde, bu uygulamayla çok sayıda muhalifin ve hatta CHP’li milletvekillerinin de takip edildiği yer almıştı. FinFisher, yasadışı ihracatını gizlemek için satışı bir Bulgar şirketi üzerinden yapmakla suçlanıyor

Satış için Alman veya Bulgar yetkililerden herhangi bir izin alınmamıştı. Almanya’daki soruşturma, 2019’da basın özgürlüğü ve insan hakları alanında çalışan dört sivil toplum kuruluşunun başvurusuyla açılmıştı. Bunlar arasında Sınır Tanımayan Gazeteciler Almanya Şubesi, Almanya Özgürlük Hakları Cemiyeti, Anayasal Haklar ve İnsan Hakları için Avrupa Merkezi de yer alıyordu.

Kaynak: T24

Türkiye

Android üzerinden veri çalan StrongPity, Türk hacker grubu mu?

Yorum yapın

Android işletim sistemi üzerinden saldıran StrongPity çetesinin Türk hacker grubu olduğu iddia edildi.

Siber güvenlik şirketi ESET’in yaptığı bir araştırmaya göre Türk bir grup olduğu düşünülen StrongPity adlı grubun dar bir çevreden veri toplamak için sahte bir Android görüntülü sohbet uygulaması kullandığını ortaya çıkardı.

StrongPity, yetişkin görüntülü sohbet sitesi olan Shagle’ı taklit eden bir internet sitesini ve kullanıcıların telefon görüşmelerini, SMS mesajlarını ve düzinelerce mobil uygulamadan veri çalabilen bir uygulamasını oluşturarak kullanıcıları tuzağa düşürdü.

TELEGRAM’IN AÇIK KAYNAK KODUNU KULLANMIŞLAR

Slovakya merkezli siber güvenlik şirketi ESET’e göre StrongPity adlı grup, kötü niyetli uygulamayı, yabancılar kişiler arasında şifreli iletişim sağlayan Shagle adlı gerçek bir görüntülü sohbet hizmetini taklit eden bir internet sitesi aracılığıyla dağıttı. 

Tamamen web tabanlı olan ve resmî bir uygulaması olmayan Shagle’ı taklit eden internet sitesi aracılığıyla dağıtılan sahte uygulama, StrongPity’nin arka kapı koduyla yeniden paketlenmiş mesajlaşma uygulaması Telegram’ın değiştirilmiş bir açık kaynak koduna dayanıyor.

Türk hackerların zararlı yazılım saldırısı 11 ülkeyi etkiledi

Çeşitli casusluk yeteneklerine sahip olan sahte uygulama, kullanıcıların telefon görüşmelerini kaydedebiliyor, SMS mesajlarını ve kişi listelerini toplayabiliyor ve eğer kullanıcılar bu sahte uygulamada erişime izin verdiği takdirde Instagram, Twitter, Messenger ve Snapchat gibi diğer mobil uygulamalardan veri çalabiliyor.

StrongPity’nin bu sahte uygulamayla yaptığı bir diğer şey de Samsung cihazlardaki resmî güvenlik uygulamasını devre dışı bırakmaya çalışmak oldu. 

KURBANLARIN KİM OLDUĞU BİLİNMİYOR

Kötü amaçlı uygulama Kasım 2021’de piyasaya sürülmesine rağmen ESET, kurbanlarından hiçbirini tespit edemedi. Araştırmacılar bunun nedeninin kampanyanın “çok dar hedefli” olması olduğunu öne sürdü.

ESET ayrıca potansiyel kurbanların taklitçi internet sitesine nasıl çekildiğini veya bu internet sitesini nasıl keşfettiğini de belirleyememesine rağmen her iki sitenin de ana sayfalarının neredeyse aynı göründüğünü ama taklitçi olanın ziyaretçileri görüntülü sohbet başlatmak yerine bir uygulama indirmeye yönlendirdiğini belirtti.

Google Play mağazasında hiçbir zaman kullanıma sunulmayan sahte uygulamayı kullanıcılar yalnızca doğrudan taklitçi internet sitesinden indirebildi.

Sahte Shagle uygulamasının artık aktif olmadığını belirten araştırmacıları bunun sebebinin, grubun ilk test amaçları için Telegram’dan örnek bir API kimliği kullanmış olduğu ama bu kimliğin Telegram tarafından devre dışı bırakılmış olduğunu söyledi.

Araştırmacılar raporlarında, “Uygulamanın yeni ve çalışan bir sürümü internet sitesi aracılığıyla hiç kullanıma sunulmadığından, StrongPity’nin kötü amaçlı yazılımı istediği hedeflere başarıyla dağıttığını gösterebilir.” ifadelerini kullandı.

