hacking Archives – TerraMedusa Secure

Microsoft ve ABD Ordusunun gizli bilgilerini çalan hacker grubu

06/04/2015/in Güncel /tarafından TerraMedusa

Microsoft, Valve ve ABD Ordusundan yaklaşık 100 milyon dolar değerinde gizli bilgi çalan uluslararası hacker grubu üyelerinin suçu kesinleşti.

2014’ün Ekim ayında dört gençten oluşan hack grubu Microsoft, Epic Games, Valve Software, Zombie Studios, ABD Ordusu gibi hedeflere siber saldırı düzenleyerek 100 milyon dolar değerinde gizli bilgiyi ele geçirmişti. Özellikle sızdırılan bilgilerin arasında ABD Ordusunun helikopter pilotlarını eğitmek için kullandığı simülasyon yazılımı da yer alıyordu. Hacker grubu bu sızdırdığı gizli bilgileri satmaya çalıştı.

XU adlı hacker grubunun ikisi ABD’li, biri Kanadalı üç üyesi zaten tutukluydu. Austin Alcala ise grubun dördüncü üyesi olarak tutuklandı. Alcala 19 yaşında ve Indianada ailesi ile yaşıyordu. Şu an XU hacker grubunun tüm üyeleri tutuklu ve kendilerine karşı yapılan suçlamaların tamamını kabul etmiş durumdalar.

Elde ettikleri gizli bilgiler arasında Microsoft’un o zaman henüz yayınlanmamış konsolu Xbox One’a ait bilgiler, FIFA, Call of Duty, Gears of War gibi oyunlara dair teknik veriler de yer alıyordu. Yaşı 19 ile 28 arasında değişen XU hacker grubu üyeleri genellikle SQL injection kullanarak sistemlere sızarak ilerliyorlardı. Sonrasında ise entellektüel mülkiyet açısından büyük önem taşıyan gizli bilgilere ulaşabilmek için kendilerine hesap oluşturarak bu bilgilere erişim sağlıyorlardı.

Android telefon ile ATM cihazı hacklemek

12/01/2015/in Güncel /tarafından TerraMedusa

Siber suçlular ATM cihazlarını hackleyerek akıllı telefon yardımıyla para çekmek için yeni yöntemler keşfediyor. ATM cihazlarına fiziksel olarak bağlanan telefon, uzaktan verilen komutlarla ATM cihazını yöneterek istenilen anda, istenilen şartlarda kartuşlarda bulunan paranın çekilebilmesine olanak sağlıyor.

Bu iş için gerekli olanlar boyutça ufak bir Android çalıştıran cep telefonu, USB kablosu ve USB devre kartı. Bu saldırı tekniği şu an için sadece NCR marka ATM cihazlarında başarıyla çalışıyor. Şu ana kadar NCR’ın haberdar olduğu kadarıyla bu saldırı türü kullanılarak 2 ATM soygunu gerçekleştirildi.

Firma bu gelişmeler üzerine bir firmware güncellemesi yayınlayarak cihazlardaki para kartuşları ile sistem arasındaki iletişimin şifrelemesini iyileştirdi. Güncellemenin diğer bir yaptığı ise bir kere bu versiyona geçildikten sonra geriye dönülememesi. Geriye dönülmesi halinde tekrar güvenlik riski meydana geliyor.

NCR’ın konu ile yaptığı yorum saldırının oldukça ucuz, basit ve etkili olduğu yönünde. Eğer hangi komutları vereceğinizi biliyorsanız ATM’leri hacklemek oldukça basit. ATM cihazlarının halen gelişime ihtiyacı olduğu açık.

Apple iCloud sızıntısı hakkında herşey

08/09/2014/in Güncel /tarafından TerraMedusa

Tüm dünya geçtiğimiz haftaki iCloud’dan sızan fotoğraflarla çalkalandı. Yaklaşık 100 kadar ünlünün özel fotoğrafları internette yayınladı. Peki bu saldırı nasıl ve hangi teknikler kullanılarak gerçekleştirilmişti?

