Yazılar

Çok sayıda antivirus firması ABD ve İngiltere’nin hedefinde

Yaşanan Kaspersky’nin hacklenmesi olayından sonra kriz daha da derinleşiyor. Şimdi de sadece Kaspersky değil, çok sayıda antivirus üreticisinin gizli servislerin takibinde olduğu ortaya çıktı.

Edward Snowden’ın yayınladığı yeni bilgilerde gizli servisleritn antivirus üreticilerine dair ilgisi açıkça görülüyor. Hem ABD’li NSA, hem de İngiliz GCHQ gizli servislerinin antivirus üreticilerinin e-postalarını takip ettiği ortaya çıktı. E-postaları takip eden her iki gizli serviste gelen yeni zararlı yazılım ihbarlarını, zararlı yazılım örneklerini inceleyerek kendi casusluk yazılımlarını ona göre güncelliyor. Amaç antivirus uygulamalarına yakalanmayan zararlı yazılımları hızlı şekilde üretebilmek.

cok-sayida-antivirus-firmasi-abd-ingiltere-hedefinde-2

Ortaya çıkan dokümanlarda geçtiğimiz haftalarda hacklenen Kaspersky için “GCHQ’nun sistem ve ağlara sızmayı sağlayan yazılımlarını engelleme çabasına devam ediyorlar. Ama yapılan ters mühendislik çalışması sayesinde antivirus yazılımını exploit ederek bypass etmeyi başardık” şeklinde bahsediliyor. NSA’in “PROJECT CAMBERDADA” adını verdiği operasyonda ise 24 antivirus firmasının gizli servisin takibinde olduğu görülüyor.

Listelenen firmalardan Bitdefender, ESET, Avast, AVG ve F-Secure gibi firmalar yıldızı parlayan hedef olarak seçilenlerden. Merkezi ABD’de bulunan McAfee, Symantec ve İngiliz firma Sophos ise ilginç biçimde listede yok. Sophos, Symantec ve McAfee tüm dünyada kullanılıyor ve gizli servislerin takibinde olmaması düşündürücü. Yine aynı şekilde TrendMicro’da listede bulunmuyor.

Tox ile üç aşamada zararlı yazılım üretmek

Ülkemizde de son dönemde oldukça popüler olan Ransomware zararlı yazılımları üretmek oldukça kolaylaştı. Verilerin şifrelenip para talep edildiği bu yazılımlardan Tox siber yeraltı dünyasına hızlı bir giriş yaptı.

Yeni Ransomware üretme kiti ortaya çıkalı fazla bir zaman olmadı. 19 Mayıs’ta başlayan servis oldukça ilgi görüyor. Yazarları Tox’u şöyle ifade ediyor; “Geliştirdiğimiz virüs Windows işletim sisteminde açıldığında tüm dosyaları şifreliyor. Şifreleme tamamlandıktan sonra ise bir uyarıyla birlikte ücretin ödenmesi için Bitcoin adresini kullanıcıya gösteriyor”

tox-ile-uc-asamada-zararli-yazilim-uretmek_2

Tox üyelik sistemiyle çalışıyor. Siber suçlular kendi viruslerini üretmek için bu servise kayıt oluyorlar. Üstelik bu virusu oluşturmak oldukça basit üç adımdan oluşuyor;

1. Dosyaları şifrelenen kişiden talep edilecek ücret

2. Mesaj

3. Captcha’nın girilmesi

Tox’u yazan kişiler aynı zamanda Tox aracılığıyla alınan paralardan %30 gibi bir yüzde de alıyorlar. Yani şifrelenen dosyalar için 1000$ ücret isteniyorsa bunun 300$ kadar kısmı Tox’u yazanlara gidiyor. Zararlı yazılım anonimliği garanti altına almak için Bitcoin transferlerini Tor üzerinden gerçekleştiriyor. Tox ile üretilen zararlıların antivirusler tarafından tanınma oranı ise hayli düşük. Yazılımı geliştirenler bununla övünüyor.

tox-ile-uc-asamada-zararli-yazilim-uretmek

Tox’un ürettiği zararlı yazılım MinGW ile derleniyor. Bulaştığı sistemde dosyaları şifrelerken ise AES şifreleme ve Crypto++ kütüphanesini kullanıyor. Microsoft CryptoAPI ise anahtar üretmek amacıyla tercih edilmiş.

