Yazılar

Sadece JavaScript kullanarak uzaktan donanım hacklemek

sadece-javascript-kullanarak-uzaktan-donanim-hacklemek1 Sadece JavaScript kullanarak uzaktan donanım hacklemekGüvenlik araştırmacıları Rowhammer adındaki açık sayesinde donanım seviyesine inip DRAM’ı exploit edebildiler.

Rowhammer açığı biliniyordu fakat bugüne kadar bu şekilde etkin istismar edilememişti. Açık sayesinde uzaktan sistemde yönetici haklarına sahip olmak mümkün. Açık JavaScript kullanılarak istismar edilebiliyor. Üstelik DRAM’ın exploit edildiği bu açığın uzaktan yazılım ile tetiklenen ilk donanım açığı olduğunu belirtmekte fayda var.

Zayıflık 2009’dan beri üretilen tüm Intel işlemcili sistemlerde bulunuyor ve tamamıyla donanım bazlı bir güvenlik açığı. Kullanıcı bir web sitesinde gezerken uzaktan JavaScript ile exploit edilebiliyor. Internette neredeyse tüm web sitelerinde JavaScript kodları kullanılıyor. Dolayısıyla açıktan tamamıyla korunmak için JavaScript’i kapatmak demek web sitelerini doğru görünteleyememek anlamına geliyor.

İşin bir diğer kötü tarafı ise açıkla ilgili herhangi bir yama olmaması. Teknik olarakta bir yama yayınlanması mümkün gözükmüyor. Açığın yamanması için milyonlarca DRAM çipinin değiştirilmesi gerekiyor ki bu da pratikte mümkün gözükmüyor. Yine de Intel açığın üzerinde etkili olabilecek bir yama için çaba harcıyor. Diğer yandan Apple ve diğer donanım üreticileri BIOS güncellemeleri yayınlayarak Rowhammer saldırılarına karşı olabildiğince önlem sunmaya çalışıyorlar.

Genel olarak bakıldığında çoğu kullanıcı, hatta kurumsal firmalar bile BIOS güncellemelerine gereken önemi vermiyor. Bu da Rowhammer açığının gelecekte çok farklı saldırı vektörleriyle karşımıza çıkacağının habercisi gibi gözüküyor.

Rus hacker grubu Anurak hızla ilerliyor

rus-hacker-grubu-anurak-hizla-ilerliyor Rus hacker grubu Anurak hızla ilerliyorOnlarca milyon dolar, kredi kartları ve gizli bilgiler yeni bir hacker grubunun eline geçti.

Rus hacker grubu Anurak 2013’den beridir aktif olarak saldırılarda bulunuyor. Anurak başta bankalar ve ödeme sağlayıcılar olmak üzere perakende sektörü, medya kuruluşlarını hedef alan bir hacker grubu. Grubun stratejisi bankalar, ödeme sağlayıcıların müşterilerini hacklemek yerine bu firmaların kendilerini hacklemek üzerine. Firmaların iç ağlarına erişim sağlayıp veri sızdırıyorlar. Eğer sızdıkları yer bir devlet sistemi ise bu sefer onu casusluk amacıyla kullanarak veri topluyorlar.

Siber mafyanın her tarzda bilgiyi paraya dönüştürebildiği çağda hem banka hesabı soyan, hem kredi kartı bilgisi çalıp, hem de devletlere ait verileri çalan bir hacker grubu şaşırtıcı gözükmüyor. Anurak hackerları sızdıkları firmanın iç ağında önce sistem yöneticisi ve IT ekibinden kilit kişilerin sistemlerini hedef alıyor. Bu anahtar kullanıcıların sistemlerine sızarak hareketlerini kaydedip yaptıkları işi ve yapıyı anlamaya çalışıyorlar. Sonrasında ise tüm e-posta trafiğini izlemeye başlayarak cihazların ayarlarını değiştirerek tüm ağı uzaktan yönetmeye başlıyorlar.

Bu yönetim öyle planlı bir şekilde yapılıyor ki Anurak hacker grubu üyeleri hackledikleri ATM cihazı yönetim sistemine uzaktan zararlı yazılım bulaştırarak kontrolleri altına alıyorlar. İstedikleri zaman uzaktan tetikleyerek bu cihazlardan para çekebiliyorlar.

Anurak’ın faaliyetleri aşağıdaki gibi ilerliyor;

  • Anurak hacker grubu dünya çapında 50’den fazla banka, 5 ödeme sağlayıcı, 16 perakende firmasını hackledi
  • 2013 yılından beridir aktif olan hacker grubu sadece son altı ay içinde 17 milyon dolar kazandı
  • Bir ağa sızıp bilgileri nakite dönüştürene kadar geçen süre ortalama 42 gün
  • Anurak hacker grubu halen faaliyet halinde

Operasyon Pawn Storm devletler ve askeri kuruluşları hedef alıyor

operasyon-pawn-storm-devletler-askeri-kuruluslari-hedef-aliyor Operasyon Pawn Storm devletler ve askeri kuruluşları hedef alıyorYeni keşfedilen siber casusluk operasyonunun adı Pawn Storm. Hedef ise askeri kuruluşlar, devletler ve medya organları. 2007’den beri aktif olduğu belirlenen bu siber saldırı operasyonu yeni farkedildi.

Pawn Storm kapsamındaki hedeflere bakıldığında stratejik çok sayıda nokta göze çarpıyor. Bunlar arasında; Askeri birimler, büyükelçilikler, ABD ve ABD’nin müttefiki olan askeri kurumlara iş yapan firmalar, bazı Rus politikacılar ve uluslararası medya kuruluşları bulunuyor.

Bu hedeflere yapılan saldırılarda Pawn Storm Operasyonunun ardındaki kişiler farklı farklı senaryolar kullanıyorlar. İçerisinde SEDNIT/Sofacy zararlı yazılımı bulunan MS Office dosyaları, özel exploitlerin inject edildiği iyi ziyaretçi trafiğine sahip web siteleri ve Outlook Web Access giriş sayfasına yönlendirilen phishing mailleri bunlardan birkaçı.

Operasyon Pawn Storm kapsamında, bu saydığımız tüm saldırı vektörlerinde önemli hedeflere saldırılar gerçekleştirildi. Asya Pasifik Ekonomik İşbirliği Toplantısının hemen öncesinde toplantıya katılacak ziyaretçilerine Phishing mailleri atılarak zararlı yazılım bulaştırılmıştı. Ortadoğu Kamu Güvenliği Fuarı 2014 etkinliğinde de yine aynı şekilde phishing yöntemi kullanılmıştı.

Operasyon Pawn Storm’un ardındaki kişilerin ileri siber operasyon kapasitesine sahip olduğu ve finansal olarakta çok ciddi şekilde desteklendikleri biliniyor.