Yazılar

Rus hackerlar APT28 ile zero day açıklarını istismar ediyor

rus-hackerlar-apt28-ile-zero-day-aciklarini-istismar-ediyor Rus hackerlar APT28 ile zero day açıklarını istismar ediyorİsmine “Operation Russian doll” adı verilen yeni APT saldırısı kapsamında Adobe Flash ve Windows açıklarının kullanıldığı bir operasyon yürütülüyor.

Devlet kurumlarına karşı gerçekleştirilen bu APT saldırısı Rus hackerlar tarafından gerçekleştiriliyor. Hedefler arasında ABD Savunma Bakanlığı ile çalışan kontratlı üreticiler, Avrupalı güvenlik organizasyonları ve Doğu Avrupa devletlerine ait kamu kurumları var.

Aynı zamanda Rus hackerlar EuroNaval 2014, Eurosatory 2014, Counter Terrror Expo ve Farnborough Airshow 2014 gibi Avrupa savunma fuarlarına katılanları da hedef aldı. APT28 saldırısında Adobe Flash (CVE-2015-3043) ve Windows işletim sistemine ait (CVE-2015-1701) açıklar istismar edildi. Adobe açıklık için geçtiğimiz günlerde yama çıkartsa da Microsoft henüz yama yayınlamış değil. Firma da durumu doğrularken yama üzerinde çalıştıklarını belirtiyor.

APT28 saldırıları öyle ciddi ki 2014 yılının Kasım ayında ABD Dışişleri Bakanlığına yapılan saldırıyla veri sızdırılması ve Beyaz Saray’a ait ağa sızılarak Başkan Obama’nın ajandası gibi kritik bilgilere ulaşılması yine bu Rus saldırı ekibiyle bağlantılı. En önemlisi de hacker grubunun 2013 yılında Türkiye’de Milli Güvenlikle ilgili kamuda çalışan ve gizli sayılabilecek şekilde saklanan bazı kişilerin iletişim bilgilerini ele geçirebilmiş olması.

APT28 saldırılarını gerçekleştiren grup Rus hükümetiyle birlikte çalışıyor. Amaç diğer devletler, çok uluslu firmalara ait sırları Rusya’ya aktarmak. 2007 yılından beridir aktif olan grup ileride daha çok sayıda operasyona imza atacak gibi gözüküyor.

Çin ve Rusya ulusal güvenlik için teknoloji firmalarına rest çekti

cin-ve-rusya-ulusal-guvenlik-icin-teknoloji-firmalarina-rest-cekiyor Çin ve Rusya ulusal güvenlik için teknoloji firmalarına rest çektiArtık Çin’e satılacak donanım ve yazılım ürünlerinin kaynak kodları Çin hükümetine teslim edilecek.

Çin hükümeti devreye aldığı yeni regülasyonlar sayesinde kritik kurumlara satılan yabancı ürünlerin kaynak kodlarını talep ediyor. Örneğin bir Çin bankasına satışı yapılan yabancı yazılımın kaynak kodu devlete teslim edilecek ve bu kod üzerinde olabilecek arka kapılara karşı kaynak kod analizi gerçekleştirilecek.

Çin hükümetinin yayınladığı doküman yaklaşık 22 sayfadan oluyor. Yeni regülasyonlar 2014 yılı sonunda kabul edilerek yürürlüğe girdi. Burada amaç kritik önemdeki sektörlerde Çin’in siber güvenlik altyapısını güçlendirmek. Diğer yandan bu yeni kurallar bütünü ABD’li firmaları büyük fırsatlar içeren Çin pazarına girememek konusunda endişelendiriyor. ABD Ticaret Odası yaptığı açıklamada Çin’li yetkilileri diyaloga çağırarak bu durumun Çin’in büyük oranda milli ürünleri kullanması ile sonuçlanacağını belirtti.

