Etiket arşivi: siber silah

Siber Saldırılar

2020’nin en büyük hack olayı FireEye saldırısıyla ilgili bilmeniz gereken 8 şey

Yorum yapın

Yıllardır üst düzey bilgisayar korsanlarının hedefinde olan hükümet kurumlarına ve şirketlere yardıma koşan dünyanın önde gelen siber güvenlik firması FireEye, hacklendi. Şirketin Kırmızı Takımının (Red Team) müşterilerin sistemlerini test etmek için kullandığı siber gereçlerin çalındığı olay tüm dünyada yankı buldu.

Daha önceki yıllarda ABD Ulusal Güvenlik Ajansı’ndan (NSA) çalınan ofansif gereçlerle yapılan saldırılar düşünüldüğünde (WannaCry, NotPetya) FierEye’dan sızdırılan istismar kodlarıyla neler yapılabileceğine dair endişeli bir bekleyiş başladı. Gerçekleşen olayın kanıtları Rusya ile ilişkili hackerları gösterse de, FireEye herhangi bir isim vermedi.

İşte 2020’nin en önemli siber saldırısı olabilecek olay ile ilgili bilmeniz gerekenler.

1- FIREEYE NEDEN HEDEF OLDU? 

Merkezi Kaliforniya’da bulunan ve 2004 yılında kurulan FireEye, 2013 yılında halka açık küresel bir siber güvenlik şirketi haline geldi. 40’tan fazla ülkede 8,800’ü aşan sayıda müşterisi bulunan FireEye’ın müşterileri arasında Sony ve Equifax gibi Fortune 500’ün içinde yer alan 100’den fazla kurumun da yer aldığını, Forbes Global 2000’de bulunan telekomünikasyon, teknoloji, finansal hizmetler, sağlık hizmetleri, elektrik operatörleri, ilaç şirketleri, petrol ve gaz endüstrisi şirketleri gibi kurumlar da bulunuyor. 3,5 milyar dolarlık FireEye şirketi, büyük siber saldırıların tespiti ve önlenmesinde, bu saldırıları araştırmakta, kötü amaçlı yazılımlara karşı korumakla ve BT güvenlik risklerini analiz etmek için donanım, yazılım ve hizmet sağlamasıyla müşterilerine yardımcı oluyor. 

FireEye tarafından Salı günü yayımlanan açıklamada, binlerce müşterisinin savunmasını araştırmak için kullandığı saldırı araçlarını hackleyenlerin “siber alanda üst düzey saldırı yetenekleri olan bir ülke” olarak tanımlanması dikkat çekti. Ayrıca şirket, hackerların dünya çapında yeni saldırılarda kullanılabilecek ‘yeni teknikleriyle’ birlikte kendi araç donanımlarıyla saldırıyı gerçekleştirdiğini duyurdu. Saldırıdan sonra ise şirket, konuyu FBI’a bildirdi. 

Rendition Infosec’te çalışan eski bir NSA çalışanı Jake Williams, “Operasyon hakkında bildiklerimizin bir Rus devlet aktörüyle tutarlı olduğunu düşünüyorum” dedi. “Müşteri verilerine erişilmiş olsun ya da olmasın, Rusya için hala büyük bir kazanç” yorumunda bulundu.

FBI konuyu Rusya uzmanlarına devrederken yapılan saldırının ‘bir ülkenin işi’ olabileceğini doğruladı. FBI’ın Siber Bölümü’nden Matt Gorham, “Olayı araştırıyoruz. İlk göstergeler bir ulus devletle uyumlu yüksek düzeyde yeteneklere sahip bir aktörü gösteriyor” ifadelerini kullandı. 

2- RED TEAM ARAÇLARI ÇALINMASI NE ANLAMA GELİYOR

Şirket tarafından yapılan açıklamada hackerların, şirketin ‘Red Team araçları’nın peşinde olduğu söylendi. FireEye’ın Red Team’i müşterilerinin güvenlik zafiyetlerini bulmak için tasarlanmış özel araçlarla müşterilerinin sistemlerini hackleyen ekibi tanımlıyor. Red Team’i bu kadar önemli yapan ise FireEye’ın çok çeşitli saldırılarda kullandığı bütün kötücül yazılım araçlarını içinde barındırıyor olması.