Fotoğrafları sızdırılanlar arasında Kate Upton, Jennifer Lawrance, Kim Kardashian, Kirsten Dunst, Bar Rafaeli gibi 100 ünlü bulunuyordu. iCloud’dan sızdırılan bu fotoğraflara sebep olan bölüm ise “Find My iPhone” olarak adlandırılan bölüm. Find My iPhone kısmına web üzerinden eriştiğinizde doğal olarak belirli sayıda şifre denemesine izin veriliyor. Fakat Find My iPhone API’si üzerinden yapılan başarısız şifre denemelerinde ise herhangi bir kısıtlama yok.

İşte tam bu noktada adına iBrute denlien araç karşımıza çıkıyor. Bu araç bir süredir Github üzerinden dağıtılmakta. İndirenler Find My iPhone API’si üzerinden brute force yoluyla deneyip yanılarak şifre tahmini yapıyordu.

Denenen şifreler ise bugüne kadar hacklenen diğer web sitelerinden sızdırılan şifrelerin Apple’ın şifre politikasına uyanlarıydı. Apple şifre seçerken 8 karakter uzunluğunda olmasını, üçten fazla ard arda rakamlar olmamasını, içerisinde rakam, büyük harf ve küçük harf olmasını şart koşuyor. Bu basit şifrelerin sıralandığı listede; Password1, Princess1, P@ssw0rd, Passw0rd, Michael1 gibi kurallara uyan ama zayıf şifreler yer alıyordu.

Bu basit ama Apple’ın şifre kısmında kabul gören kombinasyonları deneyenler yaklaşık 100 kadar ünlünün iCloud hesabında bulunan mahrem fotoğraf ve bilgilere ulaşabildiler. Apple kısa süre önce bir dizi değişiklik yaparak artık iCloud’da bulunan veriler indirildiğinde veya kayıtlı olmayan bir cihazdan ulaşıldığında uyarı verecek şekilde yapılandırdı. Apple her ne kadar suçu olmadığını savunsa da sessiz sedasız Find My iPhone API’sine de hatalı şifre denemelerine karşı önlem aldı.

Bir diğer konuşulan olasılıktan da bahsetmemek olmaz. Fotoğrafların Bitcoin karşılığı satıldığ 4Chan’de bir süredir gizli bir grup kişinin fotoğraf değiş tokuşu yaptığına dair bilgiler yer alıyor. Bu grup ünlülerin hackledikleri telefonlarından, maillerinden veya bilgisayarlarından elde ettikleri fotoğrafları birbirleriyle değiş tokuş ediyorlardı. Bu gruba katılmak için ise elinde bir ünlünün daha önce yayınlanmamış fotoğrafı olması yeterli olduğu söylenmekte. Yine savunulan diğer bir tez bu grupta dolaşan fotoğrafların da bu sızıntıyla birlikte internette yayılmaya başladığı.

Hangi senaryo gerçekleşirse gerçekleşsin bulut bilişim üzerinde dönen kara bulutlar, verinin güvenli şekilde dolaşımının sağlanması ve kişisel mahremiyet konuları bu olay sayesinde önümüzdeki aylarda daha da öne çıkacak.

Yeni zararlı yazılım Suriye’deki muhalifleri hedef alıyor

01/09/2014/in Güncel /tarafından TerraMedusa

Zararlı yazılımlar hükümetlerin uzun zamandır kullandığı bir siber savaş silahı. Araştırmacılar ise Suriye’deki muhalifleri hedef alan yeni bir zararlı yazılımın izini buldu.

Zararlı yazılım kendini gizlemek için bazı teknikler kullanıyor. Dağıtımı ise genellikle sosyal mühendislik yoluyla karşıdaki kişiyi kandırarak dosyayı açması üzerine kurulu. Zararlı yazılımın dosyaları aktivistlerin web sitelerinde ve sosyal ağ forumlarında dolaşım halinde.

Zararlı yazılım RAT adı verilen uzaktan erişim trojanları kategorisinde değerlendirilebilir. Beşşar Esed yanlısı kişiler tarafından oldukça organize ve sistematik biçimde muhaliflerin bilgisayarlarına bulaştırılıyor. Burada kullanılan sosyal mühendislik argümanlarından biri “Suriye rejimi elinde bulunan kimyasal silahlara dair delil olabilecek dokümanlar” olduğu. Elbette bu sahte dokümanlar zararlı yazılım içeriyor.

