Yazılar

Dünya çapındaki bankalardan 55 milyon dolar sızdıran Türk

dunya-capindaki-bankalardan-55-milyon-dolar-sizdiran-turkİsmi Ercan Fındıkoğlu. Fakat internette Segate, Predator, Oreon gibi takma adlarla anılıyor. Fındıkoğlu 2011-2013 yılları arasında global çok sayıda bankadan toplam 55 milyon dolar sızdırdı.

57.5 yıl hapisle yargılanan Ercan Fındıkoğlunun mahkemesi geçtiğimiz günlerde görüldü. Fındıkoğlu’nun organizasyonu oldukça gelişmiş tekniklerle kredi kartı ve debit kart ödeme altyapısı sağlayan firmalar ve bankalara saldırıyordu. Ele geçirdikleri ön ödemeli debit kartları ve kredi kartlarının ise içini boşaltıyorlardı. Aynı zamanda Fındıkoğlu kredi kartı ödeme altyapısı firmalarını hackleyerek debit kartların PIN numaralarını da ele geçiriyordu.

Öylesi geniş bir ekipten söz ediyoruz ki ele geçirilen bu çok sayıda kart bilgisi dünya çapındaki yüzlerce ATM’den nakite dönüştürülüyordu. Fındıkoğlunun organize ettiği operasyonlardan birinde, 27 Şubat – 28 Şubat 2011 tarihinde, kartlardan 15.000 izinsiz para çekim işlemi yaklaşık 18 ülkede gerçekleştirildi. İkinci operasyon ise 22 Aralık 2012 tarihindeydi. Bu operasyon sırasında da 20 ülkedeki 4.500 ayrı ATM cihazı kullanıldı ve 5 milyon dolar çalındı.

Üçüncü operasyon 19 Şubat – 20 Şubat 2013 tarihlerindeydi. Fındıkoğlunun ekibi 24 ülkedeki ATM cihazlarında 36.000 işlem gerçekleştirdi ve 40 milyon dolar gibi devasa bir nakit sızdırdı. Bu tarihlerde ekip sadece New York’ta 3.000 ATM cihazından 2.4 milyon dolar 11 saatten az bir sürede çekti.

Ercan Fındıkoğlu 2013’ün Aralık ayında Frankfurtta tutuklanarak Haziran 2015’te ABD’ye teslim edilmişti. Geçtiğimiz günlerde görülen mahkemede 34 yaşındaki Fındıkoğlu işbirliği yaparak suçunu kabul etti. Normalde 57 yıl hapis ile yargılanmasına rağmen suçunu itiraf ettiği için 11 ile 15 yıl arası bir hapis cezası alması bekleniyor.

Sadece JavaScript kullanarak uzaktan donanım hacklemek

sadece-javascript-kullanarak-uzaktan-donanim-hacklemekGüvenlik araştırmacıları Rowhammer adındaki açık sayesinde donanım seviyesine inip DRAM’ı exploit edebildiler.

Rowhammer açığı biliniyordu fakat bugüne kadar bu şekilde etkin istismar edilememişti. Açık sayesinde uzaktan sistemde yönetici haklarına sahip olmak mümkün. Açık JavaScript kullanılarak istismar edilebiliyor. Üstelik DRAM’ın exploit edildiği bu açığın uzaktan yazılım ile tetiklenen ilk donanım açığı olduğunu belirtmekte fayda var.

Zayıflık 2009’dan beri üretilen tüm Intel işlemcili sistemlerde bulunuyor ve tamamıyla donanım bazlı bir güvenlik açığı. Kullanıcı bir web sitesinde gezerken uzaktan JavaScript ile exploit edilebiliyor. Internette neredeyse tüm web sitelerinde JavaScript kodları kullanılıyor. Dolayısıyla açıktan tamamıyla korunmak için JavaScript’i kapatmak demek web sitelerini doğru görünteleyememek anlamına geliyor.

İşin bir diğer kötü tarafı ise açıkla ilgili herhangi bir yama olmaması. Teknik olarakta bir yama yayınlanması mümkün gözükmüyor. Açığın yamanması için milyonlarca DRAM çipinin değiştirilmesi gerekiyor ki bu da pratikte mümkün gözükmüyor. Yine de Intel açığın üzerinde etkili olabilecek bir yama için çaba harcıyor. Diğer yandan Apple ve diğer donanım üreticileri BIOS güncellemeleri yayınlayarak Rowhammer saldırılarına karşı olabildiğince önlem sunmaya çalışıyorlar.