FireEye’a yapılan saldırının, halihazırda Amerika’nın gözleri ‘seçimlere’ kitlenmişken Rus istihbarat teşkilatlarının bu durumu avantaj olarak görmesi üzerine saldırıya geçmesi olarak yorumlandı. Amerika’nın kamu veya özel istihbarat sistemlerinin, seçmen kayıt sistemleri veya oylama makineleri ihlalleri aradığı bir anda 2016’daki seçimlerde ihlali bulunan Rus destekli aktörlerin saldırması için iyi bir zamanlama olduğu belirtildi.

 

3- NEDEN 2016’DAN BERİ YAŞANAN EN BÜYÜK FACİA?

Gerçekleştirilen saldırının 2016 yılında “ShadowBrokers” ekibinin NSA’yi hackleyişinin ardından yaşanan en büyük facia olarak nitelendirildi. 2016 yılında ShadowBrokers adlı hacker grubu NSA’in ‘siber silahları’nı çalmıştı. NSA’ye yönelik yapılan saldırıdan sonra Shadow Brokers’in eylemleri, NSA için feci sonuçlar doğurmuştu. Maddi anlamdaki felaketin dışında NSA’in büyük siber silahları koruma kabiliyeti ve kurumun ulusal güvenliğe verdiği önem konusunda soru işaretleri doğmuştu. Rakip ülkelerin bilgisayar ağlarına sızmada dünya lideri olan NSA, kendi ağlarını koruyamadı denilmişti. 

O zamanlar “dijital krallığın anahtarlarını” ShadowBrokers’ın ellerine veren NSA yerine bugün FireEye’ın benzer senaryoyla karşılaştığını görüyoruz. Şirketin Red Team araçları çalındı. FireEye’ın güvenilirliği zedelendi ve şirketin şimdiden borsa değeri yüzde 7 oranında düştü. 

4- FIREEYE NASIL ÖNLEMLER ALDI?

FireEye çalınan araç ve analizlerin saldırıyı gerçekleştiren aktörler tarafından kullanılmasına karşı bir dizi önlem aldıklarını duyurdu. Çalınan Red Team araçlarının kullanımını tespit edebilecek veya engelleyebilecek karşı önlemler hazırladığını duyuran FireEye, güvenlik ürünlerine karşı önlemler aldıklarını, bu karşı önlemleri güvenlik araçlarını güncelleyebilmeleri için güvenlik topluluğundaki meslektaşlarıyla paylaştıklarını açıkladı. 

Ek olarak karşı önlemleri GitHub’larında herkese açık hale getirdiklerini vurgulayan FireEye, “Red Team araçlarına yönelik ek azaltma önlemlerini hem genel olarak hem de doğrudan güvenlik ortaklarımızla paylaşmaya ve geliştirmeye devam edeceğiz” vurgusunu yaptı.

5- RED TEAM ARAÇLARIYLA NE YAPILABİLİR?

ABD hükümeti bir ‘amaca’ yönelik siber silahlar ürettiğinden muhtemelen NSA’in araçlarının FireEye’dan daha tehlikelidir. Özellikle yanlış ellere geçtiğinde. FireEye’ın Red Team araçları da şirketin çok çeşitli saldırılarda kullandığı kötü amaçlı yazılımlardan oluşuyor. Yine de bu saldırının olası sonuçları arasında, saldırının aktörlerinin çaldıkları araçlarla yapacakları yeni saldırıların izlerinin örtülmesini sağlaması olasılığı ön plana çıkıyor.

Eski bir NSA çalışanı olan Patrick Wardle, “Bilgisayar korsanları, riskli, yüksek profilli hedefleri hacklemek için FireEye’ın araçlarından yararlanabilir” yorumunu yaptı. Bir yazılım şirketi olan Jamf’te şu anda güvenlik araştırmacısı olan Wardle “Riskli ortamlarda, en iyi araçlarınızı kullanmak istemezsiniz, bu nedenle bu, gelişmiş rakiplere, en iyi yeteneklerini kullanmadan başka birinin araçlarını kullanmanın bir yolunu sunar” dedi.

