Wikileaks’in ABD Merkezi Haber Alma Teşkilatı CIA’in çok gizli siber bilgilerini sızdırmaya başlamasının üzerinden aylar geçti. Vault 7 adı altında sızdırılan belgeler dizisini yenilerinin takip edip etmeyeceği merak konusu olmaya devam ediyor. Bu zamana kadar sızdırılan bilgiler arasında ise çok çarpıcı detaylar yer alıyor.
Wikileaks Vault 7 kapsamında en son ağustos ayının sonunda belge sızdırmıştı. Bu son belgeye göre Windows işletim sistemi kullanan cihazlar CIA’in Angelfire adını verdiği sistemin hedefinde bulunuyor.
Belgeye göre Angelfire adlı sistem, hedefteki Windows kullanan cihazların boot sector’leri (bilgisayarın sabit disklerinin içerdiği sistem bilgileri bölümü) üzerinde değişiklik yaparak arka kapı açıklığı (backdoor) yerleştiriyor. Bu da hedefteki bilgisayarların uzaktan erişimine imkan veriyor.
Wikileaks’in sızdırdığı belgeye göre Angelfire; ‘Solartime,’‘Wolfcreek,’ ‘Keystone,’ ‘BadMFS,’ ve ‘Windows Transitory File system,’ olmak üzere 5 bölümden oluşuyor.
‘Solartime’, Windows XP ya da Windows 7 kullanan cihazlara yüklendiğinde boot sector üzerinde değişiklik yapıyor. Ve bu değişiklik ‘Wolfcreek’ yerleştirmesinin yüklenmesine ve çalışmasına olanak veriyor. Wolfcreek daha sonra diğer Angelfire yerleştirmelerini yükleyip çalıştırabiliyor.
Önceden ‘MagicWand’ olarak bilinen ‘Keystone’ ise kötü niyetli kullanıcı uygulamalarının yüklenmesini sağlıyor. Bu uygulamalar asla dosyalama sistemlerine dokunmuyor ve çok az adli delil bırakıyor.
BadMFS ise Wolfcreek’in aktive ettiği tüm sürücüleri ve yerleştirmeleri depolayan bir kütüphane olarak biliniyor. Bütün dosyalar karartılıyor ve şifreleniyor. Son olarak ‘Windows Transitory File system’ AngelFire’ı yüklemek için kullanılıyor. Aynı zamanda Angelfire sistemine dosya ekleyip kaldırmaya da yetki veriyor.
Wikileaks, Vault 7 belgelerinin CIA’in kendi içinden sızdırıldığını söylerken kaynağın kimliğini açıklamayı ise reddediyor.
Siber Bülten abone listesine kaydolmak için formu doldurun
Türk şirketi Trapmine, Microsoft’un destek vermeyi bıraktığını açıkladığı Windows 2003/XP sistemlerini etkilediği ortaya çıkan güvenlik açığı için yama yayınladı.
Şirketin sitesinde yapılan açıklamada, “Trapmine olarak amacımız daha güvenli bir siber dünyaya katkıda bulunmak ve bu sebeple EsteemAudit’in kullandığı güvenlik zafiyetini kapatan bir yama yayınlıyoruz” dedi.
EsteemAudit, NSA/CIA tarafından kullanılan ve Shadow Brokers hacker grubunun NSA’den çalarak ifşa ettiği, Windows 2003/XP sistemleri etkileyen, RDP servisine yönelik uzaktan kod çalıştıran bir exploittir.
EsteemAudit exploit’inin sömürdüğü güvenlik zafiyeti için herhangi bir yama yok. Microsoft, Windows Server 2003/XP işletim sistemlerine destek vermeyi kestiği için herhangi bir yama yayımlamadı.
Şirket, dünya genelinde ve ülkemizde hala binlerce Windows 2003/XP işletim sistemi kullanan sistem olduğuna dikkat çekti.
2000’e yakın sunucuyu tehdit altında bırakan botnet, şifreli paraların peşinde. Geçtiğimiz yılın sonlarında izi bulunan ve o zamandan beri güvenlik uzmanları tarafından takip edilen ve ‘Bondnet’ adı verilen botnetin yapılış amacı Monero, Bytecoin ve ZCash gibi şifreli paraları ele geçirmek. Bu yüzden akıllı cihaz tüketicileri yerine sunucuları takip ediyor.
Önce erişim sağlayıp sonra sistemle ilgili bilgileri ele geçirmek için dosya yükleyerek işe başlayan botnet, cihaz Çin sınırları dışındaysa kripto para birimi bulucuyu yükleyerek; Çin’de bulunuyorsa da korsan sunucuyla görevini tamamlıyor.
Botnetin barındırdığı tüm araçlar şifreli para takibinde değil: Bir kısmı tarayıcı hizmeti görüp IP takibi yaparak kıymetli bilgisayar avına çıkarken; başka bir bölümü de dosya sunucusu olarak yazılım peşinde.