Suriye’deki rejim yanlıları aynı zamanda Youtube üzerinden de bu zararlının dağıtılmasına aracılık ediyorlar. Bazı videolardaki linkler yardımıyla WhatsApp, Viber gibi popüler uygulamaların trojanlı versiyonları dağıtılıyor. Şu ana kadar 110 zararlı yazılım, 20 dağıtım yapılan alan adı ve 47 IP adresi tespit edilmiş durumda.

Saldırganlar enfekte olan sistemlerden kullanıcı adı/şifreler, sosyal ağ hesapları, Skype bilgileri gibi çok sayıda bilgiyi elde ediyorlar. İşin ilginç kısmı saldırı vektörü Suriye olarak belirlenmiş olsa da dışarıdaki ülkeler de bu zararlı yazılımdan etkileniyor.

Etkilenen ülkeler;

1. Türkiye
2. Suudi Arabistan
3. Lübnan
4. Filistin
5. Birleşik Arap Emirlikleri
6. İsrail
7. Fas
8. Fransa
9. ABD

Zararlı yazılımın tuzağına düşen kurban sayısının 10 binin üzerinde olduğu biliniyor. Özellikle Türkiye gibi Suriye’deki Beşşar Esed karşıtı kitle ve sığınmacıların olduğu bir yerde tehdit bize yönelikte ilerlemeye devam ediyor.

MonsterMind: ABD’nin siber saldırı sistemi

18/08/2014/in Güncel /tarafından TerraMedusa

Halen Rusya’da sığınmacı olarak bulunan eski NSA çalışanı Edward Snowden ABD istihbaratı ile ilgili bilgiler vermeye devam ediyor. Son bilgiler ise MonsterMind adındaki ABD’nin siber saldırılara otomatik olarak cevap veren ofansif siber savaş sistemi.

MonsterMind siber savaşta cephede kullanılan en aktif silahlardan biri olarak göze çarpıyor. Fakat kusurları da yok değil. Sistem yapılan saldırıya hemen cevap veriyor fakat gelen saldırının hangi kaynaktan ulaştığını doğrulamıyor. Yani spoof edilmiş IP adreslerinden gelen bir saldırıyı doğrulamadan kaynak sandığı noktaya saldırı ile cevap veriyor.

Bunun anlamı örneğin Rus IP adreslerini spoof ederek DDoS yapıldığında ABD’nin MonsterMind sistemi doğrudan Rus ağına saldırıyor. Diğer yandan tüm trafiği analiz eden MonsterMind sistemi bir nevi ABD vatandaşları dahil tüm trafiği dinliyor. Bu da anayasadaki gizlilik ile ilgili hükümlere ters düşüyor.

MonsterMind sistemi hükümetin 2008’de detaylarını yayınladığı Einstein 2 ve detaylarını 2013’te yayınladığı Einstein 3 sistemlerinin uygulanmış hali gibi gözüküyor. ABD hükümeti yetkilileri ise MonsterMind ile ilgili olumlu veya olumsuz bir yorum ya da açıklama yapmayı reddediyor.

WordPress siteleri üzerinden DDoS yaptıran servis

06/04/2014/in Güncel /tarafından TerraMedusa

WordPress’in CMS kategorisinde en çok kullanılan web tabanlı içerik yönetimi yazılımı olmasının ardından siber suçlular da bu platform üzerinden nasıl para kazanabileceklerini düşünür oldular.

WordPress üzerindeki XML-RPC API modülünü istismar ederek istenilen hedefe DDoS yapmayı sağlayan servis farklı sürelerdeki saldırılar için farklı fiyatlandırmalar talep ediyor. 4.99 dolar ile 99.99 dolar arasında değişen paketlerde 40 Gbps boyutunda DDoS yapmak mümkün.

Siber suçlular IMEI numarası değiştirme servisi sunuyor

24/03/2014/in Güncel /tarafından TerraMedusa

Siber suçlular her gün yeni yöntemler, taktikler geliştiriyorlar. Bunları servis olarak sundukları suç amaçlı siber operasyonlarda da uygulamakta geri kalmıyorlar. IMEI modifikasyonu da bunlardan biri.

Daha önce TDoS servislerinden bahsetmiş, telefon/mobil sistemlerin istismar edilmesiyle ilgili detayları sunmuştuk. Bu sefer siber suçluların anonim kalmak için başvurduğu yöntemlerden birini göreceğiz. Bu serviste ister sunulan TDoS servislerini IMEI numaraları modifiye edilmiş ekipmanlar üzerinden alıyorsunuz, isterseniz de mobil telefon/USB 3G cihazınızın IMEI numaralarını değiştirtebiliyorsunuz.