Bu duruma örnek olarak NSA araçlarının çalınmasından sonra Çinli bir hacker grubunun NSA araçlarını dünyanın dört bir yanındaki saldırılarında kullandığı ortaya çıkmıştı.

6- SALDIRI HANGİ YOLLARLA GERÇEKLEŞTİ?

FireEye’a yapılan saldırıda, aktörler gizlenmek için olağanüstü önlemlere başvurma yoluna gitti. Birçoğu Amerika Birleşik Devletleri içinde, daha önce saldırılarda hiç kullanılmamış binlerce IP adresi oluşturdular. Saldırılarını gerçekleştirmek için bu adresleri kullanarak, bulundukları yeri daha iyi bir şekilde gizlediler.

FireEye’ın CEO’su ve şirketin 2014 yılında satın aldığı Mandiant firmasının kurucusu Kevin Mandia, “Bu saldırı, yıllar boyunca yanıtladığımız on binlerce olaydan farklı” dedi.

FireEye, bilgisayar korsanlarının en korumalı sistemlerini tam olarak nasıl ihlal ettiğini hala araştırdığını söylerken Mandia ince detayları aktardı.

Eskiden Hava Kuvvetleri istihbarat biriminde çalışan Mandia, aktörlerin “birinci sınıf yeteneklerini özellikle FireEye’ı hedef alacak ve onlara saldıracak şekilde tasarladıklarını” söyledi. “Operasyonel güvenlik” konusunda oldukça eğitimli göründüklerini, “disiplin ve odaklanma” sergilediklerini, güvenlik araçlarının tespitinden kaçmak için gizlice hareket ettiklerini söyledi. 

Google, Microsoft ve siber güvenlik araştırmaları yapan diğer firmalar ise bu tekniklerden bazılarını hiç görmediklerini belirttiler.

7- RUSLAR İNTİKAM MI ALIYOR?

Amerikalı araştırmacılar, NSA’in Pazartesi günü yaptığı açıklamada, Rusya’nın arkasında olduğunu belirttiği saldırılarla FireEye’a yapılan saldırı arasında herhangi bir ilişki olup olmadığını araştırıyor.

Ayrıca saldırının FireEye’a bir misilleme olduğu da düşünülüyor. FireEye daha önce birçok Rus destekli aktörü, yaptıkları araştırmalar sonrası ortaya çıkarmıştı. Örneğin FireEye, Mart 2018 tarihinde, siber korsanların bir Suudi petrokimya tesisinin güvenlik kontrollerini bozarak bir patlama yaratma girişiminde bulunduklarını, bunun arkasında ise Rus destekli aktörlerin yer aldığını duyurmuştu. New York Times’ın yazdığına göre saldırganların kodunda bir hata olmasaydı, planları başarıya ulaşacaktı.

Washington’daki Stratejik ve Uluslararası Çalışmalar Merkezi’nde bir siber güvenlik uzmanı olan James A. Lewis, “Ruslar intikam almaya inanıyor” yorumunu yaptı. Lewis “Birden, FireEye’ın müşterileri savunmasız hale geldi” dedi.

Salı günü, Rus uzmanlar yaptıkları forumda Amerika’nın yaptırım ve iddianameleriyle sonuçlanan saldırılardan sorumlu tutulan hackerların Ruslarla ilişkilendirilebileceğine dair bir kanıt yok dedi.

8 – SALDIRIYA UĞRAYAN DİĞER SİBER GÜVENLİK FİRMALARI HANGİLERİ?

Siber güvenlik firmaları, kısmen, araçlarının dünyanın her yerindeki kurumsal ve devlet müşterilerine ‘erişim düzeyi’ sağlaması nedeniyle, devlet destekli siber aktörler için sık sık hedef olmuştur. Siber aktörler, bu araçlara erişerek ve kaynak kodunu çalarak siber güvenlik firmalarının müşterilerinin sistemlerine girebilir.