Tek çekince bu değil. Diğer bir çekince ise satışı yapılacak donanım/yazılımların kaynak kodları teslim edildikten sonra Çin’in siber savaş komutanlığı olan PLA’in bunları inceleyerek zero day güvenlik açıklarını tespit etme ihtimali. Bu durumda ABD ürünlerinin kaynak kodlarını inceleyen Çin, ABD’de bu ürünlerin kullanıldığı ağlara izinsiz erişebilir. ABD’li üreticiler ise teslim edecekleri kaynak kodlarının Çin’li teknoloji firmalarına sızdırılabileceği için endişeli görünüyor. ABD ile aynı ürünlerin ucuz versiyonlarını üretmekle ünlü oldukları için ABD’li üreticiler teknolojilerinin kopyalanmasını istemiyorlar. Çin’in hedefi 2019 yılına gelindiğinde ulusal güvenliği ilgilendirebilecek altyapıların %75’inde Çin menşeili ürünler kullanmak.

Rusya’da Çin’in benzeri bir planı devreye sokarak 1 Ocak 2015 itibarı ile yabancı ürünlerin kritik altyapılarda kullanılmasının önüne geçme kararı aldı. Hatta bu adımı ileri götürerek bazı kritik toplantılarda hazırlanan tutanakların bilgisayar yerine mekanik daktilolar ile kağıda dökülmesi kararı almıştı.

Türkiye ise ulusal güvenlik açısından ABD, Fransa, İsrail ve Çin’li üreticilere teslim gözüküyor. En kritik altyapılarda bile ana bileşenler ağırlıklı olarak bu dört ülkedeki üreticiler tarafından hazırlanıyor.

Rus hacker grubu Anurak hızla ilerliyor

rus-hacker-grubu-anurak-hizla-ilerliyor Rus hacker grubu Anurak hızla ilerliyorOnlarca milyon dolar, kredi kartları ve gizli bilgiler yeni bir hacker grubunun eline geçti.

Rus hacker grubu Anurak 2013’den beridir aktif olarak saldırılarda bulunuyor. Anurak başta bankalar ve ödeme sağlayıcılar olmak üzere perakende sektörü, medya kuruluşlarını hedef alan bir hacker grubu. Grubun stratejisi bankalar, ödeme sağlayıcıların müşterilerini hacklemek yerine bu firmaların kendilerini hacklemek üzerine. Firmaların iç ağlarına erişim sağlayıp veri sızdırıyorlar. Eğer sızdıkları yer bir devlet sistemi ise bu sefer onu casusluk amacıyla kullanarak veri topluyorlar.

Siber mafyanın her tarzda bilgiyi paraya dönüştürebildiği çağda hem banka hesabı soyan, hem kredi kartı bilgisi çalıp, hem de devletlere ait verileri çalan bir hacker grubu şaşırtıcı gözükmüyor. Anurak hackerları sızdıkları firmanın iç ağında önce sistem yöneticisi ve IT ekibinden kilit kişilerin sistemlerini hedef alıyor. Bu anahtar kullanıcıların sistemlerine sızarak hareketlerini kaydedip yaptıkları işi ve yapıyı anlamaya çalışıyorlar. Sonrasında ise tüm e-posta trafiğini izlemeye başlayarak cihazların ayarlarını değiştirerek tüm ağı uzaktan yönetmeye başlıyorlar.

Bu yönetim öyle planlı bir şekilde yapılıyor ki Anurak hacker grubu üyeleri hackledikleri ATM cihazı yönetim sistemine uzaktan zararlı yazılım bulaştırarak kontrolleri altına alıyorlar. İstedikleri zaman uzaktan tetikleyerek bu cihazlardan para çekebiliyorlar.

Anurak’ın faaliyetleri aşağıdaki gibi ilerliyor;

  • Anurak hacker grubu dünya çapında 50’den fazla banka, 5 ödeme sağlayıcı, 16 perakende firmasını hackledi
  • 2013 yılından beridir aktif olan hacker grubu sadece son altı ay içinde 17 milyon dolar kazandı
  • Bir ağa sızıp bilgileri nakite dönüştürene kadar geçen süre ortalama 42 gün
  • Anurak hacker grubu halen faaliyet halinde

MonsterMind: ABD’nin siber saldırı sistemi

monstermind-abd-siber-saldiri-sistemi-300x221 MonsterMind: ABD’nin siber saldırı sistemiHalen Rusya’da sığınmacı olarak bulunan eski NSA çalışanı Edward Snowden ABD istihbaratı ile ilgili bilgiler vermeye devam ediyor. Son bilgiler ise MonsterMind adındaki ABD’nin siber saldırılara otomatik olarak cevap veren ofansif siber savaş sistemi.