GRUP UYGULAMAYI GÜNCELLERSE TEHLİKEYE YOL AÇABİLİR

Her iki uygulama da Telegram kimliğini kullandığı için Android’de bir arada bulunamayacağını söyleyen araştırmacılar, Telegram’ın hâlihazırda yüklü olduğu potansiyel kurbanların cihazlarına sahte Shagle uygulamasını yüklemenin imkânsız olduğunu belirtti. 

ESET araştırmacılarına göre bu durum ya StrongPity’nin daha önce potansiyel kurbanlarıyla iletişim kurduğunu ve onları Telegram’ı cihazlarından kaldırmaya ikna ettiğini ya da kampanyanın Telegram’ın kullanılmadığı ülkelere odaklandığını gösteriyor.

Uyarıda da bulunan araştırmacılar uygulama şu anda kullanılamıyor olsa da StrongPity’nin uygulamayı güncellemeye karar vermesi hâlinde bu durumun her an değişebileceğini vurguladı.

KÖTÜ AMAÇLI ANDROİD UYGULAMASI GEÇMİŞLERİ VAR

StrongPity’nin kullanıcıları gözetlemek için Android kötü amaçlı yazılım kullanma geçmişi bulunuyor. 

Grup geçtiğimiz yıl Suriye e-devlet Android uygulamasının kötü niyetli bir versiyonunu yaratmıştı. Trend Micro tarafından yapılan araştırmaya göre bu uygulama, kişi listelerini çalabiliyor ve kurbanının cihazından dosya toplayabiliyordu.

ESET’e göre bir önceki kampanyaya kıyasla yeni StrongPity arka kapısı daha geniş casusluk özelliklerine sahip. StrongPity’nin hangi ülke tarafından desteklendiği belli olmasa da bazı güvenlik araştırmacıları bunun muhtemelen bir Türk grubu olduğunu söyledi.

StrongPity 2012’den beri aktif ve genellikle belirli kullanıcılar tarafından kullanılan yasal yazılımlara arka kapılar ekleyerek aynı taktikleri izliyor. 

StrongPity’nin zararlı yazılımları şimdiye dek İtalya, Belçika, Cezayir ve Fransa’da binlerce sisteme bulaştığı biliniyor.

Türkiye

Deniz Kuvvetlerine siber saldırı iddiası: Milli denizaltı yazılımı hedef alındı!

Yorum yapın

APT gruplarının Türkiye’nin milli projesi denizaltı yönetim sistemi MÜREN’i hedef aldığı iddia edildi.

Siber Güvenlik Uzmanı Ersin Çahmutoğlu’nun Twittter hesabından paylaştığı bilgilere göre Türkiye’nin milli projesi denizaltı yönetim sistemi MÜREN’e yönelik siber casusluk operasyonu tespit edildi.

Çahmutoğlu sosyal medya hesabından yaptığı paylaştığı mesajlarda Çinli NSFocus’un hazırladığı raporu kaynak gösterdi.

İranlı siber casusluk grubu OilRig Türkiye’deki kurumlara da saldırmış

Rapora göre hangi ülkeden olduğu belirsiz yeni bir APT grubu Ağustos ayı başında Deniz Kuvvetleri Komutanlığı’na saldırdı.

 

“ARKASINDA KESİNLİKLE BİR DEVLET VAR”

Çahmutoğlu twitter mesajlarında şu ifadelere yer verdi:

“Siber operasyonun süreci ise oldukça ilginç. MurenShark, operasyonlarını yürütebilmek için Kıbrıs’taki Yakın Doğu Üniversitesi’ni öncelikli hedef seçmiş. Ve üniversitenin websitesini ihlal edip tam 1 yıldır burayı komuta kontrol ve veri transfer sunucusu olarak kullanıyorlarmış. Rapora göre, MurenShark adlı tehdit aktörü oldukça gelişmiş yeteneklere sahip. Kullandıkları araçlar çeşitli ve spesifik yönetimleri var. Operasyon süreçlerinde ifşa olmamak için izlerini kaybettirmeye çabalamışlar. Dolayısıyla kimlikleri ve lokasyonları tespit edilmedi. Analiz sonucuna göre MurenShark’ın tek hedefi var, o da Türkiye. Amaç ise sadece siber casusluk. Arkasında kesinlikle bir devlet var!”

Uluslararası İlişkiler

Birleşik Arap Emirlikleri destekli hackerlar yüksek profilli gazeteci ve siyasetçileri hedef alıyor

Yorum yapın

Google’ın Tehdit Analiz Grubu aralarında Birleşik Arap Emirlikleri’nin (BAE) de bulunduğu bazı ülkelerden gelen “kiralık hacker”a ait bir ekosistemi paylaştı.

Edinilen bilgiler arasında dünya çapında izlerini sürülen Hintli, Rus ve Birleşik Arap Emirlikleri’nden kiralık hacker firma ve aktörlerinin ekosistemleri ve kampanyalarına dair edindikleri istihbarat verileri bulunuyor.

