Etiket arşivi: wikileaks

ABD, Rusya

Ruslar, ABD Demokratlarının her adımını takip etmiş!

Yorum yapın

Siber Güvenlik uzmanı Robert Johnston, Rusya’nın Hillary Clinton’a karşı Trump’ın kazanmasına yönelik  yürüttüğü iddia edilen siber saldırıları ortaya çıkaran kişi. Konuyla ilgili ilk kez konuşan Johnston, daha önce de ABD Deniz Piyade Kolordusu’nun siber savaşçısı konumunda görev almış bir isim ve Rusya’nın daha önce de Pentagon’a karşı benzer bir saldırı gerçekleştirdiğini iddia ediyor.

ABD Deniz Piyade Kolordusu’nun siber savaşçısı Robert Johnston, Rusların, Demokrat Parti alt kanadı olan Ulusal Komite’yi (DNC) hacklediğini keşfetmesinden bir yıl kadar önce de Rusların benzer bir saldırıyı Genelkurmay Başkanlığı’na da yaptığını öğrendi.

BuzzFeed’in haberine göre, 2016 Mayısı’nın bir sabahında Demokrat Parti’nin alt kanadı Ulusal Komite’nin liderleri bir masasının etrafından toplanmış Robert Johnston’a dik dik bakıyorlardı. Deniz Piyade Kolordusu’nun eski askerlerinden biri olan Johnston, duygusallıktan uzak bir askeri netlikle brifing veriyordu. Fakat söylediği şey, o kadar sinir bozucuydu ki, yüksek rütbeli bir DNC yetkilisi oturduğu sandalyede bir korku filmi izliyormuş gibi tortop olmuştu.

Johnston 30’lu yaşlarında, ordunun elit kolu olan ABD Siber Komutanlığı’ndan yeni ayrılmış başarılı bir sanal dedektifti. Johnston o sırada Rusların ABD ordusunun en üst rütbelerine karşı giriştiği bir siber saldırıyı durdurmaya destek veriyordu. Daha sonra buradaki görevinden ayrılarak özel bir siber güvenlik şirketinde çalışmaya başlayan Johnston, DNC’ye bir brifing vermesi gerekiyordu. Zira tehlikelerle dolu bir seçim kampanyası sırasında Johnston DNC’nin bilgisayar ağında şüpheli bir hareketlilik keşfetmişti.

  • EN KÖTÜ GÜNLERİYDİ

Demokrat Parti yetkililerinin tepkisini tam anlamıyla ‘şok hali idi’ sözleriyle anlatıyor Johnston ve ekliyor: “Bu onların en kötü günüydü.”

DNC’ye yönelik siber saldırı her ne kadar kamuoyu tarafıdan biliniyor olsa da epeyce soru işareti barındıran ayrıntıları gizemini koruyordu.  DNC, siber saldırıyı nasıl oldu da ıskalamıştı? Neden FBI değil de özel bir güvenlik uzmanı DNC’nin sunucularını denetliyordu? Her şeyden önce DNC Johnston’un şirketi CrowdStrike’ı nasıl bulmuştu?

Johnston’un burada ilk kez anlattığı ve FBI, DNC ve Savunma Bakanlığı’ndan 15 kaynakla yapılan görüşmelerle doğruluğu teyit edilen raporu, soruların bazılarının cevabını veriyor.

İlgili haber>> ABD’nin Rusya’ya yaptırımları havada kaldı

Dışarıdan bir isim olarak bu işi tesadüfen alan Johnston, siber saldırının doğasını ve kapsamını belirleyen baş araştırmacıydı ve söz konusu hackleme faaliyetinin küstah bir ele geçirmeden ziyade gizli bir soygun olarak değerlendiriyordu. Merkezi bir rolü olmasına rağmen Johnston, Rusların müdahalesini soruşturan araştırmacılarla hiç konuşmadı.

Johnston büyük ölçüde kendi başına hareket ediyordu. Demokrat Parti, FBI yerine  CrowdStrike’i bu konuda görevlendirmişti ve FBI bu zamana kadar hiç DNC’nin sunucularına giriş yapmamıştı. DNC yetkilileri bu konuda özel bir şirketle çalışmayı seçmişlerdi çünkü kampanyanın tam ortasında operasyonlarının kontrolünü kaybetmekten korkuyorlardı. Üstelik FBI, Hillary Clinton’ın özel e-posta sunucusunun kullanımını da araştırıyordu. DNC işleri özel olarak ilgilenilmesinin daha iyi olacağını düşündü.

