Sosyal medya platformu Facebook, bir süredir sosyal mühendislikle hedeflerine zararlı yazılım bulaştırmaya çalışan İranlı hackerlara karşı harekete geçti.
Geçtiğimiz günlerde Facebook’un siber istihbarat birimi ve güvenlik araştırmacıları, İranlı hackerlara karşı harekete geçtiklerini belirten bir açıklama yayımladı. Hackerların Facebook’u aktif bir şekilde kullandığı belirtilirken hackerların kullandığı yöntemler de deşifre edildi.
FACEBOOK’UN RADARINA GİRDİ
Orta Doğu’da etkin bir şekilde faaliyet gösteren ve Tortoiseshell olarak bilinen İranlı hacker grubu, son zamanlarda operasyonlarını ABD ve Avrupa’ya doğru genişletmişti. Facebook üzerinden hedeflerine ulaşmaya ve zararlı yazılım dağıtmaya çalışan grup en sonunda Facebook’un radarına girdi.
Tortoiseshell, Suudi Arabistan’daki çeşitli kurumların IT sağlayıcılarına yönelik düzenlediği tedarik zinciri saldırılarıyla gündeme gelmişti. Toplam 11 kuruma yönelik düzenlediği saldırıda binlerce cihaza Backdoor.Syskit adı verilen zararlı yazılımı bulaştıran Tortoiseshell, siber güvenlik şirketlerinin dikkatini çektikten sonra yapılan araştırmalar neticesinde 2018’den beri faaliyet gösterdiği tespit edilmişti.
Orta Doğu üzerindeki faaliyetlerini daha geniş bir alana yaymaya çalışan İranlı hacker grubu, daha sonra hedefleri arasına ABD ve Avrupa’yı koymuştu. ABD’deki eski ordu mensuplarına yönelik sahte bir iş arama sitesi kuran ve birçok cihaza zararlı yazılım bulaştıran Tortoiseshell, Avrupa’da savunma ve havacılık endüstrisinde faaliyet gösteren şirketlerin çalışanlarına yönelik zararlı yazılım operasyonları yürütmüştü.
HACKER GRUBUNUN YÖNTEMLERİ DEŞİFRE EDİLDİ
Facebook’un açıklamasında, “İran’daki bir grup bilgisayar korsanına karşı, platformumuzu kötüye kullanma, zararlı yazılım dağıtma ve başta Amerika Birleşik Devletleri olmak üzere internet üzerinden casusluk operasyonları yürütme yeteneklerini engellemek için aldığımız önlemleri paylaşıyoruz.” ifadeleri yer aldı.
Sosyal medya platformu Facebook’u sosyal mühendislik için kullanan grubun, sahte profiller oluşturduktan sonra hedefledikleri insanların güvenini kazanarak zararlı yazılım içeren bağlantılara tıklamaları için insanları yönlendirdiği ortaya konulurken, oluşturulan sahte profillerin güvenilir kılınması için diğer sosyal medya platformlarında da aynı isimlerde profiller oluşturdukları ve kendilerini, hedefledikleri kişilerin ülkelerindeki çeşitli savunma ve havacılık şirketlerinde görev alan kişiler olarak tanımladıkları belirtildi.
Birçok ülkede kimlik avı saldırıları düzenleyen grup, gerek yasal olan işe alım sitelerinin alan adlarına çok benzeyen siteler oluşturarak gerekse de büyük e-posta sağlayıcılarının alan adlarını taklit ederek çeşitli ülkelerdeki savunma ve havacılık endüstrisinde faaliyet gösteren şirketlerdeki çalışanların kimlik bilgilerini çalmaya çalıştığı belirtildi.
İRAN DEVRİM MUHAFIZLARI İLE BAĞLANTILARI OLABİLİR
Birçok farklı yöntem ve taktik kullanan İranlı grubun hedeflerinin cihazlarına zararlı yazılımlar, truva atları ve keyloggerlarla erişmeye çalıştıkları belirtilirken, İranlı hacker grubunun kullandığı zararlı yazılımın İran Devrim Muhafızları (IRGC) ile bağlantılı bilişim şirketi Mahak Rayan Afraz (MRA) tarafından geliştirildiği ortaya konuldu. Mevcut ve eski MRA yöneticilerinin Washington yönetiminin onayladığı ABD’li şirketlerle bağı olduğu da Facebook’un raporunda yer aldı.