Türkiye’de henüz Tox kullanımına rastlamadık. Fakat ileriki zamanlarda hem Tox, hem de benzer servislerin Türkiye’ye de uyarlanacağını tahmin etmek zor değil.

SCADA sistemlere yönelik tehditler

SCADA terimi “Supervisory Control And Data Acquisition” kelimelerinin baş harflerinden oluşmuştur. Türkçe diline “Kontrol ve Veri Toplama Sistemi” olarak çevirilebilir. Haberleşme cihazları, bilgisayarlar, algılayıcılardan ve diğer tüm aygıtlardan oluşturulmuş hem denetlenebilen hem de kontrol edilebilen sistemleri tanımlar.

SCADA öyle kritik bir alan ki petrol, doğalgaz, nükleer güç, hidroelektrik, gaz yağı, kimyasal madde, boru hatları, elektrik gibi kritik altyapılara dair tüm alanlarda kullanılmakta. Buna rağmen SCADA ürünlerini hazırlayan firmalar güncel bilgi güvenliği tehditleriyle paralel bir gelişim göstermiyorlar. Geçmişte ve bugün siber savaşın önemli bir parçası olan SCADA bileşenleri her zamankinden daha önemli. Keşfedilen güvenlik açıkları ülkelerin ulusal güvenliklerini dahi tehdit edebiliyor.

SCADA sistemlerin normalde internete açık olmaması gerekirken biraz araştırıldığında ilginç veriler ortaya çıkabiliyor.

1997 yılında iki taneyle başlayarak keşfedilen SCADA güvenlik zafiyetleri sayısı yıllar içerisinde ciddi bir ivmeyle artarak devam ediyor.

scada-sistemlere-yonelik-tehditler-1

Üreticilere göre keşfedilen zayıflık sayısına baktığımızda Siemens liderliği elinden bırakmıyor.

scada-sistemlere-yonelik-tehditler-2

Yıllara göre bakıldığında internete açık SCADA sistemlerde dışarıdan tespit edilebilen güvenlik açıkları ciddi bir artış gösteriyor. Şu anda yaklaşık 146.000 kadar internetten erişilebilir SCADA sistem bulunuyor. Bu rakamlara göre Internetten erişilemeyen fakat iç ağdan gelebilecek tehditlere karşı savunmasız sistemlerin de ne derece ciddi sayılarda olacağını tahmin etmek mümkün. Internete açık SCADA sistemlerin çoğu ABD’de, onu büyük SCADA üretici firmaların çıktığı Almanya takip ediyor. Türkiye ise internet açık 1402 SCADA sistem ile alt sıralarda. Fakat bu rakam bile oldukça ciddi.

scada-sistemlere-yonelik-tehditler-3

İncelendiğinde internete açık SCADA sistemlerden 15.000 kadarında güvenlik zafiyetleri olduğu göze çarpıyor. Burada ilk üçü ABD, Fransa, Almanya paylaşırken Türkiye’nin internete açık SCADA sistem sayısına oranla çok daha fazla güvenlik açığına sahip olduğu görülüyor.

scada-sistemlere-yonelik-tehditler-4

Ekran kartına zararlı yazılım, keylogger gizlemek

ekran-kartina-zararli-yazilim-keylogger-gizlemekGüvenlik araştırmaları yapan bir ekip ismine Jellyfish dedikleri herhangi bir şekilde yazılımla tespit edilemeyen zararlı yazılımı GPU üzerine yerleştirmeyi başardılar.

