Yazılar

Rus hackerlar APT28 ile zero day açıklarını istismar ediyor

rus-hackerlar-apt28-ile-zero-day-aciklarini-istismar-ediyorİsmine “Operation Russian doll” adı verilen yeni APT saldırısı kapsamında Adobe Flash ve Windows açıklarının kullanıldığı bir operasyon yürütülüyor.

Devlet kurumlarına karşı gerçekleştirilen bu APT saldırısı Rus hackerlar tarafından gerçekleştiriliyor. Hedefler arasında ABD Savunma Bakanlığı ile çalışan kontratlı üreticiler, Avrupalı güvenlik organizasyonları ve Doğu Avrupa devletlerine ait kamu kurumları var.

Aynı zamanda Rus hackerlar EuroNaval 2014, Eurosatory 2014, Counter Terrror Expo ve Farnborough Airshow 2014 gibi Avrupa savunma fuarlarına katılanları da hedef aldı. APT28 saldırısında Adobe Flash (CVE-2015-3043) ve Windows işletim sistemine ait (CVE-2015-1701) açıklar istismar edildi. Adobe açıklık için geçtiğimiz günlerde yama çıkartsa da Microsoft henüz yama yayınlamış değil. Firma da durumu doğrularken yama üzerinde çalıştıklarını belirtiyor.

APT28 saldırıları öyle ciddi ki 2014 yılının Kasım ayında ABD Dışişleri Bakanlığına yapılan saldırıyla veri sızdırılması ve Beyaz Saray’a ait ağa sızılarak Başkan Obama’nın ajandası gibi kritik bilgilere ulaşılması yine bu Rus saldırı ekibiyle bağlantılı. En önemlisi de hacker grubunun 2013 yılında Türkiye’de Milli Güvenlikle ilgili kamuda çalışan ve gizli sayılabilecek şekilde saklanan bazı kişilerin iletişim bilgilerini ele geçirebilmiş olması.

APT28 saldırılarını gerçekleştiren grup Rus hükümetiyle birlikte çalışıyor. Amaç diğer devletler, çok uluslu firmalara ait sırları Rusya’ya aktarmak. 2007 yılından beridir aktif olan grup ileride daha çok sayıda operasyona imza atacak gibi gözüküyor.

Göz ardı edilen tehlike: BIOS

goz-ardi-edilen-tehlike-biosEndüstri yoğun şekilde işletim sistemleri, browserlar, yazılımlar, gömülü sistemlere dair açıklar ve dahasıyla uğraşırken göz ardı edilen BIOS çok ciddi tehditlere gebe.

Milyonlarca BIOS teknik bilgi gerektirmeksizin hacklenebilir şekilde kullanılmaya devam ediyor. BIOS’lar saldırmak için ideal bir hedef. Yapısı gereği yüksek haklarla, kalıcı ve gizli erişim sağlamak için kullanılabiliyor. Üstelik neredeyse kimse de BIOS’ları yamamıyor.

LightEater adı verilen zararlı yazılım ile şimdiye kadar Gigabyte, Acer, MSI, HP, Asus gibi üreticilere ait BIOS’lar istismar edilerek GPG özel şifreleme anahtarı çalınabildi. Üstelik bu saldırıyı uygulamak için saldırganın iki dakikadan az süre için bilgisayarınıza erişimi olması yeterli. Sadece veri ele geçirmek için sızmak değil. Aynı zamanda LightEater sahip olduğu kernel driver ile CPU ve flash chip’e komutlar göndererek sistemin kapanarak bir daha açılmamasını da sağlayabiliyor.

LightEater kişisel, kamu, ticari, askeri gibi her türlü alanı doğrudan ilgilendiren bir problem. Diğer alanlara odaklanırken unutulan BIOS güncellemelerinin IT ekipleri tarafından takip edilerek yapılması önemini her geçen gün arttırıyor.

Northern Gold çetesini gözünü online bankacılığa dikti

northern-gold-cetesi-gozunu-online-bankaciliga-diktiRus siber suç çetesi Northern Gold, dünya üzerinde 500 binin üzerinde sisteme zararlı yazılım bulaştırarak Avrupa ve ABD’deki büyük banka müşterilerinin şifrelerini ele geçiriyor.

Çetenin 2008 yılından beridir aktif olduğu biliniyor. Northern Gold çetesi genellikle Qbot zararlı yazılımını kullanarak kurbanların bilgisayarlarına sızıyor. Bu şekilde kullanıcı şifreleri dahil olmak üzere çok sayıda kişisel bilgiyi toplayan şebeke, en önemlisi 800 bin kez para transferi gerçekleştirdi.

Çete zararlı yazılımı yaymak için oldukça etkin bir yol seçti. Çeşitli popüler WordPress tabanlı web sitelerinin yönetim şifrelerini siber mafyanın etkin olduğu platformlardan birinden satın aldı. Daha sonrasında bu web siteleri üzerine zararlı yazılım yerleştirilerek ziyaretçilere bulaştırıldı. Bu sitelerle ilgili şifreleri toplamak ise oldukça kolay. Basit bir yazılım sürekli WordPress sitelerini tarayarak çok kullanılan şifrelerle giriş yapmaya çalışıyor. Bu Brute Force saldırısı bazen beklenildiğinden daha etkili olabiliyor.

Zararlı yazılım Java, Flash, PDF veya Internet Explorer gibi popüler yazılımlara ait zayıflıkları istismar ettikten sonra ara bir zararlı yazılım kuruyor. Sonrasında ise Dropper yardımı ile final olarak esas çalıştırılacak zararlı yazılım bankacılık bilgileri gibi operasyonları gerçekleştiriyor.

Northern Gold’un kurduğu bi organizasyon daha yıllar boyu şartlara göre güncellenerek devam edeceğe benziyor.