  • HER ESPRİ; HER KELİME, HER HECE…

Siber güvenlik uzmanları Johnston’ın bulduklarını geniş ölçüde kabul etmiş olsalar da bu, soruşturma hakkındaki şüphelere gölge düşürecek bir karardı.

O gün toplantı odasında, bulduğu bilgileri Demokrat Parti yetkililerine açıklarken, partinin genel başkanı Debbie Wasserman Schultz da hoparlörden dinliyordu. Johnston, bilgisayar sistemlerinin gizliliğinin bir kez değil iki kere ihlal edildiğini açıkladı. İlk saldırıdaki zararlı yazılım bir yıl boyunca DNC’nin siteminde bulundu. İkinci sızma ise sadece bir kaç aylıktı. İki sızma da Rus istihbaratı ile ilişkiliydi. Daha rahatsız edici olan durum ise hackerlar bütün e-postaların bir kopyasını toplayıp, bir yerlere ya da birilerine yollamışlar. Her bir DNC personelinin yazdığı her bir e-posta izlenmiş. Her espri, her kelime her hece…

  • WİKİLEAKS SERİ HALDE YAYINLADI

O dönemde hala Rusya’nın Trump’ın yararı için müdahale etmiş olabileceğine dair uyarılar olmadığından, DNC yetkilileri Johnston’u soru yağmuruna tutmuşlardı. Yetkililer Johnston’a şu soruları yönelttiler: “Bu kadar bilgi ile ne yapabilirler? Saldırganlar bu bilgilerle ne yapabilir?”

Johnston bilmiyordu. FBI da bilmiyordu. Cevaplar, çalınan e-postaların Wikileaks tarafından bir seri olarak yayınlanması ile gelmiş oldu: Rus hükümeti Hillary Clinton’a karşı Donald Trump’ın kazanmasını sağlamak için aktif bir şekilde çalışmış olabilir.

İlgili haber>> Rusya’nın siber saldırıları, KGB’den miras bir anlayış

Johnston 2015’in ilk bahar aylarında ABD Deniz Kolordu Komutanlığında çalışıyorken, Maryland’daki Cyber Protection Team 81 adlı bir birimi yönetiyordu.  Bir gün cep telefonundan acil bir çağrı aldı. Telefon birlik komutanından geliyordu ve komutan “Washington’a ne kadar hızlı gelebilirsin?” diye soruyordu. Sonrasında aynı kişi şöyle devam etti: “Hemen oraya git ve diğerleriyle buluş, sana anlatacaklar”

Acil durumun sebebi ABD Başkanı’na önerilerde bulunan ordunun en üst rütbeli subayların yönelik bir siber saldırı kuşkusu idi. Zararlı yazılım 5 saat içinde 5 rütbeli askerin dizüstü bilgisayarlarına ve genelkurmay başkanının dizüstü ve masaüstü bilgisayarına yayılmıştı. Çok kısa sürede Johnston ve ekibi zararlı yazılımı tespit etti. Sözkonusu siber saldırı aracının APT 29 adlı, Rusya’nın federal güvenlik servisi FSB ile bağlantılı olduğu bilinen bir hacker grubu tarafından kullanıldığı anlaşıldı.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Vault7

CIA, uzmanları ‘Marble’ ile yanıltmış

Yorum yapın

Wikileaks’in Vault 7 serisi kapsamında 31 Mart’ta yayınladığı belge Marble (mermer) adını taşıyor. Belge, CIA’in siber saldırılarında delil karartma faaliyetlerine dair detaylar içeriyor.

Sızdırılan belgelere göre Marble bir framework (yazılımcılara kullanabileceği bazı özellikleri önceden hazırlanmış biçimde sunan bir çeşit kütüphane).

Bu framework, zararlı kodların üzerinde çok önemli delilleri karartma yeteneğine sahip.  CIA uzmanları tarafından geliştirilen Marble’ın 676 kaynak kod dosyası içerdiği belirtiliyor.

Wikileaks’in iddiasına göre CIA elemanları, söz konusu framework ile antivirüs şirketlerinin veya araştırmacıların kodu anlayamayacakları veya kaynak kodlamayacakları bir hale getirmek için kötücül yazılım kodunu karartıyorlar.

Marble sayesinde Merkezi Haberalma Teşkilatı’nın Rusya, Çin, Kuzey Kore ve İran gibi yabancı ülkelerde yaptığı siber saldırıların niteliğini anlamak zorlaşıyor.

İlgili haber>> İşte CIA’in suikastçi yazılımları!

