Yazılar

GCHQ ve NSA “Şirinler” ile hackliyor

gchq-nsa-sirinler-ile-hackliyorEski NSA ajanı Edward Snowden yine yaptığı açıklamalarla ABD’nin casusluk kapasitesine dair önemli bilgiler verdi. Özellikle akıllı telefonlarla ilgili tehdit boyutu çok geniş.

Edward Snowden İngiliz gizli servisi GCHQ ve ABD Ulusal Güvenlik Ajansı NSA’in neredeyse tüm cep telefonlarına sahibinin izni olmadan erişebildiğini açıkladı. Örneğin GCHQ şifrelenmiş bir mesaj göndererek arka kapıyı aktive ediyor ve sonrasında cep telefonu kamerasını aktive ederek fotoğraf çekip, ortam dinlemesi gerçekleştirebiliyor.

GCHQ’nun bu gizli takip sistemine “Smurf Suite” adı veriliyor. Smurf Suite içerisindeki Dreamy Smurf aracı güç yönetimini sağlıyor. Bunun anlamı GCHQ telefonunuzu izniniz dışında açıp, kapatabiliyor. Nosey Smurf aracı ise mikrofon kontrolü sağlıyor. GCHQ istediği zaman uzaktan mikrofonunuzu aktive edebiliyor ve sonrasında ortam dinlemesi gerçekleştirebiliyor. Tracker Smurf ise coğrafi konum elde etmek için. Nerede olduğunuzu baz istasyonları aracılığı ile tespit ederek merkeze bildiriyor.

Üstelik bu araçlar öyle ustaca tasarlanmış ki telefonunuzda bir gariplik olduğunu farkedip servise götürseniz bile tespit edilemiyorlar. Herhangi bir uzman veya teknisyenin tespit edemeyeceği kadar başarılı tasarlanmış. Elbette amaç geniş. Telefon kullanıcısının kimi aradığı, kiminle mesajlaştığı, hangi web sitelerini gezdiği, kişi listesi, nerelerde bulunduğu, hangi kablosuz ağlara bağlandığı gizli servislerin hedefinde olan bilgiler.

Bu teknolojilerde GCHQ ile NSA arasında ciddi bir ortaklık bulunuyor. NSA teknolojiyi geliştirirken, GCHQ ise operasyonel kısmı üstleniyor. İngilizlerin sadece cep telefonlarını takip etmek için 1 milyar dolar gibi bir bütçe ayırdıkları biliniyor. İngiliz ve ABD’li yetkililer bazı casusluk faaliyetleri olduğunu doğrularken bunları yasalara uygun şekilde pedofili ve terörizmle savaş için gerçekleştirdiklerini belirtiyorlar. Hatta Snowden’ın açıklamalarına göre bu sözde yasal sınırı çoktan aşan İngilizler Pakistan’a satılan Cisco ağ cihazları üzerinden ciddi miktarda veriyi çekerek yine casusluk amaçlı inceliyor.

Harkonnen Operasyonu: 12 yıl gizli kalan zararlı yazılım

harkonnen-operasyonu-12-yil-gizli-kalan-zararli-yazilimBankalar, kurumsal firmalar ve devletleri hedef alan Harkonnen Operasyonu 12 yıl ile tarihteki en uzun süren zararlı yazılım operasyonu olarak deşifre edildi.

Operasyon öyle detaylı şekilde planlanmış ki ilk etapta İngiltere’de kayıt ettirilmiş aynı IP adresine sahip 800 kadar firma gözümüze çarpıyor. Bu siteler saldırganların dünyanın farklı ülkelerindeki bankalar, büyük firmalar, devlet kuruluşlarının sistemlerine veya ağ cihazlarına sızarak zararlı yazılım yüklemesinde yardımcı oluyor.

Harkonnen Operasyonu sayesinde saldırganların 300 kadar büyük kuruluşun sistemlerine girerek veri sızdırdığı tahmin ediliyor. İşin ilginç kısmı ise 2002’den beri bu zararlı yazılım operasyonunun hiç deşifre olmadan devam ediyor olması. Çok sayıda saldırı biçiminin kullanıldığı bu operasyondaki ana bileşenlerden biri de spear phishing saldırıları. Bu phishing saldırıları yardımıyla zararlı yazılım içeren phishing mesajları çok sayıda kullanıcıya ulaştırılıyor.

Trojan bir süredir gfiltersvc.exe, wmdmps32.exe dosyalarını kullanıyor ve genel trojan ailesine ait olan Trojan.win7.generic!.bt olarak bazı antivirusler tarafından tanınabiliyor. Edinilen izlenim ise bu zararlı yazılım operasyonunun bir suç örgütünün planladığı aktiviteden çok aslında devletler arası bir casusluk faaliyeti olduğu yönünde. Yapılan yatırımın 150 bin doları bulduğu bu operasyonda yüzlerce alan adı, IP adresi, SSL sertifikası kullanılıyor.

Bu vakanın da doğruladığı gibi aslında en büyük tehdit ağ ve sistemlere girerek oradan verileri alarak sessizce çıkan saldırganlar. İstikrarlı veri sızıntıları amaçlı yapılan saldırılar kurumlara en büyük zararları vermeye devam ediyor.

Siber suçlulardan sahte kimlik ve pasaport hizmeti

Siber suçlular internette sadece teknoloji kaynaklı problemlere yol açmıyorlar. Aynı zamanda geleneksel suçlular için de farklı illegal çözümlerin anahtarı haline gelmiş durumdalar. Her ülkeden sahte pasaport, kimlik satışı yapan dışarıya kapalı platformlar sadece pasaport değil aynı zamanda pasaport yapmak için malzemeler, çeşitli sıcak ve soğuk damgaların da satışını yapıyor.