7600 kritik SCADA altyapı hacklenme tehditiyle karşı karşıya

16/03/2014/in Güncel /tarafından TerraMedusa

Binlerce kritik altyapının geçtiğimiz hafta yayınlanan SCADA zayıflığı yüzünden tehdit altında olması ciddi endişe yaratıyor. Güvenlik açığı 7600’den fazla farklı sektörüden kimyasal tesis, nükleer tesis, petrokimya tesisi, elektrik santrali, havaalanları gibi kritik altyapıları etkiliyor.

Yokogawa Electric CENTUM CS3000 R3 ürününde bulunan zayıflık tüm bu kaosa sebep oluyor. Bir Windows yazılımı olan Yokogawa 1998 yılından beridir Avrupa ve Asya kıtasındaki güç santralleri, havaalanları ve diğer benzer kritik altyapılarda kullanılıyor. Madrid’te yapılan bir bilgi güvenliği konferansında ise bu ürün ile ilgili kritik 3 ayrı güvenlik açığı yayınlandı.

Buffer overflow, heap overflow, stack overflow kategorisinde olan zayıflıkları kullanarak Yokogawa çalıştıran tesisleri sabote etmek mümkün. Zayıflıklar servis engelleme (DoS) saldırısı ve uzaktan kod çalıştırma ile sonuçlanacak bir etkiyi yaratıyor.

İşin ilginç kısmı zayıflıklar 2013 yılı Aralık ayında Yokogawa’ya bildirilmiş olmasına rağmen ancak geçen hafta yama hazırlanarak müşterilere zayıflık hakkında bilgi verilmiş. Bu da geçen süre içerisinde ne gibi veri sızıntıları veya sabotajlar olduğu hakkında ciddi soru işaretleri yaratıyor.

Aşağıda güvenlik açığının Yokogawa’ya bildirildiği tarih ve gelen cevap ile yamanın yayınlanma tarihleri arasındaki fark görülebilir;

Web tabanlı yeni Keylogger ile şifreler güvende değil

03/02/2014/in Güncel /tarafından TerraMedusa

Yeni yayınlanan araç siber suçlular tarafından PHP/MySQL platformunda hazırlanmış, keylogger özelliğine sahip bir zararlı yazılım/botnet olarak tanımlanabilir. Unicode desteği sunan bu zararlı yazılım 50 dolarlık fiyatı ile de dikkat çekiyor.

Aslında bu bir nevi strateji. Bu yazılımı hazırlayan kişi yazılımının çok sayıda rakibinin kısa sürede ortaya çıkacağını bildiğinden henüz pazar daralmadan düşük bir fiyat ile ortaya çıkarak bu keylogger yazılımını piyasaya sürdü. Önümüzdeki haftalarda araçla ilgili yeni güncellemeler yayınlanması planlanıyor.

Web tabanlı yönetim ekranına ait bazı ekran görüntüleri;

Anonim SIM kartlar ile SMS güvenliğini atlatmak

27/01/2014/in Güncel /tarafından TerraMedusa

Online hesaplar artık daha sık şekilde SMS ile doğrulama servislerini kullanıyor. Gmail, Twitter’dan tutun farklı finansal servislere kadar SMS üzerinden aktivasyon veya bildirim gibi işleri gerçekleştirebiliyorlar.

Fakat siber suçlular artık bunun da formülünü buldular ve sahte kimliklerle elde edilen çok sayıda anonim SIM kartların satışını gerçekleştiriyorlar. Özellikle bazı yasadışı, geçersiz işlemleri ayıklamak için SMS doğrulaması isteyen servisleri atlatmak için veya SMS aktivasyonu için bu SIM kartlara ciddi talep var.

Diğer yandan TDoS adındaki cep telefonlarına yapılacak çok noktalı saldırılarda da bu SIM kartlar kullanılabiliyor.

Satışı yapılan anonim SIM kartlar;

Alıcının isteğine göre sunulan “güvenli saklama servisi” hizmeti. Bu şekilde kartlar istenildiği kadar saklanıyor ve istenildiğinde imha edilerek imha işlemi videoya çekilip müşteriye gönderiliyor;

Kullanılmış olan bir SIM kartın imha süreci;

Yazılar