Wikileaks’ten yapılan değerlendirmede Marble’ın adli araştırmacılar ve antivirüs şirketlerinin virüsler, trojanlar ve hack saldırılarını anlamalarını önlüyor. Marble bunu, CIA’in zararlı yazılımlarında kullanılan metin bölümlenmelerini görsel incelemeden saklayarak yapıyor.

Marble framework, zararlı yazılımın kaynak kodunun anlaşılmasını zorlaştırmak için farklı dillerde metinler kullanıyor. W

ikileaks’ten yapılan açıklamada CIA’nın “karartılmış” kaynak kodlarına Çince, Rusça, Farsça ve Arapça gibi dillerde metinler yerleştirdiği, böylece zararlı yazılımları inceleyen güvenlik uzmanlarının yanıltıldığı ileri sürüldü. Bu şekilde yazılımların bu dilleri kullanan ülkelere aitmiş süsü verildiği ifade ediliyor.

Marble ayrıca CIA’nın metin şaşırtma/gizleme işini tersine çevirebileceği bir deobfuscator aracı içeriyordu. WikiLeaks’e göre, 2015 yılında Marble Framework 1.0’a ulaştı ve 2016 boyunca CIA tarafından kullanıldı.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Vault7

CIA, Apple’a Dark Matter ile sızmış

Yorum yapın

Wikileaks tarafından 23 mart 2017 tarihinde yayınlanan Vault 7 belgesi CIA’in iPhone başta olmak üzere Apple cihazlarına nasıl sızdığına dair detaylar içeriyor.

Dark Matter adlı belgelerde CIA’in Apple araçlarına yönelik hackleme tekniklerinden bahsediliyor. CIA’in Gömülü Geliştirme Şubesi (EDB) tarafından geliştirilen hackleme araçlarından en önemlisi ‘NightSkies’ adını taşıyor ve tarihi 2008’e kadar dayanıyor. CIA’nin cihaz piyasaya sürüldükten bir yıl sonra, yani 2008 yılından beri iPhone’u hedef aldığı belirtiliyor.

WikiLeaks NightSkies’ın açık bir şekilde henüz çok yeni olan iPhone’lara yüklendiğini ifade ediyor. CIA ajanlarının bunu gerçekleştirmek için Apple’ın tedarik zincirine erişim hakkı kazanıp kazanmadığı ise net değil. Ancak Wikileaks bunun olası olduğunu ifade ediyor.

İlgili haber>> ABD backdoor istedi, Apple red etti; şimdi ne olacak?

Wikileaks ayrıca NightSkies’ın CIA’e iPhoneları tamamen uzaktan kumanda etme imkanı verdiğini, mesajlar, arama kayıtları ve rehber gibi dosyalara erişim hakkı tanıdığını iddia ediyor.

Dark Matter belgesinde ayrıca Sonic Screwdriver adlı bir hackleme aracından daha bahsediliyor. Bu hackleme aracına, Doctor Who dizisinden esinlenilerek isim koyulmuş. Sonic Screwdriver, Apple’a ait bir laptop ya da masa üstü başlatıldığında çevresel aygıtlardaki yürütme kodunu çalıştıran mekanizma olarak tanımlanmış. Tarihi 2012’ye giden araç, ajanların bir Mac’i Thunderbolt adı verilen bir Ethernet adaptörü kullanarak nasıl hacklediğini ortaya koyuyor. 2009 tarihli ‘DarkSeaSkies’ tekniği ise MacBook Air için geliştirilmiş.

Dark Matter” arşivinde 2009 ve 2013 yılları arasındaki belgeler yer alıyor. Apple, “ilk çözümleme temelinde iPhone’nun güvenlik açığı yalnızca iPhone 3G’yi etkiledi ve 2009’da iPhone 3GS piyasaya sürüldüğünde düzeltildi” şeklinde ikinci bir bildiri yayınladı. Buna ek olarak, bir ön değerlendirme “iddia edilen Mac zayıflıkları daha önce 2013’ten sonra başlatılan tüm Mac’lerde düzeltildi” idi.

WikiLeaks ise Apple’ın güvenlik kusurlarını düzeltme durumunu “yinelenen” olarak nitelendirdi: “Apple’ın Dark Matter’da açıklanan” açıklarının “değişmez” olduğu” iddiasını yineledi.

Vault7

Scribbles ile ajanları da takip etmişler

Yorum yapın

Scribbles CIA’in Wikileaks tarafından ortaya çıkarılan hackleme araçlarından bir diğeri. Bu zararlı yazılıma dair detaylar Wikileaks’in Vault 7 serisi kapsamında yayınladığı gizli belgelerden 28 Nisan 2017 tarihli olanında yer alıyor.