Günümüz saldırıları gittikçe sofistike hale geliyor. Bunları engellemek zorlaştığı gibi tespit etme aşaması bile artık hayli güç. Ekran kartının grafik işlemci ünitesi GPU üzerine yerleştirilen Jellyfish zararlı yazılımı bunun son örneği. Bu geleceğin zararlı yazılımı ile GPU üzerinde dijital para birimlerini de üretmek mümkün. Tüm bunlar olurken işletim sisteminde çalışan prosesler veya servisler değiştirilip, müdahale edilmediği için zararlının tespiti de yapılamıyor.

Jellyfish zararlısı Nvidia, AMD ve Intel donanımına sahip ekran kartlarında çalışabiliyor. Böyle bir saldırıda zararlı yazılımı GPU’da çalıştırmak gizlenmek için en az riskli yöntem gibi gözüküyor. CPU çok sayıda güvenlik yazılımı tarafından taranırken, Windows Task Manager veya Process Explorer gibi araçlarla da incelenebiliyor. GPU için ise GPU-Z, GPU Load tarzı uygulamalar bulunuyor. Bunların yaptığı ise basitçe ekran kartlarının performanslarını analiz etmek. Eğer bu yazılımları Visual Studio’ya bağlarsanız ancak o zaman o anda GPU’da çalıştırılan kodu monitör etme şansına sahip olabiliyorsunuz.

Eğer bu tarz bir zararlı yazılımın GPU kullanımına, yüküne bakılarak tespit edilebileceğini düşünüyorsanız yanılıyorsunuz. GPU’ya yerleştirilen zararlı yazılımların getirdiği yük yaklaşık %0.1 kadar. GPU’da çalıştırılan kodlar şu an takip edilemez durumda. Muhtemelen NSA, GCHQ gibi gizli servisler yıllardır bu metodu kullanıyorlar. Çalışır bir örneği herkesin önündeyken gelecekte GPU üzerinden yapılacak saldırıların sadece devletler tekelinde olmayacağı kesin gibi gözüküyor.

7 ay boyunca farkedilmeyen kumarhane soygunu

7-ay-boyunca-farkedilmeyen-kumarhane-soygunuKredi kartı bilgileri siber suçluların göz diktiği yegane finansal bilgilerden. Bu kez hedefleri Las Vegas’ta bulunan Hard Rock Hotel & Casino.

Siber suçlular detaylı bir çalışma sonucu Las Vegas’ta bulunan Hard Rock Hotel & Casino’ya sızarak detaylı kredi kartı bilgilerini ele geçirdi. Ele geçirilen bilgiler arasında kredi kartı numaraları, isimler ve adresler bulunuyor. Hard Rock saldırıyı 3 Nisan’da tespit edebildiğini ve 3 Ekim 2014 ile 4 Nisan 2015 arası restoran, bar, alışveriş kısımlarında yapılan işlemlerin etkilendiğini belirtiyor.

Konu halen kısmen de olsa gizemini korumakta. Çünkü Hard Rock’ta kullanılan zararlı yazılımın ne olduğuna dair henüz bir bilgi yok. Zararlı yazılım POS cihazlarında kullanılan manyetik kartlara ait hassas verileri ele geçirmekte kullanıldı. 28 Nisan tarihinde ise siber suçlular bir web sitesinden ele geçirilen kredi kartlarını satmaya başladılar.

Geçtiğimiz haftalarda yapılan Mayweather ile Paquiao arasındaki boks maçının biletlerinin ortalama 86.000 USD olduğu göz önüne alındığında Las Vegas’ta kullanılan kredi kartlarının limitlerinin ne kadar yüksek olduğu beli olacaktır. Bu yüksek limitler siber suçlular için de yüksek kazanç anlamına geliyor.