MonsterMind siber savaşta cephede kullanılan en aktif silahlardan biri olarak göze çarpıyor. Fakat kusurları da yok değil. Sistem yapılan saldırıya hemen cevap veriyor fakat gelen saldırının hangi kaynaktan ulaştığını doğrulamıyor. Yani spoof edilmiş IP adreslerinden gelen bir saldırıyı doğrulamadan kaynak sandığı noktaya saldırı ile cevap veriyor.

Bunun anlamı örneğin Rus IP adreslerini spoof ederek DDoS yapıldığında ABD’nin MonsterMind sistemi doğrudan Rus ağına saldırıyor. Diğer yandan tüm trafiği analiz eden MonsterMind sistemi bir nevi ABD vatandaşları dahil tüm trafiği dinliyor. Bu da anayasadaki gizlilik ile ilgili hükümlere ters düşüyor.

MonsterMind sistemi hükümetin 2008’de detaylarını yayınladığı Einstein 2 ve detaylarını 2013’te yayınladığı Einstein 3 sistemlerinin uygulanmış hali gibi gözüküyor. ABD hükümeti yetkilileri ise MonsterMind ile ilgili olumlu veya olumsuz bir yorum ya da açıklama yapmayı reddediyor.

Zeus’un babası Kronos kendini gösterdi

zeus-babasi-kronos-kendini-gosterdi-270x300 Zeus’un babası Kronos kendini gösterdiZeus, Gozi, Citadel gibi internet bankacılığı ve finans sektörü odaklı zararlı yazılımların domine ettiği pazara yeni olduğu kadar iddialı bir oyucu daha katıldı. Bu pazardan pay kapmaya çalışanların piyasaya sürdüğü yeni Kronos zararlı yazılımı Rus siber mafya tarafından 7000 dolar fiyatla satışa sunuldu.

Bir Rus sitesinde satışa sunulan yeni zararlı yazılımın teknik kabiliyetleri günümüz standartlarını karşılıyor;

– Genel şifre, hesap bilgisi çalma özellikleri. Form yakalama, Internet Explorer, Firefox, Chrome gibi browserları destekleyen HTML injection yeteneği.

– Diğer Trojanlardan korunmak için 32 bit ve 64 bit user-mod rootkit.

– Antivirus atlatma özelliği.

– C&C komuta kontrol sunucusuyla şifreli haberleşme.

– Sandbox atlatma özelliği.

Diğer iddialı finans odaklı zararlı yazılımlarda olduğu gibi bu projede de amaçlardan biri zararlıyı inceleyecek kişilerin işini zorlaştırmak. Diğer yandan örneğin Kronos’un HTML injection mekanizması Zeus ile birebir uyumlu yapılmış durumda. Burada amaçlanan Zeus trojan kullanıcılarının Kronos’a geçişini sağlamak. Enteresan bir tesadüf ise Yunan mitolojisinde Kronos, Zeus’un babası olarak geçiyor.

İşin finansal tarafında ise Kronos zararlı yazılımı yaklaşık 7000 dolardan alıcı buluyor. Kronos’u satanlar bir haftalık deneme süresi için test sunucusunu 1000 dolar karşılığında hizmete açabiliyorlar. Ödeme için ise Perfect Money, Bitcoin, WMZ, BTC-E.com kabul ediliyor. Kronos sürekli geliştirilecek ve duruma bakılırsa uzun yaşam süresine sahip olacak bir trojan. Bu yüzden geliştiricileri yeni yamaların ücretsiz sağlanacağını ve sürekli yeni modüller ekleneceğini özellikle belirtiyorlar.

Siber suçlulardan sahte kimlik ve pasaport hizmeti

Siber suçlular internette sadece teknoloji kaynaklı problemlere yol açmıyorlar. Aynı zamanda geleneksel suçlular için de farklı illegal çözümlerin anahtarı haline gelmiş durumdalar. Her ülkeden sahte pasaport, kimlik satışı yapan dışarıya kapalı platformlar sadece pasaport değil aynı zamanda pasaport yapmak için malzemeler, çeşitli sıcak ve soğuk damgaların da satışını yapıyor.