FACEBOOK GRUBA YÖNELİK ÖNLEMLERİNİ ALDI
İranlı hacker grubu Tortoiseshell hakkında bulgularını çeşitli kurum ve kuruluşlarla da paylaşan Facebook, Tortoiseshell tarafından zararlı yazılım barındıran alan adlarının Facebook üzerinden paylaşılmasının engellendiğini, sahte profillerin hesaplarının kapatıldığını ve grup tarafından hedeflenen kişileri de bilgilendirdiğini açıkladı.
Şu ana dek grubun hükümet destekli olup olmadığı ise bilinmiyor.
Geçen yılın ikinci yarısında siber saldırganlar, uzaktan çalışanları ya da eğitim alanları ve dijital tedarik zincirini hedef aldı. Fidye yazılımının hareketliliğinde ilk yarıya kıyasla yedi kata varan bir artış gözlemlendi. Ayrıca Microsoft platformları en çok başvurulan saldırı hedefi olarak öne çıkıyor.
FortiGuard Labs’ın yılda iki kez yayınladığı FortiGuard Labs Küresel Tehdit Raporu‘nun en yeni bulgularını paylaştı. 2020’nin ikinci yarısında elde edilen tehdit istihbaratı, siber saldırganların dünyanın farklı noktalarında gerçekleştirdiği atakların ölçeğini artırmak için sürekli genişleyen saldırı zemininden kazandıkları avantajı en üst seviyeye çıkardığını gösteriyor. Bu da daha önce görülmemiş bir siber tehdit zemininin oluşmasına neden oluyor.
Kendini geliştirme konusunda son derece başarılı olan saldırganlar, yıkıcı etkiler yaratan gelişmiş saldırı zincirleri oluşturuyor. Geleneksel ağın dışında yer alan uzaktan çalışanları ve uzaktan eğitim alanlarını da hedef alan saldırganlar, bu sırada dijital tedarik zincirlerini ve ağ merkezini hedef alırken daha da çevik olduklarını gösteriyor. 2020’nin ikinci yarısını kapsayan raporun öne çıkan noktaları şöyle:
FİDYE YAZILIMLARININ BASKIN TEHLİKESİ DEVAM EDİYOR
FortiGuard Labs verileri 2020’nin ilk yarısına kıyasla birkaç trendden ötürü fidye yazılımının hareketliliğinde yedi kata varan bir artış gözlemliyor. Hizmet olarak fidye yazılımının (RaaS) gelişmesi, daha fazla ses getirmesi için yüksek fidyelerin istenmesi ve koşullar yerine getirilmezse veriyi erişime açma tehdidi bir araya gelmesi bu önemli artışın sebeplerini oluşturuyor.
Egregor, Ryuk, Conti, Thanos, Ragnar; WastedLocker, Phobos/EKING ve BazarLoader, farklı yaygınlık derecesine sahip olan ancak en aktif fidye yazılımları olarak karşımıza çıkıyor. Fidye yazılımları tarafından sıklıkla hedef alınan sektörler arasında sağlık, profesyonel hizmetler, tüketici hizmetleri, kamu sektörü ve finansal hizmetler yer alıyor. Gelişen fidye yazılımlarına karşı etkili bir şekilde korunabilmek için kurumların sıklıkla eksiksiz yedekleme yapması ve bu yedekleri de şirket dışında güvenli bir yerde bulundurması gerekiyor. Sıfır güven erişimi (ZTNA) ve segmentasyon stratejilerinin de riski en aza indirmek için dikkate alınması gerekiyor.