Genel olarak bakıldığında çoğu kullanıcı, hatta kurumsal firmalar bile BIOS güncellemelerine gereken önemi vermiyor. Bu da Rowhammer açığının gelecekte çok farklı saldırı vektörleriyle karşımıza çıkacağının habercisi gibi gözüküyor.

FBI hackerları yakalamak için milyonlarca dolar ödül dağıtıyor

fbi-hackerlari-yakalamak-icin-milyonlarca-dolar-odul-dagitiyorFBI ünlü çok arananlar listesini güncelledi. Ödül olarak dağıtılacak toplam rakam 4.3 milyon dolara ulaştı.

Siber suçlar hem kamu hem de özel sektör için ciddi bir tehdit olmaya devam ettikçe güvenlik güçleri daha radikal çözümler peşinde koşmaya devam ediyor. FBI tehlikeli siber suçlulardan oluşan çok arananlar listesi ile yüzlerce milyon dolar zarar veren suçluları yakalamayı umuyor.

Listedeki siber suçluların yakalanmasına yardım edecek, bilgi verecek kişilere toplamda 4.3 milyon dolar ödül veriliyor. Listede toplamda 15 kişi bulunuyor ve bunların tamamı erkek. Listede bulunup haklarında verilen bilgi karşılığı ödül sunulmayan 5 kişi bulunuyor. Bu 5 kişi Çin’de bulunuyor ve “People’s Liberation Army” üyesi. Yani Çin devleti için çalışan bir hacker ordusuna üyeler.

FBI’ın en çok arananlar listesindeki 5 kişiye göz atalım;

1. Evgeniy Mikhailovich Bogachev – 3 milyon dolar

Bogachev bugüne kadar çok sayıda türevi de çıkan, geniş kitlelerce kullanılan ve milyonlarca kullanıcıya zarar veren Zeus internet bankacılığı trojanını yazan kişi. Bu zararlı yazılım banka hesaplarından para sızdırma, şifre ve diğer kişisel bilgileri ele geçirmeye yarıyor. FBI için en önemli hedef halinde.

2. Nicolae Popescu – 1 milyon dolar

Popescu otomobil satışı yapılan sitelerde düzenlediği sahte açık arttırmalarla tanınıyor. Bu şekilde düzenlediği sahte satışlarla yaklaşık 3 milyon dolar kazandı. 2012 yılında çetesinden altı kişi tutuklansa da kendisi halen aranıyor. Romanya’da olduğu tahmin ediliyor.

3. Alexsey Belan – 100.000 dolar

Belan 2012, 2013 yıllarında Nevada ve California’da faaliyet gösteren iki e-ticaret sitesini hackleyerek tüm verilerini sızdırmıştı. Bu sızdırdığı verileri ise başka siber suçlulara sattı.

4. Peteris Sahurovs – 50.000 dolar

Sahurovs’un yöntemi reklam bannerları aracılığı ile sahte bir otel zincirinin reklamını yapmaktı. Tıklanarak web sitesine gidildiğinde ise ziyaretçilere zararlı yazılım bulaştırıyor ve 50 dolarlık bir fidye istiyordu. İstenen rakamın az olması kurbanları parayı ödeyerek kurtulmaya yöneltiyordu. Bu şekilde yaklaşık 2 milyon dolar kazandı.

5. Shaileshkumar Jain – 50.000 dolar

Jain kurbanlar web sitelerini ziyaret ettiğinde ufak pencereler açarak sistemlerine zararlı yazılım bulaştığı mesajını gösteriyordu. Bu şekilde aslında hiçbir fonksiyonu olmayan sahte yazılımların satışını gerçekleştiriyordu. 2006-2008 yılları arasında bu şekilde yaklaşık 100 milyon dolar kazandı.

Alman parlementosu Bundestag hacklendi

alman-parlementosu-bundestag-hacklendiGeçtiğimiz günlerde hacklenen Alman parlementosu Bundestag’tan çok sayıda veri sızdırıldı.

Bundestag’a yapılan saldırı sonucu siber suçluların iç ağa kadar sızdıkları tespit edildi. İstihbarat birimi dahil olmak üzere çok sayıda birim halen sistemlerde detaylı incelemelerde bulunuyor. Yetkililer iç ağdan çok sayıda verinin de sızdırıldığını doğruladı. Alman parlementosu Bundestag’da 20.000 kullanıcının hesabı bulunuyor.