Bilinen kötücül yazılım havuzunda bulamayacağınız botnet, çeşitli kod gizleme kombinasyonları ve girişi zor olan temel kodlama yöntemleri sayesinde güvenlik çözümleri tarafından bulunamıyor.
Uzmanların aynı temel kodlara rastlaması, define bulucu yazılımı da aynı kişinin yalnız olarak çalıştığını düşündürüyor. Korsana dair fikir yürütülen bir diğer şeyse Çin’de yaşaması: Sebebiyse, Bondnet’in kurbanlarını Çin’den seçmesi ve araçları içindeki kopyala-yapıştır kodları Çinli web siteden alması.
2000’den fazla bot barındıran botnete her gün 200 tanesi eklense de bir o kadarı listeden çıkıyor. Uzmanlar bunu tehlikeli botu fark eden sunucuların kaldırmasıyla açıklıyor. Ya sunucu üzerindeki araçları yönetirken ya da daha büyük olasılıkla para işlerken dikkatleri üzerine çeken botnetin kurbanları geri çekilmekle kalmayıp sonrasında karşı harekete geçiyor. Buradan da botneti kaldırmanın güvenlik için yeterli olmadığını anlıyoruz.
Windows sunucularını hedef alan botnet, eski zafiyetler ve açıklar yoluyla ya da zayıf kullanıcı şifreleriyle ilerliyor. Help Net Security raporuna göre aralarında önde gelen şirket, kamu kurumları ve üniversitelerin de bulunduğu yaklaşık 15000 cihazın gizliliği ihlal edildi. Bunlardan çoğu Windows 2008 kullanıyordu. Uzmanlarsa kurumları bu tehlikeye karşı elektrik faturası artışından ibaret görmemeleri konusunda uyarıyor: Çünkü Bondnet, basit bir modifikasyonla bulaştığı sunucu üzerinde tam kontrol sağlayabilir. Hassas bilgiler içeren kurumların özellikle bu yönden dikkatli olması gerekiyor.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
[wysija_form id=”2″]
Dünya genelinde on binlerce kuruluş ‘WannaCry’ olarak bilinen bilgisayar virüsünün saldırısına uğradı. Bu zararlı yazılım bilgisayar içindeki verileri kilitliyor ve belgelerin yeniden kurulumu için kullanıcılardan her defasında 300 dolar ödeme talep ediyor.
Güvenlik şirketleri, en az 99 ülkede binlerce bilgisayarın bu fidye yazılımından etkilendiğini söyledi.
Ne oldu?
Son yılların en yaygın ve en zararlı siber saldırı çok sayıda büyük kuruluşun sistemine sızdı. ‘WannaCry’ olarak bilinen yazılım, bilgisayardaki dosyaları şifreliyor ve yeniden erişime açılabilmesi için fidye talep ediyor.
Yazılım, ‘solucan’ olarak bilinen virüs aracılığıyla bilgisayarlara giriyor. Bu virüs, genellikle e-posta, kaynağı belirsiz programlar, forum siteleri, korsan oyun, DVD ve CD’leri aracılığıyla bulaşıyor. Diğer zararlı yazılımların aksine WannaCry’ın kendi kendine tüm ağ içinde ilerleyebilme özelliği var. Diğer yazılımların çoğunda virüsün yayılabilmesi için kullanıcıların, içinde saldırı kodu bulunan bir ek dosyaya tıklamaları gerekiyor. Dolayısıyla, kullanıcıyı kandırıp tuzağa düşürerek yayılıyorlar.
Ama bunların aksine WannaCry kuruluşun sistemine girdiği an, zayıf makineleri tespit ediyor ve kendi kendine onlara da bulaşıyor. Bu da yazılımın etkisinin neden bu kadar yaygın olduğunu açıklıyor. Çünkü yazılımın sızdığı her kuruluştaki bilgisayarlar tehdide açık oluyor.
WannaCry virüsünü kim yaptı?
Bu henüz net olarak bilinmiyor. Fidye yazılımı, uzun bir süredir siber hırsızların sıkça kullandığı bir yöntem. Bilgisayarlara bulaşıp kısa sürede çok kazanç sağlıyorlar. İzi sürülmesi zor olan sanal para birimi Bitcoin sayesinde kolaylıkla ödemeleri alabiliyorlar.
Farklı sanal fidye çeteleri arasında rekabet arttıkça da, zararlı kodlarını yayabilmek için yeni ve daha etkili yöntemler arayışına girdiler. WannaCry yazılımı da ABD’nin istihbarat servislerinden Ulusal Güvenlik Ajansı (NSA) tarafından geliştirilen bir virüs aracılığıyla bulunmuş gibi görünüyor.
Bu virüsün ayrıntıları ortaya çıkınca birçok güvenlik araştırmacısı, bunun ‘kendiliğinden başlatılan fidye virüslerinin’ yayılmasına neden olabileceğini öngörmüştü. Hackerlar’ın bu öngörüden faydalanmaları da yalnızca birkaç ay aldı.