TEDARİK ZİNCİRİ ÖNE ÇIKIYOR
Tedarik zinciri saldırıları çok uzun zamandır yaşanıyor ancak SolarWinds sızıntısı bunu çok farklı boyutlara taşıdı. Saldırı gerçekleşirken bilgilerin büyük çoğunluğu ilgili şirketlerle paylaşıldı. FortiGuard Labs bu gelişmekte olan istihbaratı yakından takip etti. Daha sonra oluşturduğu bu istihbaratı ilgili aktiviteleri tespit etmek ve IoC’ler oluşturmak için kullandı. Aralık 2020’de SUNBURST ile bağlantılı internet altyapısıyla iletişim tespitleri, kampanyanın küresel olduğunu gösteriyor. “Five Eyes” birliğinin kötü amaçlı IoC’lerle eşleşen yüksek miktarda trafik gözlemlemesi de bu durumu doğruluyor. İkincil hedeflerin olduğunu belirten kanıtlar, modern tedarik zinciri saldırılarının birbiriyle bağlantılı yapısını ve tedarik zinciri risk yönetiminin önemini gözler önüne seriyor.
SALDIRGANLAR ÇEVRİMİÇİ AKTİVİTELERİ HEDEF ALIYOR
En uzun süre varlığını devam ettiren kötü amaçlı yazılım kategorileri incelendiğinde siber saldırganların şirket içinde bir dayanak oluşturmak için en sık tercih ettiği yöntem açığa çıkıyor. Microsoft platformu, birçok kişinin sıradan bir iş gününde kullandığı belgelerden faydalanmak için en çok başvurulan saldırı hedefi olarak öne çıkıyor. Web tarayıcıları da başka bir hedef. Bu HTML kategorisinde, kötü amaçlı yazılım yüklü oltalama siteleri ve kod enjekte eden ya da kullanıcıları kötü amaçlı sitelere yönlendiren komut dizileri yer alıyor. Bu tür tehditler, küresel sorunlar yaşandığında ya da online ortamların büyük ölçüde kullanıldığı dönemlerde artış gösteriyor. Şirket ağından internete genellikle web filtreme hizmeti kullanarak bağlanan çalışanlar, internete bu koruyucu filtre olmadan bağlandığı için kendilerini daha fazla tehlikeye açık hissediyor.
EVDEN ÇALIŞANLAR HALA HEDEF ALINIYOR
2020’de ev ile ofis arasındaki engeller önemli ölçüde ortadan kalktı. Bu da evleri hedef alan saldırganların şirket ağına daha kolay girebilmesini sağlıyor. 2020’nin ikinci yarısında Nesnelerin İnterneti (IoT) cihazlarını hedef alan saldırılar, listenin ilk sıralarında yer aldı. Her IoT cihazı, beraberinde korunması ve her cihazda olması gerektiği gibi güvenlik izlemesi ve uygulaması gerektiren yeni bir uç nokta haline geliyor.
TEHDİT AKTÖRLERİ DÜNYA SAHNESİNE ÇIKIYOR
Gelişmiş Kalıcı Tehdit (Advanced Persistent Threat, APT) grupları birçok yöntem ile COVID-19 pandemisini istismar etmeye devam ediyor. Bu yöntemler arasında en sıklıkla kullanılanı ise sayıca fazla bireyin kişisel bilgilerini toplamaya ve çalmaya odaklanan, APT gruplarının uluslara yönelik ilgili istihbaratları ele geçiren saldırıları yer alıyor. 2020’nin sonuna yaklaşıldığında aşı araştırması ya da yerel veya uluslararası sağlık ilkeleri geliştirmek gibi COVID-19 ile ilgili bir iş yapan kurumları hedef alan APT aktivitelerinde bir artış gözlemlendi. Hedef alınan kurumlar arasında kamu kuruluşları, ilaç firmaları, üniversiteler ve medikal araştırma şirketleri yer alıyor.
Siber saldırganlar zafiyetleri kendi faydalarına göre istismar etmek istediği için şirketlerin öncelikleri arasında zafiyetleri yamayla kapatma ve ortadan kaldırma gibi başlıklar yer alıyor. Son iki yılda bilinen 1.500 zafiyetin durumu incelendiğinde ortaya çıkan veri, zafiyetlerin ne kadar hızlı ortaya çıktığını ve kapsamlı olduğunu ortaya koyuyor. Durum her zaman böyle olmasa da birçok zafiyet çok hızlı yayılıyor gibi görünmüyor.