McAfee, Symantec ve Trend Micro gibi güvenlik şirketleri, geçen yıl Rusça konuşan bir hacker grubunun kodlarını çaldığını iddia ettiği büyük güvenlik şirketleri arasında yer aldığı, Rus güvenlik şirketi Kaspersky’nin 2017 yılında İsrailli bilgisayar korsanları tarafından saldırıya uğradığı, 2012’de Symantec’in, antivirüs kaynak kodunun bir bölümünün bilgisayar korsanları tarafından çalındığını doğruladığı biliniyor. 

Siber Bülten abone listesine kaydolmak için formu doldurunuz

İsrail, Uluslararası İlişkiler

İsrail’in siber silah ihracatını kolaylaştıran yasal değişiklik yaptığı ortaya çıktı

Yorum yapın

Dünyanın önde gelen siber güvenlik ihracatçılarından İsrail’in, siber silah ihracatını kolaylaştıracak yasal değişikliği bir sene önce hayata geçirdiği ortaya çıktı.

İsrail Savunma Bakanlığı bazı ürünlerin belirli ülkelere satışı için lisans alınması konusunda siber güvenlik firmalarına muafiyet tanınmasını sağladı. Reuters’ın haberine göre, savunma bakanlığı bir sene önce yaptığı değişiklikle siber silahların ve siber casusluk yazılımlarının yabancı ülkelere satılmasını kolaylaştırdı.

İsrailli siber casusluk firması NSO Group’un Whatsapp hesaplarını hackleyen Pegasus yazılımını Suudi Arabistan’a sattığı ve Suud yönetiminin casus yazılımı muhalif gazeteci Cemal Kaşıkçı cinayetinde kullandığı iddia edilmişti.

İlgili haber >> NSO’NUN PERDE ARKASI: Whatsapp’ı hackleyen şirket hakkında bilmemiz gerekenler

Konuya yakın kaynakların verdiği bilgiye göre değişikliğin onaylanması oldukça hızlı gerçekleşti. İsrailli savunma sanayi şirketlerinin başta Arap ülkeleri olmak üzere çeşitli ülkelere ihracat yapmasında bazı kısıtılamalar bulunuyor. Örneğin 2016 yılında, Pegasus’un bir Arap ülkesine satışına İsrail Savunma Bakanlığı onay vermişti.

İsrail’de siber güvenlik ürünleri her ne kadar savunma sanayi ürünü olarak kabul edilse de, bu ürünlerin ihracatı konusunda farklı bir politika izleniyor. 2015 yılında ilk kez, İsrail siber güvenlik ürünlerinin ihracatı savunma sanayi ihracatının toplamının önüne geçmişti.

Siber güvenlik ürünlerinin ihracatı için özel birim kuruldu

2018 yılında küresel bilgi güvenliği harcamalarının toplamının 114 milyar doları geçeceği, ve 2012 yılına kadar siber güvenlik piyasasının genişliğinin 1 trilyon dolara ulaşacağı hesaba katıldığında İsrail’in büyüyen bu pastadan daha fazla pay almak için gerekli yasal değişiklikleri hayata geçirdiği yorumları yapılıyor.

Siber güvenlik ihracatını artırmaya yönelik bir sinyal de Ekonomi Bakanlığı’ndan geldi. Bakanlık bünyesinde hem defansif hem de ofansif siber teknolojilerin yabancı marketlerde pazarlanması için yeni bir birim kuruldu. İnsan hakları örgütleri ise İsrail’in sattığı casus yazılımları baskıcı rejimlerin muhaliflere karşı kullandığını savunuyor.

NSO Group dışnda, Verint ve Elbit Systems adlı İsrailli şirketler siber silah piyasasında öne çıkan şirketler olarak biliniyor.

Daha fazla büyümek için daha az regülasyon

Haziran ayında bir siber güvenlik konferansında konuşan İsrail Başbakanı Binyamin Netanyahu, siber güvenlik piyasası büyüdükçe, regülasyon düzenlenmesine yönelik talebin arttığına dikkat çekmiş, “Daha fazla büyümek için daha az regülasyon riskini almamız gerektiğini düşünüyorum.” demişti.