TAG ekibi, söz konusu aktörlerin kampanyalarında kullandığı birçok alan adını da Güvenli Tarama’ya eklediklerini bildirdi.

KİRALIK HACK FİRMALARI NASIL ÇALIŞIYOR?

“Kiralık hack” firmaları veya aktörleri, çeşitli gözetim araçları satan şirketlerin aksine saldırıları kendileri gerçekleştiriyor. Gerek çeşitli güvenlik zafiyetlerinden yararlanarak gerekse de oltalama (phishing) yöntemiyle saldırılarını gerçekleştiren aktörlerin hedefleri de çeşitlilik gösteriyor.

Dünya çapında insan hakları savunucularından siyasilere, gazetecilerden yüksek profilli kişileri hedef tahtasına koyarak kampanyalarını yürüten bu aktörler, Kıbrıs’ta bir bilişim şirketinden Nijerya’daki eğitim kurumuna, Balkanlar’daki finans teknolojisi şirketinden İsrail’deki bir alışveriş şirketine kadar geniş bir yelpazede faaliyet gösteriyor.

Dünyayı sarsan siber casusluk skandalı: İsrailli Pegasus yazılımıyla yüzlerce gazeteci ve aktivist hedef alındı

Söz konusu aktörlerden kimisi hizmetlerini girişken bir şekilde herkese açıkça tanıtırken, kimi aktörlerde daha ihtiyatlı bir şekilde sınırlı kitlelere hizmet veriyor.

HACKLEME KAMPANYALARI

Google’ın Tehdit Analiz Grubu’nun kiralık hack ekosistemi ve kampanyalarına dair çeşitli örnekler sunarak paylaştığı raporda ise Hindistan, Rusya ve Birleşik Arap Emirlikleri’nden kiralık hack aktörleri yer alıyor.

HİNDİSTAN

TAG’ın 2012’den bu yana takip ettiği Hintli kiralık hack aktörleri, çeşitli kimlik avı saldırılarıyla Suudi Arabistan, Birleşik Arap Emirlikleri ve Bahreyn’deki hükûmet, sağlık ve telekom sektörünü hedef alıyor. Söz konusu aktörlerin gerçekleştirdiği kampanyalar belirli devlet kuruluşlarını hedeflemenin ötesinde AWS ve Gmail hesaplarını ele geçirmeye kadar uzanıyor.

1) AWS oltalama maili

2) AWS oltalama sayfası

TAG, söz konusu aktörleri, Appin ve Belltrox’un eski çalışanlarıyla ve kurumsal casusluğu hizmet olarak sunan ve yeni bir firma olan Rebsec’le ilişkilendirdi.

RUSYA

TAG, 2017 yılında gerçekleşen ve yolsuzluklarla mücadele eden gazetecinin hedef olduğu bir kimlik avı kampanyasını araştırırken keşfettiği, birçok gazeteciyi, Avrupa’daki politikacıları, çeşitli STK’ları ve kâr amacı gütmeyen kuruluşları hedef alan bir kiralık aktöre raporunda yer verdi. Söz konusu aktör “Void Balaur” olarak bilinirken hiçbir kuruluşa bağlı olmayan, Rusya ve çevre ülkelerden sıradan vatandaşları da hedef aldığı belirtildi.

Oltalama ve kimlik avı saldırılarıyla hedeflerine ulaşmaya çalışan aktörün, herkese açık bir internet sitesi aracılığıyla hesap hackleme yeteneklerinin reklamını yaptığı da keşfedildi.

3) Aktörün 2018 yılına ait reklamı

BİRLEŞİK ARAP EMİRLİKLERİ 

TAG, paylaştığı raporda Birleşik Arap Emirlikleri’nde faaliyet gösteren ve çoğunlukla Orta Doğu ve Kuzey Afrika üzerindeki kişi ve kuruluşları hedef alan kiralık hack grubunu da paylaştı.

4) Google kimlik avı sayfası

Söz konusu aktör hükûmet kurumları, eğitim sektörü, Avrupa’daki Orta Doğu odaklı STK’ları ve Filistin siyasi partisi Fetih dâhil siyasi kuruluşları hedef alıyor. Söz konusu aktörün gerçekleştirdiği kampanyaları Uluslararası Af Örgütü de daha önce paylaşmıştı.

ALAN ADLARI GÜVENLİ TARAMA’YA EKLENDİ

Söz konusu tehdit aktörleriyle mücadele kapsamında TAG, kiralık hack aktörlerinin kullandığı alan adlarını paylaşarak bunların Güvenli Tarama’ya eklendiğini belirtti.

Bunun yanı sıra TAG, ilgili detayları kolluk kuvvetleriyle paylaştığını belirterek hedef olabilecek kitlelere karşı farkındalığı artırmanın bir yolu olarak bulgularını paylaşmaya devam edeceklerini duyurdu.