Saldırıda kullanılan yöntem ise 2014 yılında Alman hükümetine yapılan saldırıyla benzer özellikler gösteriyor. Bu kez veri sızdırmak için kullanılan zararlı yazılım Swatbanker adında bir internet bankacılığı zararlısı. Swatbanker erişilen ağdan çok sayıda veriyi dışarıya çıkarabiliyor. Bunlar arasında spesifik uzantıdaki dosyaların yanı sıra browserda doldurulan formların içeriği, en son ziyaret edilen web siteleri, POST metodu ile gönderilen şifreler gibi detaylar da var.

İncelemelerde saldırganların Alman parlementosunun intranet adresi olan Bundestag.btg alan adını filtreleyerek bu doğrultuda verileri incelediği de göze çarpıyor. Swatbanker zararlısının ise yeni bir varyantı tercih edilmiş. Bu varyantta konfigürasyon dosyası uzaktaki bir C&C sunucusunda değil, zararlı yazılımın üzerine gömülü olarak geliyor. Saldırının arkasında gizli servisler tarafından desteklenen hackerların olduğu hakkında bazı söylentiler dolaşıyor. Rus hackerların, Rus gizli servisi tarafından desteklenerek operasyonu gerçekleştirdikleri iddiaları mevcut.

SCADA sistemlere yönelik tehditler

SCADA terimi “Supervisory Control And Data Acquisition” kelimelerinin baş harflerinden oluşmuştur. Türkçe diline “Kontrol ve Veri Toplama Sistemi” olarak çevirilebilir. Haberleşme cihazları, bilgisayarlar, algılayıcılardan ve diğer tüm aygıtlardan oluşturulmuş hem denetlenebilen hem de kontrol edilebilen sistemleri tanımlar.

SCADA öyle kritik bir alan ki petrol, doğalgaz, nükleer güç, hidroelektrik, gaz yağı, kimyasal madde, boru hatları, elektrik gibi kritik altyapılara dair tüm alanlarda kullanılmakta. Buna rağmen SCADA ürünlerini hazırlayan firmalar güncel bilgi güvenliği tehditleriyle paralel bir gelişim göstermiyorlar. Geçmişte ve bugün siber savaşın önemli bir parçası olan SCADA bileşenleri her zamankinden daha önemli. Keşfedilen güvenlik açıkları ülkelerin ulusal güvenliklerini dahi tehdit edebiliyor.

SCADA sistemlerin normalde internete açık olmaması gerekirken biraz araştırıldığında ilginç veriler ortaya çıkabiliyor.

1997 yılında iki taneyle başlayarak keşfedilen SCADA güvenlik zafiyetleri sayısı yıllar içerisinde ciddi bir ivmeyle artarak devam ediyor.

scada-sistemlere-yonelik-tehditler-1

Üreticilere göre keşfedilen zayıflık sayısına baktığımızda Siemens liderliği elinden bırakmıyor.

scada-sistemlere-yonelik-tehditler-2

Yıllara göre bakıldığında internete açık SCADA sistemlerde dışarıdan tespit edilebilen güvenlik açıkları ciddi bir artış gösteriyor. Şu anda yaklaşık 146.000 kadar internetten erişilebilir SCADA sistem bulunuyor. Bu rakamlara göre Internetten erişilemeyen fakat iç ağdan gelebilecek tehditlere karşı savunmasız sistemlerin de ne derece ciddi sayılarda olacağını tahmin etmek mümkün. Internete açık SCADA sistemlerin çoğu ABD’de, onu büyük SCADA üretici firmaların çıktığı Almanya takip ediyor. Türkiye ise internet açık 1402 SCADA sistem ile alt sıralarda. Fakat bu rakam bile oldukça ciddi.

scada-sistemlere-yonelik-tehditler-3

İncelendiğinde internete açık SCADA sistemlerden 15.000 kadarında güvenlik zafiyetleri olduğu göze çarpıyor. Burada ilk üçü ABD, Fransa, Almanya paylaşırken Türkiye’nin internete açık SCADA sistem sayısına oranla çok daha fazla güvenlik açığına sahip olduğu görülüyor.

scada-sistemlere-yonelik-tehditler-4

Rus hackerlar APT28 ile zero day açıklarını istismar ediyor

rus-hackerlar-apt28-ile-zero-day-aciklarini-istismar-ediyorİsmine “Operation Russian doll” adı verilen yeni APT saldırısı kapsamında Adobe Flash ve Windows açıklarının kullanıldığı bir operasyon yürütülüyor.

Devlet kurumlarına karşı gerçekleştirilen bu APT saldırısı Rus hackerlar tarafından gerçekleştiriliyor. Hedefler arasında ABD Savunma Bakanlığı ile çalışan kontratlı üreticiler, Avrupalı güvenlik organizasyonları ve Doğu Avrupa devletlerine ait kamu kurumları var.