Hangi ülkeler nasıl etkilendi?
Fidye yazılımından Türkiye’nin de aralarında olduğu en az 99 ülke etkilendi.
Bilgi Teknolojileri ve İletişim Kurumu (BTK) Başkanı Ömer Fatih Sayan, Twitter hesabından paylaştığı mesajda “Ülkemizin siber Güvenlik Merkezi USOM ön alma operasyonlarına devam etmektedir. Dünyada yayılan Wcry zararlısından korunmak için Windows sistemleri ve antivirüsleri güncelleyin! Sisteminizi taratmayı ihmal etmeyin” dedi.
Bilgi Teknolojileri ve İletişim Kurumu’na bağlı Ulusal Siber Olaylara Müdahale Merkezi (USOM trCERT) de Twitter’dan bilgisayar yazılımlarının güncellenmesi uyarısında bulundu.
En çok zarar gören ülkelerden birinin Rusya olduğu belirtiliyor. Ülkede bankalar, içişleri bakanlığı, sağlık bakanlığı ve Rusya’da devletin demiryolları şirketi, ülkenin en büyük ikinci telekom ağının etkilendiği bildirildi.
İngiltere ve İskoçya’da Ulusal Sağlık Sistemi (NHS) çöktü. En az 33 sağlık kuruluşu ile bazı aile hekimliği klinikleri etkilendi, bazı hastanelerde ameliyatlar yapılamadı, acil durumlar dışında hasta kabul edilemedi. İspanya’da, telekom şirketi Telefonica, enerji şirketi Iberdrola ve kamu hizmeti şirketi Gas Natural’ın da aralarında bulunduğu büyük kuruluşlar etkilendi.
Almanya’da yerel tren istasyonlarındaki bilet makinelerinin çalışmadığına dair tweetler atıldı, İtalya’da da bir üniversitenin bilgisayar laboratuvarına da virüs bulaştığı belirtildi. Fransa’da Renault, Portekiz’de Telecom, ABD’de FedEx ve İsveç’te bir yerel yönetim de yazılımın bulaştığı kuruluşlardan. Çin’den henüz virüse ilişkin bir açıklama gelmedi ama sosyal medyada bir üniversitenin bilgisayar laboratuvarının etkilendiğine dair paylaşımlar yapıldı.
Sizin bilgisayarınız tehlikede mi?
Bu duruma göre değişir. WannaCry virüsü yalnızca Windows işletim sisteminin kullanıldığı bilgisayarlara bulaşıyor. Windows’u güncellemezseniz ve e-postalarınızı açarken, okurken dikkat etmezseniz, siz de tehlikede olabilirsiniz.
Sürekli güncelleme yaparak, firewall (güvenlik duvarı), anti-virüs yazılımları kullanarak ve e-posta aracılığıyla gönderilen mesajları okurken dikkatli olursanız, kendinizi koruyabilirsiniz. Ayrıca, dosya şifreleme yazılımını yedeklerseniz, virüsün bulaşması halinde fidye ödemeden dosyalarınıza yeniden erişim sağlayabilirsiniz.
Bu yazılımın bulaşması durdurulabilir mi?
Tam olarak durdurulamaz. Ama yine de kuruluşlar kendilerini korumak için çok çalışmalı ve gerekli tüm önlemleri almalı. Firewall (güvenlik duvarı) oluşumu, anti-virüs yazılımları yüklemesi, dosya filtreleme uygulaması, izinsiz erişimleri tespit etme programı ve yazılımın sürekli güncellenmesi siber saldırıları da engelleyebilir.
Ama hiçbir korunma yüzde 100 kusursuz olamaz. Neden? Çünkü kuruluşlar insanlar tarafından idare ediliyor dolayısıyla ‘insan hatası’ olabiliyor. Bunun farkında olan siber hırsızlar da kullanıcıları kandırmak için e-postalara tuzaklı ek dosyalar veya linkler ekliyor böylece kullanıcının dosyalara tıklamasıyla virüsü bulaştırıyor. Bu uygulamaya ‘elektronik dolandırıcılık’ (phishing) deniyor.
Ayrıca son yıllarda milyarlarca kullanıcı adı ve şifre çalındı. Bazı siber çeteler bu çalınan veriler arasında tarama yapıp hedef almak istedikleri kuruluşların sicillerini buluyor.
Bu da, siber hırsızların bir çalışan gibi şirket sistemine girmesini ve içeriden saldırı başlatmasını sağlıyor.
Virüsün engellenebilmesi için 14 Mart’ta bir yazılım başlatılmıştı ancak birçok kuruluş zamanında uygulamaya koyamamış gibi görünüyor.
Kaynak: BBC Türkçe
Siber Bülten abone listesine kaydolmak için formu doldurunuz