Son iki yılda gözlemlenen zafiyetlerin sadece yüzde 5’i, şirketlerin yüzde 10’undan fazlasında görüldü. Aksi bir durum olmazsa, bir zafiyet rastgele seçildiğinde veriler, şirketlerin bu zafiyet üzerinden saldırıya uğrama ihtimalinin binde bir olduğunu ortaya koyuyor.
Zafiyetlerin yalnızca yüzde 6’sı, ilk ay içerisinde şirketlerin yüzde 1’ine saldırmak için kullanılıyor ve 1 yıl sonrasında bakıldığında zafiyetlerin yüzde 91’i, yüzde 1 barajını geçemiyor. Yine de bilinen zafiyetleri ortadan kaldıracak çalışmalara odaklanmak çok önemli. Bu zafiyetler arasında da yayılım hızı fazla olanlara öncelik vermek gerekiyor.
ENTEGRE BİR STRATEJİYE İHTİYAÇ VAR
Kurumlar, her alandan gerçekleşen saldırıların bulunduğu bir tehdit zeminiyle karşı karşıya. Tehdit istihbaratı, bu tehditleri anlamak ve gelişen tehdit yöntemlerine karşı savunmak için önemini korumaya devam ediyor. Özellikle çalışanların önemli bir kısmının alışılmış ağ senaryosunun dışında olduğu durumlarda görünürlük kritik öneme sahip. Her cihaz, gözlemlenmesi ve korunması gereken yeni bir ağ bileşeni haline geliyor. Yapay zeka (AI) ve otonom tehdit denetimini kullanarak şirketler saldırılara sonra değil, anında karşılık verebiliyor. Ayrıca uç noktaların tamamında hızından ve ölçeğinden bağımsız olarak tüm saldırıların etkisini azaltmak için de gerekli. Siber hijyen sadece BT’yi ve güvenlik ekiplerini değil, herkesi ilgilendirdiği için kullanıcı farkındalığına yönelik siber güvenlik eğitimlerine de öncelik verilmesi gerekiyor. Çalışanları ve kurumları güvenli tutmak için herkesin düzenli eğitime ve en iyi uygulamalara yönelik açıklamaya ihtiyacı var.
FortiGuard Labs Güvenlik Yaklaşımları ve Global Tehdit Ortaklığı Başkanı Derek Manky, konuyla ilgili şu değerlendirmelerde bulundu:
“2020’nin ilk gününden son gününe kadar her an dikkat çeken bir siber tehdit zemini gördük. Pandeminin de etkisiyle yılın ilerleyen dönemlerinde siber saldırganlar saldırılarını yıkıcı sonuçlar yaratacak şekilde geliştirdi. Dijital saldırı zeminini merkez ağın da ilerisine taşıyarak uzaktan çalışanları ya da eğitim alanlarını ve dijital tedarik zincirini kapsayacak şekilde genişlettiler. Artık her şey daha büyük bir dijital ortamda birbirleriyle bağlantı halinde olduğu için siber güvenlik riski de hiç olmadığı kadar arttı. Aksiyon alınabilen tehdit istihbaratıyla desteklenen entegre ve yapay zekadan güç alan platform yaklaşımı, sınırların tamamında korumayı sağlayabilmek ve günümüz dünyasında kurumların karşılaştığı tehditleri gerçek zamanlı bir şekilde tespit edebilmek ve ortadan kaldırabilmek için kritik öneme sahip.”
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Geçtiğimiz hafta siber güvenlik camiası FireEye’ın ofansif güvenlik için kullanılan Red Team gereçlerinin çalındığı saldırının etkilerine odaklanmışken, bu saldırının nasıl gerçekleştiğini araştıran FireEye, çok daha büyük bir saldırıyı ortaya çıkardı.
Pazar günü (13 Aralık) FireEye, SolarWinds saldırısı olarak anılacak olan ve kendisinin de kurbanları arasında olduğu siber saldırının ilk detaylarını yayınladı.
Tüm hafta boyunca konuşulan ve her gün en az iki ya da üç yeni gelişmenin yaşandığı siber saldırının ayrıntılarını ve bugüne kadar ortaya çıkan bilgileri sizler için derledik:
1- SolarWinds nedir?