Güney Kore’ye nükleer verileriyle şantaj

guney-kore-nukleer-verileriyle-santajSiber suçlular Güney Kora nükleer reaktörü ile ilgili bilgileri online olarak yayınladı. Şimdi Güney Kore’den ele geçirdikleri başka bilgileri devletlere satmamak için ise fidye talep ediyorlar.

Güney Kore hükümeti yayınladığı raporda hack olayından dolayı Kuzey Kore’yi suçladı. KEPCO (Korea Electric Power Corporation) Güney Kore genelindeki 23 nükleer reaktörü yönetiyor. Hükümet yetkilileri KEPCO firmasının hacklendiğini ve iç ağındaki kritik olmayan verilerin sızdırıldığını açıkladı. Olayın ardından siber suçlular firmanın üç nükleer reaktörünü kapatmasını lsediler. Twitter’dan üç reaktör kapatılmazsa ‘imha’ edeceklerini ilan ettiler.

Hack olayı sonucunda ele geçirilen verilere örnek olarakta az miktarda gizli bilgilerle birlikte 10.799 KHNP çalışanının kişisel bilgilerini yayınladı. Burada ilginç olan Güney Kore’nin başına gelen bu hack olayının Sony Pictures başına gelen olayla ciddi benzerlikler taşıyor olması. Bu olayda da saldırganlar rakam belirtmeden para talep ediyor. Saldırının başlangıcı ise 3571 KHNP çalışanına gönderilen 5986 phishing maili ile oluyor. Yine Sony olayındaki gibi bulaştırılan zararlı yazılım kodu da Kore dilinde işletim sistemine sahip bir bilgisayarda derlenmiş.

Nükleer reaktör firması KHNP’yi hacklemek için kullanılan zararlı yazılımın çalışma metodu  Kuzey Kore’li devlet hackerlarının kullandığı Kimsuky adlı zararlı yazılıma çok benziyor. Saldırganlar Twitter’da ‘Who am I = No Nuclear Power’ ismiyle sanki nükleer karşıtı bir oluşummuş gibi davranarak yer alıyorlar.

Microsoft Stuxnet’e sebep olan açığı kapatamıyor

microsoft-stuxnet-sebep-olan-acigi-kapatamiyor2010 yılının ortalarında keşfedilen Stuxnet, İran’ın nükleer programını sabote etmeye yönelik hazırlanmış bir zararlı yazılım. 2009 yılında kullanılmaya başlanan Stuxnet zararlısı içerisinde çok sayıda zero day açığı içeriyordu. Bunlar arasında Windows Shell zayıflığı yani LNK dosyaları hakkında olan CVE-2010-2568 kodlu zayıflıkta yer alıyor.

Söz konusu Windows Shell zayıflığı uzaktan veya lokal olarak saldırganın zararlı .LNK veya .PIF uzantılı dosyaları Windows Explorer ile çalıştırmasına olanak tanıyordu. LNK zayıflığı İran’dan önce Pakistan bölgesinde yayılmıştı.

Zayıflık ortaya çıktıktan sonra, 2010 yılında Microsoft MS10-046 kodlu yamayı yayınladı. Fakat işler beklenildiği gibi gitmiyor. 2015 öncesi yaşanan gelişmelere göre yamanın doğru çalışmadığı tespit edildi. Bu yüzden Microsoft bu kez MS15-018 kodlu yeni bir yama yayınladı.

Windows Shell zayıflığı öyle ciddi etkilere sahip ki Kasım 2013 – Haziran 2014 arası 50 milyon kez tespit edildi. Bu saldırılarda dünya çapında 19 milyon sistem hedef alındı. Bu hedef alınan ülkelerde Vietnam ilk sırayı alırken onu Hindistan ve Endonezya takip ediyor. Türkiye ise %5.52 ile Endonezya’nın ardından en çok saldırı alan dördüncü ülke.