Şu an satışı yapılan ülke pasaportları arasında Rusya, Belarus, Kanada, Almanya, Danimarka, Finlandiya, İsrail, Hollanda, Norveç, Romanya, İngiltere, Amerika, Avusturya, Ukrayna ve Türkiye bulunuyor. Fiyatlar değişken olsa da 20-30$ arasında denilebilir. Bu sahte pasaportlarda gerçek insanların bilgileri, fotoğrafları kullanılıyor. Elbette pasaportların çipli olması herhangi bir problem yaratmıyor.

TerraMedusa dış dünyaya kapalı izlediği özel yüzlerce platformdan birinden yukarıda saydığımız ülkelere dair hazırlanan pasaport/kimlik bilgileri ve yapım aşamasından bazı ekran görüntülerini sizler için derledi;

sahte-pasaport-kimlik Siber suçlulardan sahte kimlik ve pasaport hizmeti

sahte-pasaport-kimlik2 Siber suçlulardan sahte kimlik ve pasaport hizmeti

sahte-pasaport-kimlik3 Siber suçlulardan sahte kimlik ve pasaport hizmeti

sahte-pasaport-kimlik4 Siber suçlulardan sahte kimlik ve pasaport hizmeti

sahte-pasaport-kimlik5 Siber suçlulardan sahte kimlik ve pasaport hizmeti

sahte-pasaport-kimlik6 Siber suçlulardan sahte kimlik ve pasaport hizmeti

sahte-pasaport-kimlik7 Siber suçlulardan sahte kimlik ve pasaport hizmeti

sahte-pasaport-kimlik8 Siber suçlulardan sahte kimlik ve pasaport hizmeti

sahte-pasaport-kimlik9 Siber suçlulardan sahte kimlik ve pasaport hizmeti

sahte-pasaport-kimlik13 Siber suçlulardan sahte kimlik ve pasaport hizmeti

sahte-pasaport-kimlik10 Siber suçlulardan sahte kimlik ve pasaport hizmeti

sahte-pasaport-kimlik11 Siber suçlulardan sahte kimlik ve pasaport hizmeti

sahte-pasaport-kimlik12 Siber suçlulardan sahte kimlik ve pasaport hizmeti

Rus hackerlar 4.5 milyar dolar ile lider

rus_hackerlar_lider Rus hackerlar 4.5 milyar dolar ile liderYeteneklerini yasadışı yollardan değerlendirmesiyle ün yapmış Rus hackerlar geçtiğimiz yıl gelirlerini iki katına çıkardı. Bu yeni tabloya göre global siber suç piyasasının lideri açık ara Rus ülkeleri. Üstelik tüm dünyayla karşılaştırıldığında az olan nüfuslarıyla orantısız olan bu suç liderliği daha şaşırtıcı bir hal alıyor.

Dijital suç dünyasının süper gücü olan Rus siber suçluların 2011 yılında elde ettikleri gelir ortalama 4.5 milyar dolar. Rus dijital suç pazarının tamamının 2011 yılındaki büyüklüğü ise 12.5 milyar doları buldu. Bu dünya üzerindeki her insan başına 2 dolar anlamına geliyor. Bu pazarın 4.5 milyar doları Rus asıllı suçluların cebine girdi. 2010 yılında 2.3 milyar dolar olan bu rakamın bir yılda ikiye katlanmış olması sürpriz çünkü 143 milyonluk popülasyonda ciddi bir artış bulunmuyor.

Rus siber suç aktivitelerinde en popüler olanı online dolandırıcılık, bu alan milyar dolarlık bir yer tutuyor. Bunun hemen ardından 830 milyon dolar ile spam e-postalar geliyor. Hemen ardında ise 130 milyon dolar ile sistemleri ulaşılamaz hale getiren DDoS saldırıları var.rus_hackerlar_suc_piyasasinda_lider Rus hackerlar 4.5 milyar dolar ile lider

Giderek artan bir diğer trend ise artık eski usül çalışan mafya organizasyonlarının yenilenerek bünyelerine siber suçlarla ilgili kişileri dahil etmeleri. Bu şekilde yapılaşan kimi mafyalar sadece kendi aralarında ticaret yapıyorlar.

Rusya ve diğer Rus dili konuşulan ülkelerin dijital suçlulara karşı kendi ülkelerine zarar vermedikleri sürece pek bir yaptırımda bulunmadıkları biliniyor. Bu da yasadışı ekonominin önümüzdeki yıllarda artarak devam edeceğinin sinyallerini veriyor.