Şu an satışı yapılan ülke pasaportları arasında Rusya, Belarus, Kanada, Almanya, Danimarka, Finlandiya, İsrail, Hollanda, Norveç, Romanya, İngiltere, Amerika, Avusturya, Ukrayna ve Türkiye bulunuyor. Fiyatlar değişken olsa da 20-30$ arasında denilebilir. Bu sahte pasaportlarda gerçek insanların bilgileri, fotoğrafları kullanılıyor. Elbette pasaportların çipli olması herhangi bir problem yaratmıyor.

TerraMedusa dış dünyaya kapalı izlediği özel yüzlerce platformdan birinden yukarıda saydığımız ülkelere dair hazırlanan pasaport/kimlik bilgileri ve yapım aşamasından bazı ekran görüntülerini sizler için derledi;

sahte-pasaport-kimlik

sahte-pasaport-kimlik2

sahte-pasaport-kimlik3

sahte-pasaport-kimlik4

sahte-pasaport-kimlik5

sahte-pasaport-kimlik6

sahte-pasaport-kimlik7

sahte-pasaport-kimlik8

sahte-pasaport-kimlik9

sahte-pasaport-kimlik13

sahte-pasaport-kimlik10

sahte-pasaport-kimlik11

sahte-pasaport-kimlik12

Hacker çetesi bankadan 1.3 milyon euro çaldı

barclays-banka-kvm-cihazSekiz kişilik hacker çetesi Barclays Bankasından 1.3 milyon euroyu oldukça pratik bir yöntemle çaldı. Metropolitan Polis Merkezi yetkililerinin bildirdiğine göre içinde 3G router bulunan, KVM adında klavye, mouse, görüntü iletmeye yarayan cihazı Londranın kuzeyindeki bir Barclays şubesine yerleştirdiler.

Çete üyelerinin bu cihazları şubeye sokmak için IT ekibinden kişiler gibi davranarak sosyal mühendislik uyguladığı da belirtiliyor. Sonrasında 3G çalıştıran KVM cihazına uzaktan bağlanan çete üyeleri izinsiz transferleri gerçekleştiriyor.

Çetenin 1.3 milyon euronun yanı sıra hatırı sayılır miktarda kredi kartı, kişisel bilgiyi de ele geçirdiği biliniyor. Üstelik tüm bunlar milyonlarca dolar yatırılan firewall, IPS, antivirus sistemlerine sahip bankanın tüm güvenlik önlemlerini atlatacak 300 dolar değerinde bir donanım ile gerçekleştiriliyor.

Bu noktada tekrar akıllara gelen şey kurumların bilgi güvenliği yatırımlarını ürünlerden çok, penetrasyon testi süreçleri ve sosyal mühendislik gibi saldırılara karşı yapmaları gerektiği.

Casuslukta Ingiliz asaleti: Socmint

socmint-ingiliz-istihbarat-polisHenüz ABD’nin Prizma skandalının üzerinden çok süre geçmemişken İngiliz gizli servisinin yaptığı izleme altyapısı ile ilgili detaylar ortaya çıkmaya başladı.

İngilizler son iki yıldır herkese açık sosyal medya paylaşımlarını, konuşmaları, profilleri tarayıp arşivleyecek bir sistem üzerinde çalışıyordu. Artık tamamlanan ve adına Socmint verilen bu sistem günün 24 saati, haftanın 7 günü, 17 kişilik bir ekibin kontrolünde herkese açık tweetleri, Youtube videolarını, Facebook profillerini ve İngiliz vatandaşlarının internete gönderdiği herkese açık bütün veriyi takip ediyor.

Socmint’in yapay zekaya sahip teknolojisi bazı gelişmiş raporlama araçlarıyla birleştirilerek geniş bir bilgi sunuyor. “Sentiment Analysis” modülü sizin o anki ruh halinizi tanımlarken, “horizon scanning” modülü ise internette paylaştığınız veride suç unsuru olup olmadığını, yüz tanıma teknolojisi sayesinde gerçek kimlikleri, geo-location özelliği ile bağlandığınız yeri, haritalama özelliği ile harita üzerinde geçmişe dönük işaretleyerek gezdiğiniz yerleri saklıyor. Yazılımda kullanılan teknolojilerin her biri özel sektörde farklı farklı projelerde kullanılan teknolojiler. İngilizlere düşen bunu amaçları doğrultusunda birleştirmek olmuş.

Yetkililerin Socmint hakkındaki fikirleri sorulduğunda ise şöyle bir açıklamada bulunuyorlar; “Sosyal medya bizim için herkesin fikrini söylediğini bir televizyona benziyor. Özel sektör bunu pazarlama ve marka faaliyetleri için kullanıyor. Biz ise toplumda kimin, neyi, nasıl söylediğini anlamak için kullanıyoruz.”

Diğer yandan ortada dolaşan söylentilere göre devletin politik gruplarla bağı olan, aktivist 9000 kişiyi özel bir listeye aldığı ve bu kişiler hakkında normalden çok daha detaylı bir izleme faaliyeti sürdürüldüğü konuşuluyor. Bu aktivistlerin de kulağına gitmiş olacak ki Occupy London hareketine katılan ve eylemi yöneten kişiler önemli görüşmelerini sadece yüz yüze gerçekleştiriyorlar.