Bunun anlamı yamanın yayınlandığı ve açığın kapatıldığının sanıldığı 4 yıl boyunca Stuxnet aktif olarak tüm dünyada yayılımına ve hizmet ettiği amaca yönelik çalışmaya devam etti. Bu bir ülkeye ait siber savaş silahı olarak görülmemiş bir başarıya işaret ederken diğer yandan ülkelerin ulusal güvenliğini ciddi şekilde tehdit ediyor.

Çin’li Lenovo’nun casus yazılım krizi Superfish

cin-lenovo-casus-yazilim-krizi-superfishLenovo en büyük hatalardan birine düşerek sattığı bilgisayarlara Superfish adındaki bir casus yazılım yükledi. Bu yazılımın işlevi ise HTTPS dahil tüm web trafiğini araya girip izleyerek reklam göstermek.

Aslına bakarsak Lenovo’nun yüklediği bu yazılımı “zararlı yazılım” olarakta nitelendirmek mümkün. Sistemlere yüklü olarak gelen Superfish aynı zamanda yazılım gibi firmanın da ismi. Merkezi İsrail, Tel Aviv’de bulunan ve ileri seviye görsel arama teknolojileri geliştirdiğini söyleyen bir firma. Lenovo, Superfish yazılımını Google arama sonuçları içerisine istediği reklamları yerleştirmek için kullanıyordu. Bu şekilde gelir elde ediyordu. Reklamlar yerleştirilirken ise HTTP ve HTTPS trafiği içerisinde web sayfalarına JavaScript inject ediliyor.

HTTP ve HTTPS trafiğinin izlenmesi zararlı yazılımlardan sıkça gördüğümüz Man-in-Middle saldırısı anlamına geliyor. Lenovo sitelerin gerçek SSL sertifikalarını atlayarak Superfish sertifikasıyla gösterek güvenilirliği teyit etmeyi de engelliyor. Superfish gezdiğiniz siteyi algılayarak Facebook veya Google için bile şifreleme sertifikası üretebiliyor.

Burada gizlilikle ilgili birden fazla tehdit varken başka sıkıntılar da göze çarpıyor. Bunlardan ilki iletişiminizi izleyen veya aynı ağda olan kişilerle ilgili. Superfish’in özel anahtarını kıran biri başka bir Lenovo bilgisayarın trafiğini izlemek için kullanabiliyor. Yani bu bir Wi-Fi erişim noktası, iç ağ gibi lokasyonlardan internete bağlanırken tüm trafiğin izlenebilmesi demek.

Superfish’in özel anahtarının şifresini kırmakta pek güç değil. Sadece 2203 kelime içeren basit bir wordlist ile saldırı yapıldığında şifre rahatlıkla ele geçirilebiliyor. Bulunan şifre ise “komodia”.

cin-lenovo-casus-yazilim-krizi-superfish-2

Gelen tepkiler üzerine skandal uygulamayla ilgili geri adım atan Lenovo, bundan böyle üretilen yeni bilgisayarlarda Superfish’in yüklü gelmeyeceğini açıkladı. Hali hazırda yüklü sistemlerde ise “etkisiz” hale getirileceğini belirtti. Halen Superfish’in yüklü olduğu ve satılan 16 milyon bilgisayar olduğu tahmin ediliyor. Bunların bir kısmı iş istasyonu amacıyla kullanılan sistemler. Türkiye’de de sıkça kullanılan, özellikle de kamu sektöründe iş istasyonu, taşınabilir bilgisayar olarak tercih edilen Lenovo dünyanın en büyük PC üreticilerinden biri.

Rus hacker grubu Anurak hızla ilerliyor

rus-hacker-grubu-anurak-hizla-ilerliyorOnlarca milyon dolar, kredi kartları ve gizli bilgiler yeni bir hacker grubunun eline geçti.