Scribbles, muhbirleri ve yabancı ajanları takip etmek amacıyla web işaretçisini çok gizli belgelere yerleştirmek için geliştirilmiş bir yazılım.

Wikileaks 28 Nisan’da Scribbles dökümantasyonunu ve onun kaynak kodunu sızdırdı. Scribbles’ın son açığa çıkan versiyonu olan v1.0RC1’in tarihi Mart 2016’ya dayanıyor ve yazılımın geçtiğimiz yılın sonuna kadar kullanıldığı tahmin ediliyor.

İlgili haber>> CIA’in çok gizli virüs programı: Hive

Sızdırılan belgelere göre, Scribbles bir watermark yazılım (belgelere filigran ekleme). Watermark, görsel öğeler üstüne filigran ekleyerek göze batmayacak şekilde görselleri koruma altına almanızı sağlayan bir yazılım. Ve bu sistem web işaretçisi şeklindeki imleri, içeriden birileri, muhbirler, gazeteciler ya da üçüncü kişilerde tarafından kopyalanması muhtemel olan belgelerin içine yerleştiriyor. Yazılım C# programlama dilinde yazılmış ve her bir belgenin içine yerleştirilmiş rastgele bir gizli filigran oluşturuyor.

Filigranlı belgeye herhangi biri tarafından erişildiği zaman, yazılım arka plana bir gömülü dosya yüklüyor ve CIA’in izleme sunucusuna bir kayıt oluşturuyor. Dökümana girişle ilişkili kayıt, kimin girdiği, zamanı ve IP adresi gibi bilgiler içeriyor. Bu yolla dökümana girişler ve bunu kendi çıkarları için kullananları takip etmek mümkün oluyor.

İlgili haber>> CIA, Athena ve Hera ile Windows’un bütün sürümlerine sızmış

CIA ajanları için sıkıntı yaratan şey ise Scribbles’ın sadece Microsoft Office ile çalışıyor olması. Kullanıcı kılavuzuna göre CIA’in hackleme aracı Microsoft Office belgelerinin çevrimdışı ön işlemeleri için geliştirilmiş. Bu şu anlama geliyor: Filigranlı belgeler Open Office ya da LibreOffice gibi diğer uygulamalarda açılırsa, bunların filigranları ve URL’leri kullanıcıya göstermek gibi bir ihtimal var.

Yazılımın bir diğer handikapı ise filigranların uzaktan bir sunucudan yüklenmesi. Yani hackleme aracı yalnızca kullanıcının işaretli dökümanlara internete bağlı olduğu zaman giriş yaptığında çalışıyor olması gerekiyor.

Siber Bülten abone listesine kaydolmak için doldurunuz!

Vault7

CIA’in hedefinde LAN’lar da var

Yorum yapın

5 Mayıs tarihli Vault 7 belgesi CIA’in Man-in-the-Middle (MitM) adı verilen hackleme aracına dair detaylar içeriyor. MitM, iki bağlantı noktası arasındaki bağlantıyı izinsiz izlemek anlamına gelen bir hack teknolojisi. CIA’in bu operasyona verdiği isim ise Archimedes ve bununla yerel alan ağlarını (LAN) hedef alıyor.

2011 ile 2014 yılları arasındaki dönemi kapsayan Archimedes projesi, ilk olarak Fulcrum kod adıyla bilinen daha sonra Archimedes olarak adlandırılan zararlı yazılıma dair detaylar içeriyor.

İlgili haber>> İşte CIA’in suikastçi yazılımları!

Archimedes adlı hackleme aracı, CIA ajanlarına saldırganların kontrolündeki bir cihaz kanalıyla hedefteki bilgisayardan gelen LAN trafiğini ilgili birime yönlendirme imkanı veriyor. Bu da, hackleme aracına sisteme sahte bir ağ sunucusu tepkisi eklemesini sağlıyor.

Bu tepki, hedefteki ağ tarayıcısını gelişi güzel bir lokasyona yönlendiriyor. Bu teknik genellikle hedefi kötü amaçlı sunuculara yönlendirmek için kullanılıyor. Ve o sırada normal bir tarayıcı oturumunun görüntüsünü veriyor.

CIA’nin bu zararlı yazılımla özellikle yazılımcıları ve programcıları hedeflediği belirtiliyor. Wikileaks Amerikan Merkezi Haberalm Teşkilatı’nın (CIA) bu araçla Amerika’daki şirketlerdeki yazılımcıları ve programlamacıları gözetlediğini ve buy olla şirketlerin güvenlik güncellemelerini kontrol altında tutmak istediklerini iddia ediyor.

Siber Bülten abone listesine kaydolmak için doldurunuz!