SolarWinds, 1999’da Oklahoma’da iki kardeş tarafından kurulan ABD’de bulunan bir yazılım şirketi olan ,. Donald ve Davind Yonce kardeşler şirketi 2006’da bir sene sonra yüklü bir miktar yatırım alacakları Texas, Austin’e taşıdılar. 3 binden fazla çalışanı olan SolarWinds’in geçtiğimiz yıl açıkladığı geliri yaklaşık 1 milyar doları buluyor.
2. Şirket ile saldırının bağlantısı nedir?
Saldırganlar, SolarWinds’in ürettiği ağ izleme ve yönetme platformu Orion’u hedef aldılar. Ürün için güncelleme yazılımı sağlayan servise zararlı yazılım yerleştiren saldırganlar böylece ürünün yeni güncellenmesini yükleyen Orion kullanıcılarının ağlarına sızma gerçekşetirebildi.
Saldırıda istismar edilen arka kapı açıklığına teknoloji şirketleri -nedense- farklı isimler vermeyi tercih etti. FireEye’ın SUNBURST olarak adlandırdığı açıklığa, Microsoft Solorigate ismini vermeyi seçti. Fakat medyada saldırı SolarWinds saldırısı olarak anılmaya devam etti.
3. Saldırıdan kimler etkilendi?
SolarWinds’in toplam 300 binden fazla müşterisinin 33 bine yakını Orion müşterisi. Şirket yaptığı açıklamada zararlı yazılım yüklenmiş güncellemeyi 18 bin kullanıcının yüklediğini, dolayısıyla saldırıdan bu müşterilerin öncelikli olarak etkilenmiş olabileceğini belirtti. Saldırının hedefli bir saldırı olduğunu gösteren önemli noktalardan biri, sakat Orion güncellemesi yüklenen hedeflerden sadece bazılarında malware’in aktive edilmesi oldu.
Perşembe günü CISA’nın yaptığı açıklamada saldırganların operasyon için kullandıkları başka yollar da bulunduğunu bunların ortaya çıkartılması için çalışmaların devam ettiği belirtildi. Yani her geçen gün saldırıdan etkilenen kurumların sayısı artabilir. Bu zamana kadar başta FireEye ve Microsoft gibi özel kurumların dışında, ABD Hazine Bakanlığı, Ticaret Bakanlığı, Dışişleri Bakanlığı ve Ulusal Nükleer Güvenlik Ajansı, Enerji Bakanlığı, Anayurt Bakanlığı gibi kritik kamu kurumları da hedefler arasında. Microsoft 40 müşterisinin de saldırıdan etkilendiğini belirtti.
4. Saldırının arkasında kim var?
Saldırının boyutları ortaya çıkar çıkmaz, ABD hükümet seviyesinde harekete geçti. Kısa bir süre sonra Ulusal Güvenlik Konseyi bir araya geldi. FBI tarafından hacklenen devlet kurumlarında araştırma başlatıldı ve basına ‘soruşturmaya yakın kaynakların verdiği bilgiye dayanarak’ saldırının arkasında Rusya’nın olduğuna dair haberler sızdırıldı. Teknik olarak hangi delillere dayandırıldığı açıklanmayan bu suçlamalar yapılırken, konuyla ilgili rapor hazırlayan teknoloji firmaları da faillerin ‘devlet destekli’ olduğu üzerinde durdular. Basına yansıyan bilgilerde Rusya’nın dış istihbaratından sorumlu SVR operasyonun arkasındaki kurum olarak işaret edildi. SVR, Sovyet döneminden sonra kapatılan KGB’nin yerini alan kurum olarak biliniyor. ABD Dışişleri Bakanı da saldırıdan dolayı Rusya’yı suçladı.