Rus hacker grubu Anurak 2013’den beridir aktif olarak saldırılarda bulunuyor. Anurak başta bankalar ve ödeme sağlayıcılar olmak üzere perakende sektörü, medya kuruluşlarını hedef alan bir hacker grubu. Grubun stratejisi bankalar, ödeme sağlayıcıların müşterilerini hacklemek yerine bu firmaların kendilerini hacklemek üzerine. Firmaların iç ağlarına erişim sağlayıp veri sızdırıyorlar. Eğer sızdıkları yer bir devlet sistemi ise bu sefer onu casusluk amacıyla kullanarak veri topluyorlar.

Siber mafyanın her tarzda bilgiyi paraya dönüştürebildiği çağda hem banka hesabı soyan, hem kredi kartı bilgisi çalıp, hem de devletlere ait verileri çalan bir hacker grubu şaşırtıcı gözükmüyor. Anurak hackerları sızdıkları firmanın iç ağında önce sistem yöneticisi ve IT ekibinden kilit kişilerin sistemlerini hedef alıyor. Bu anahtar kullanıcıların sistemlerine sızarak hareketlerini kaydedip yaptıkları işi ve yapıyı anlamaya çalışıyorlar. Sonrasında ise tüm e-posta trafiğini izlemeye başlayarak cihazların ayarlarını değiştirerek tüm ağı uzaktan yönetmeye başlıyorlar.

Bu yönetim öyle planlı bir şekilde yapılıyor ki Anurak hacker grubu üyeleri hackledikleri ATM cihazı yönetim sistemine uzaktan zararlı yazılım bulaştırarak kontrolleri altına alıyorlar. İstedikleri zaman uzaktan tetikleyerek bu cihazlardan para çekebiliyorlar.

Anurak’ın faaliyetleri aşağıdaki gibi ilerliyor;

  • Anurak hacker grubu dünya çapında 50’den fazla banka, 5 ödeme sağlayıcı, 16 perakende firmasını hackledi
  • 2013 yılından beridir aktif olan hacker grubu sadece son altı ay içinde 17 milyon dolar kazandı
  • Bir ağa sızıp bilgileri nakite dönüştürene kadar geçen süre ortalama 42 gün
  • Anurak hacker grubu halen faaliyet halinde

20 dolarlık USB cihazıyla Mac OS X sistemleri hacklemek

20-dolarlik-usb-cihaziyla-mac-os-x-sistemleri-hacklemekSadece 20 dolar değerindeki bir USB Micro Controller yardımıyla OS X sistemleri hacklemek mümkün. Peki bu nasıl oluyor?

Teensy 3.1 USB Micro Controller 20 dolar değerinde, klavye ve mouse’u emüle etmeye yarayan bir cihaz. Aslında bu hack için üretilmiş bir cihaz değil, tamamıyla kullanım kolaylığı için yapılmış.

USBdriveby adındaki araç ise burada yardımcı faktör. Kendisine takılan USB cihazlarını varsayılan olarak kabul eden sistemleri istismar ediyor. USB cihazı sisteme takıldığında, firewall’u kapatmak, zararlı yazılım indirmek, DNS adreslerini değiştirmek gibi yetenekleri mevcut. USB cihazı sistemden çıkarıldıktan sonra kurbanın sistemi çoktan kontrol altına girmiş oluyor.

Burada klavye ve mouse emüle edildiği için sistem sahibinin nasıl zararlı yazılım bulaştığı ile ilgili bir fikir edinmesi oldukça zor. Normal şartlarda bir sisteme mouse ya da klavye takıldığında çalışması için bir onay istenmiyor. Burada istismar edilen şey Spotlight, Alfred, Quicksilver gibi uygulamaların belirli tuş kombinasyonlarıyla çalıştırılmasına dayanıyor. Üstelik sistemde aktif firewall’u da kapatmak mümkün.

NSA’in fiziksel olarak sistemlerde arka kapı konumlandırmak için yıllarca bu yöntemi kullandığı düşünülüyor. Arkada iz bırakmaması ve kolay şekilde gerçekleştirilmesi yöntemi oldukça popüler kılıyor.