Aynı zamanda Rus hackerlar EuroNaval 2014, Eurosatory 2014, Counter Terrror Expo ve Farnborough Airshow 2014 gibi Avrupa savunma fuarlarına katılanları da hedef aldı. APT28 saldırısında Adobe Flash (CVE-2015-3043) ve Windows işletim sistemine ait (CVE-2015-1701) açıklar istismar edildi. Adobe açıklık için geçtiğimiz günlerde yama çıkartsa da Microsoft henüz yama yayınlamış değil. Firma da durumu doğrularken yama üzerinde çalıştıklarını belirtiyor.

APT28 saldırıları öyle ciddi ki 2014 yılının Kasım ayında ABD Dışişleri Bakanlığına yapılan saldırıyla veri sızdırılması ve Beyaz Saray’a ait ağa sızılarak Başkan Obama’nın ajandası gibi kritik bilgilere ulaşılması yine bu Rus saldırı ekibiyle bağlantılı. En önemlisi de hacker grubunun 2013 yılında Türkiye’de Milli Güvenlikle ilgili kamuda çalışan ve gizli sayılabilecek şekilde saklanan bazı kişilerin iletişim bilgilerini ele geçirebilmiş olması.

APT28 saldırılarını gerçekleştiren grup Rus hükümetiyle birlikte çalışıyor. Amaç diğer devletler, çok uluslu firmalara ait sırları Rusya’ya aktarmak. 2007 yılından beridir aktif olan grup ileride daha çok sayıda operasyona imza atacak gibi gözüküyor.

Microsoft ve ABD Ordusunun gizli bilgilerini çalan hacker grubu

microsoft-ve-abd-ordusunun-gizli-bilgilerini-calan-hacker-grubuMicrosoft, Valve ve ABD Ordusundan yaklaşık 100 milyon dolar değerinde gizli bilgi çalan uluslararası hacker grubu üyelerinin suçu kesinleşti.

2014’ün Ekim ayında dört gençten oluşan hack grubu Microsoft, Epic Games, Valve Software, Zombie Studios, ABD Ordusu gibi hedeflere siber saldırı düzenleyerek 100 milyon dolar değerinde gizli bilgiyi ele geçirmişti. Özellikle sızdırılan bilgilerin arasında ABD Ordusunun helikopter pilotlarını eğitmek için kullandığı simülasyon yazılımı da yer alıyordu. Hacker grubu bu sızdırdığı gizli bilgileri satmaya çalıştı.

XU adlı hacker grubunun ikisi ABD’li, biri Kanadalı üç üyesi zaten tutukluydu. Austin Alcala ise grubun dördüncü üyesi olarak tutuklandı. Alcala 19 yaşında ve Indianada ailesi ile yaşıyordu. Şu an XU hacker grubunun tüm üyeleri tutuklu ve kendilerine karşı yapılan suçlamaların tamamını kabul etmiş durumdalar.

Elde ettikleri gizli bilgiler arasında Microsoft’un o zaman henüz yayınlanmamış konsolu Xbox One’a ait bilgiler, FIFA, Call of Duty, Gears of War gibi oyunlara dair teknik veriler de yer alıyordu. Yaşı 19 ile 28 arasında değişen XU hacker grubu üyeleri genellikle SQL injection kullanarak sistemlere sızarak ilerliyorlardı. Sonrasında ise entellektüel mülkiyet açısından büyük önem taşıyan gizli bilgilere ulaşabilmek için kendilerine hesap oluşturarak bu bilgilere erişim sağlıyorlardı.

930 milyon Android cihaz risk altında

930-milyon-android-cihaz-risk-altindaSon gelişme ile Google, yüzmilyonlarca Android kullanıcısını ciddi güvenlik riskiyle karşı karşıya bıraktı.

Google’ın Android ekibi yaptığı duyuruyla yayınlanan son kritik zafiyetlerden biri olan WebView, tüm güvenlik güncellemeleri ve diğer güncellemeleri artık Android 4.3 Jelly Bean ve öncesi için çıkartmayacağını açıkladı. İstatistiklere bakıldığında ise Android cihazların %60’ı yani 930 milyon kadar cihaz şu an yaması bulunmayan güvenlik açıklarından etkileniyor.

Son kritik zafiyetlerden WebView ise mobil uygulama içerisinden kullanılabilen bir web browser. Geliştiriciler WebView modülünü uygulamalarına ekleyerek uygulama içerisinde web sayfası gösterebiliyor veya web uygulaması çalıştırabiliyor. Google Android 4.4 üzerindeki WebView modülünü kısa süre önce güncelledi.