5. Saldırı ne kadar zamandan beri devam ediyor?
İlk açıklamalar zararlı Orion güncellemelerinin mart ayından bu yana müşterilere gönderildiğini gösteriyordu. Fakat bu haber yazılırken ortaya çıkan bir bilgi, operasyonun çok önceden tasarlandığını ve ‘deneme sürüşlerinin’ yapılmaya başlandığını gösteriyor. Tecrübeli gazeteci Kim Zetter’ın haberine göre, saldırganların SolarWinds sistemine sızmaları 2019 ekimine kadar gidiyor. Bu tarihte sisteme sızan tehdit unsurları, Orion müşterilerine zararlı dosyalar gönderiyor fakat bunların içerisinde arka kapı açıklığı bulunmuyor. Saldırganların zaman baskısı olmadan operasyonu geliştirdiğini gösteren bu gelişme aynı zamanda tehdit unsurlarının şansa yer bırakmadan asıl operasyon öncesinde bir deneme yaptığını da gözler önüne seriyor. İlk denemeden 5 ay sonra arka kapı açıklığı olan zararlı yazılım yüklü diğer dosya da Orion kullanıcılarına gönderiliyor.
6. Tedarik Zinciri Saldırısı ne demek?
ABD’de birçok kurumu etkileyen saldırı bir tedarik zinciri olarak nitelendiriliyor. Peki nedir tedarik zinciri saldırısı? Saldırganların farklı kurumların kullandığı aynı üreticiden çıkmış ürünlere sızarak, kurumları direkt olarak hedeflemeden 3. taraf üzerinden sistemlerine sızabildikleri saldırılara tedarik zinciri saldırısı deniyor.
Diğer bir deyişle sistemlerine entegre ettikleri yazılım ve/veya donanım ile kurumlar saldırılara açık hale geliyorlar. Bunun en önemli örneklerinden bir tanesi İran’ın Natanz’daki nükleer tesisine dışarıdan aldığı bir parçaya yerleştirilen arka kapı açıklığıyla düzenlenen Stuxnet saldırısı oldu.
7. Saldırının şirkete etkisi ne oldu?
Konuyla ilgilenen medya kuruluşları, saldırının etkilerine odaklanırken aslında saldırının ilk mağduruna yeterli ilgiyi göstermedi. SolarWinds şirketinin sattığı ürünlerden birinin (bilindiği kadarıyla) hacklenmesiyle başlayan saldırıda en büyük mağdurlardan biri tabi ki SolarWinds şirketi oldu. Şirketin borsada işlem gören hisseleri yüzde 50’ye yakın bir kayıp yaşadı.
Gözden kaçırılmaması gereken bir noktada, şirketin bu fırtınaya kaptan değişimi sırasında yakalanması. 14 yıldır şirkette çalışan ve 11 yıldır da şirketin CEO’luğunu yapan Kevin Thompson 7 Aralık’ta, yani saldırının ortaya çıkmasında bir hafta önce, emekliliğe ayrıldı. Yerine geçecek olan Sudhakar Ramakrishna ise görevi 4 Ocak’ta teslim alacak. Saldırının tam bu tarihte ortaya çıkması ‘zamanlama manidar’ yorumlarına neden oldu.
8. Stratejik açıdan bu saldırı ne ifade ediyor?
ABD’nin bütün enerjisini ve odağını başkanlık seçimlerine verdiği bir dönemde operasyonun hazırlığının tamamlandığı anlaşılıyor. 2016 yılındaki seçimlerin öncesinde ve sırasında hack-leak operasyonları ve fake news ile gerçekleşen seçime müdahalenin tekrarlanmasını bekleyen ABD güvenlik eliti seçim güvenliği ile yatıp kalkarken, Rus istihbaratı adeta boş arazilerde rahatça at oynatmışa benziyor. Online dezenformasyon ve seçime hazırlanan adayların ekiplerinin siber güvenliği önceliklendirilirken bu kadar sıra dışı ve sofistike bir saldırıda ABD açıkta kalmış oldu. Tüm bunlara rağmen ABD’nin siber güvenliği sınıfta kaldı değerlendirmesi doğru bir sonuç ortaya koymayacaktır. Seçime yönelik siber operasyonlarla müdahale girişimleri olmuş olsa da, kamuoyu bunları ancak başarılı olduğu zaman öğrenebiliyor. Şayet böyle bir müdahale girişimi olduysa ve NSA ile Siber Komutanlık bunu başarıyla savuşturduysa bir kaç ay içerisinde bu operasyonun detaylarının bir şekilde basına sızması beklenebilir.