42 ülkenin imzaladığı ve silah ihracatını konu edinene Wassenaar Sözleşmesi, internet gözetleme ve sızma yazılımlarını da ihracatı kontrol edilmesi gereken ‘silahlar’ listesine eklemişti. İsrail imzacı ülkeler arasında yer almıyor.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

 

Siber Güvenlik

Ordular siber silah kullanmaya başladığında saldırganın isnat avantajı ortadan kalkacak

Yorum yapın

2016 yılı siber araçların askeri bağlamda kullanılması bakımından devrim niteliğinde oldu. Amerika, İngiltere ve Avusturalya ilk kez IŞİD’e karşı ofansif siber araçlar kullandığını kabul etti. Amerika, Çin, Rusya ve diğer devletlerin istihbarat ajansları, bilgisayar ağlarına girme çalışmalarını 90’ların başından beri sürdürüyor. Fakat istihbarat ajanslarındansa, askeriyenin kötü amaçlı yazılım kullanmasını ve sahadaki çatışmalarda üstünlük sağlayacak bilgileri ele geçirmesini kabul etmek tamamen yepyeni bir şey.

İlgili haber >> IŞİD siber saldırı düzenleyebilir mi? 

Her şey, Savunma Bakanı Ash Carter’ın “siber bomba” terimini kullanması ile başladı ve bu iki kelime büyük ses getirdi. New York Times’a göre Amerika ordusu İslam Devleti’nin söylemlerini yayma, kendi amacı doğrultusunda yeni katılımcılara ulaşma, müritlerine ödeme yapma gibi işlerini aksatmak için siber araçlar kullandı.  Diğer bir deyişle, ABD sözde İslam Devleti’nin kumanda ve kontrol ağlarına sızdı. Amerika’daki siyasiler İslam Devleti’ne karşı kullanılan ofansif siber araçların etkili olup olmadığına dair bir açıklama yapmadı.

CFR’da yayınlanan bloga göre, bu konuda tartışılan birkaç nokta olmasına rağmen askeri alanda siber saldırı operasyonlarının kullanılması üç bakımdan çok önemli.

Birincisi, gelecekte siber saldırı operasyonları tüm orduların olmasa da büyük bir kısmının kullandığı bir taktik haline dönüşecek. Tabii ki, sadece siber ordu olacak savaşlar da ağlar üzerinden yürüyecek gibi bir şey demek şimdilik mümkün değil fakat siber güçlerin desteklediği bir ordunun sivil ölümlerini azaltabileceği bir gerçek.

İkincisi, siber operasyonların ordu tarafından kullanılması Amerika’nın, Uluslararası İnsancıl Hukuk (IHL) uygulamasını sınamasını sağlayacak. 2011 yılında uluslararası siber stratejiyi ortaya çıkardığından beri Amerika, IHL’nin geleneksel savaş alanlarının yanında siber saldırı alanında da geçerli olması gerektiğini savunuyor. Bu alanda ilk adımı atan devletlerden biri olduğu için iddiasını destekleyebilecek delil elde edebilecek. Böylece diğer ülkeler de bu keşfedilmemiş alanda kullanılacak uluslararası hukuku bilecek ve ona göre uygulamalar yapacak.

İlgili yazı >> Siber güvenlik algısının önündeki tehlike: Fuat Avni

Son olarak, siber saldırı araçlarının kullanılması bu alana olan yaklaşımın değişmesine sebep olacak. Devlet destekli siber aktivitelerin çoğu casusluk ve istihbarat için kullanıldığından kimliğin gizlenmesi ve saldırının nereden geldiğinin belli olmaması gerekmekteydi. Siber saldırı yöntemlerinin ordu tarafından kullanılması düşmanın saldırının kimden geldiğini bilmesini gerektirecek. Bu değişiklik siber alanda, askeri kullanım için geliştirilecek yeni araçlara olan gereksinimi doğuracak.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

[wysija_form id=”2″]