Google’ın WebView gibi kritik zafiyetlerle ilgili 930 milyon cihaz için yama çıkartmaması sadece telefonları değil tabletleri, Android kullanan başka elektronik cihazları, otomobilleri ve akıllı ev sistemlerini dahi ilgilendiriyor. Özellikle uzakdoğu çıkışlı ufak tefek markaların Android cihazlarının yeni versiyona güncellenmesi oldukça zor bir ihtimal gibi gözüküyor.

Android telefon ile ATM cihazı hacklemek

android-telefon-ile-atm-cihazi-hacklemek-2Siber suçlular ATM cihazlarını hackleyerek akıllı telefon yardımıyla para çekmek için yeni yöntemler keşfediyor. ATM cihazlarına fiziksel olarak bağlanan telefon, uzaktan verilen komutlarla ATM cihazını yöneterek istenilen anda, istenilen şartlarda kartuşlarda bulunan paranın çekilebilmesine olanak sağlıyor.

Bu iş için gerekli olanlar boyutça ufak bir Android çalıştıran cep telefonu, USB kablosu ve USB devre kartı. Bu saldırı tekniği şu an için sadece NCR marka ATM cihazlarında başarıyla çalışıyor. Şu ana kadar NCR’ın haberdar olduğu kadarıyla bu saldırı türü kullanılarak 2 ATM soygunu gerçekleştirildi.

Firma bu gelişmeler üzerine bir firmware güncellemesi yayınlayarak cihazlardaki para kartuşları ile sistem arasındaki iletişimin şifrelemesini iyileştirdi. Güncellemenin diğer bir yaptığı ise bir kere bu versiyona geçildikten sonra geriye dönülememesi. Geriye dönülmesi halinde tekrar güvenlik riski meydana geliyor.
android-telefon-ile-atm-cihazi-hacklemek
NCR’ın konu ile yaptığı yorum saldırının oldukça ucuz, basit ve etkili olduğu yönünde. Eğer hangi komutları vereceğinizi biliyorsanız ATM’leri hacklemek oldukça basit. ATM cihazlarının halen gelişime ihtiyacı olduğu açık.

 

Rus hacker grubu Anurak hızla ilerliyor

rus-hacker-grubu-anurak-hizla-ilerliyorOnlarca milyon dolar, kredi kartları ve gizli bilgiler yeni bir hacker grubunun eline geçti.

Rus hacker grubu Anurak 2013’den beridir aktif olarak saldırılarda bulunuyor. Anurak başta bankalar ve ödeme sağlayıcılar olmak üzere perakende sektörü, medya kuruluşlarını hedef alan bir hacker grubu. Grubun stratejisi bankalar, ödeme sağlayıcıların müşterilerini hacklemek yerine bu firmaların kendilerini hacklemek üzerine. Firmaların iç ağlarına erişim sağlayıp veri sızdırıyorlar. Eğer sızdıkları yer bir devlet sistemi ise bu sefer onu casusluk amacıyla kullanarak veri topluyorlar.

Siber mafyanın her tarzda bilgiyi paraya dönüştürebildiği çağda hem banka hesabı soyan, hem kredi kartı bilgisi çalıp, hem de devletlere ait verileri çalan bir hacker grubu şaşırtıcı gözükmüyor. Anurak hackerları sızdıkları firmanın iç ağında önce sistem yöneticisi ve IT ekibinden kilit kişilerin sistemlerini hedef alıyor. Bu anahtar kullanıcıların sistemlerine sızarak hareketlerini kaydedip yaptıkları işi ve yapıyı anlamaya çalışıyorlar. Sonrasında ise tüm e-posta trafiğini izlemeye başlayarak cihazların ayarlarını değiştirerek tüm ağı uzaktan yönetmeye başlıyorlar.

Bu yönetim öyle planlı bir şekilde yapılıyor ki Anurak hacker grubu üyeleri hackledikleri ATM cihazı yönetim sistemine uzaktan zararlı yazılım bulaştırarak kontrolleri altına alıyorlar. İstedikleri zaman uzaktan tetikleyerek bu cihazlardan para çekebiliyorlar.

Anurak’ın faaliyetleri aşağıdaki gibi ilerliyor;

  • Anurak hacker grubu dünya çapında 50’den fazla banka, 5 ödeme sağlayıcı, 16 perakende firmasını hackledi
  • 2013 yılından beridir aktif olan hacker grubu sadece son altı ay içinde 17 milyon dolar kazandı
  • Bir ağa sızıp bilgileri nakite dönüştürene kadar geçen süre ortalama 42 gün
  • Anurak hacker grubu halen faaliyet halinde