Yazılar

Yeni botnet sizi kullanarak başkalarını hackliyor

sql-injection-zayifligi-botnet-zararli-yazilimYeni bir botnet hızla yayılmaya başladı. Marifeti bulaştığı sistemler üzerinden başka web sitelerindeki/sistemlerdeki zayıflıkları istismar etmek. Diğer bir deyişle bu botnet sizin sisteminize bulaştıktan sonra, sizin üzerinizden başkalarını hackliyor.

“Advanced Power” adlı bu botnet zararlı yazılımı kendisini bir Firefox eklentisi olarak sunuyor. İsmi “Microsoft .NET Framework Assistant” olarak geçiyor. Yaptığı genellikle bulaştığı sistemler üzerinden başka web sitelerindeki SQL injection açıklarını kullanmak.

Advanced Power öncelikle zayıflık bulunan web sitelerinin bir listesini güncelliyor. Botnet sadece açığı kullanmakla kalmıyor. Aynı zamanda bulaştığı web sitelerine zararlı kodlar yerleştirerek daha fazla sisteme, siteye bulaşıyor. Bu da hedef olabilecek sistemlerin, sitelerin sayısını ciddi şekilde arttırıyor.

Botnetin çok sayıda hassas bilgiyi çalabilme yeteneği var. Fakat henüz bu özellik aktive edilmemiş. Yani sadece komuta kontrol sistemi bulaştığı sistemleri, web sitelerini yöneterek daha da yayılmayı seçiyor. Şu an 12.500’ün üzerinde sistemin bu zararlı yazılımdan etkilendiği, 1.800 web sitesinin ise SQL injection açığının veritabanında bulunduğu biliniyor.

Diğer bir sıkıntı ise üzerinden başka yerlerin hacklendiği botnet kurbanları. Bu kişiler yasal olarakta o sisteme sızmış olarak kabul ediliyorlar. Bunun cezai yaptırımlarıyla yüzyüze gelmek zorunda kalıyorlar. Diğer bir önemli nokta ise adli süreçler başlayıp, bilirkişiler inceleme yapıp zararlı yazılım bulunmadan kendilerini aklamaları zor gözüküyor.

Günlük yaşamı etkileyecek kritik altyapılar nasıl hackleniyor? Ekran görüntüleri ile…

Evde oturuyorsunuz ve aniden elektrik kesiliyor. Sonradan öğreniyorsunuz ki bu uzun süreli bir kesinti. Sıkıntılı şekilde cep telefonunuzdan internete girmiş haber sitelerinde vakit öldürürken bir maden ocağında havalandırma sisteminin devre dışı bırakılması sonucu onlarca kişinin öldüğü haberini okuyorsunuz. Tam o sırada telefon çalıyor. Babanız arıyor. Sesi endişeli. Gece çalıştığı besi çiftliğinin yem ve su dağıtan sisteminde oluşan sorundan dolayı yüzlerce hayvanın telef olduğunu anlatıyor. Bunlar üst üste gelmiş aksilikler, felaketler gibi gözükse de hepsini gerçekleştirmek bir hackerın parmakları ucunda.

Kullandığımız su, elektrik, doğalgaz gibi hizmetler dahil olmak üzere çok yakın zamanda nükleer enerji dahil olmak üzere çoğu kritik altyapı hizmeti bize Scada adı verilen endüstriyel sistemler yardımı ile sunuluyor. Scada sistemlerin doğru konfigüre edilmemesi, doğrudan veya dolaylı şekilde bağlantılı ağlar yoluyla bu sistemler sızılması artık ulusal güvenlik konusu haline gelmiş durumda. Araştırmacılar yaptıkları incelemede bir kaç yazılım yardımıyla dışarıya açık uzaktan erişim portunu tespit eden ve oraya bağlanıp ekran görüntüsü aldıktan sonra bağlantıyı kesen bir yazılım hazırladılar. Bu şekilde 30.000 kadar Scada sistemin yeterince güvenli halde servis vermediğini ekran görüntüleri ile birlikte derlendi.

1. Meksika’da bulunan endüstriyel filtreleme ve havalandırma fanı sistemlerini kontrol eden bir endüstriyel yazılım. Danimarka merkezli Moldow firması tarafından yazılmış.

1-meksika-endustriyel-sistem-scada

2. Hindistan’da bir benzin istasyonuna ait, tanklardaki yakıt durumunu gösteren ve POS sistemlerini yöneten endüstriyel yazılım.

2-benzin-istasyonu-scada

3. Hasta bilgilerinin bulunduğu yazılımı internet bağlantılı bir ağdaki sistemde kullanan Los Angeles’ta bulunan eczane.

3-eczane-yazilim

4. Çek Cumhuriyetinde bulunan bir kumarhanenin, slot makinalarını izleyen güvenlik kameraları.

4-kumarhane-guvenlik-kamerasi

5. New York’ta bulunan hidroelektrik santrali yönetim paneli.

5-hidroelektrik-santrali

6. Los Angelas’ta bulunan ve metal üretim tesisine enerji iletmeyi sağlayan tesisin kontrol yazılımı. Endüstriyel yazılım Alman bir firma tarafından hazırlanmış.

6-metal-uretim-tesisi

7. Organik domuz üretimi yapan çiftlikte yem, su gibi görevlerin yönetildiği endüstriyel yazılım.

7-domuz-ciftligi

8. Benzin ve gaz boru hatları ile ilgili bilgilerin takip edildiği endüstriyel sistem.

8-benzin-gaz-sistem

9. Romanya’da bir madencilik firmasının yönetim sistemi. Yer altı havalandırma sistemi de bu endüstriyel yazılımdan kontrol edilebiliyor.

9-madencilik firmasi

10. Bulgaristan’da bir radyo istasyonunun yönetim yazılımı.

10-bulgaristan-radyo

SMS ile gelen bankacılık şifreleri siber suçluların elinde

android-blackberry-internet-bankaciligi-zararli-yazilim1Bir süredir siber suçlular bankalar tarafından SMS ile gönderilen tek kullanımlık şifreleri zararlı yazılımlar ile ele geçirerek çalışmaya devam ediyor. Henüz yazım aşamasında bulunan yeni bir internet bankacılığı zararlı yazılımı anlık şifreler için Android ve BlackBerry platformlarını tehdit ediyor.

Tamamlandığında 4000 dolara satılacak olan yazılım çift aşamalı şifreleri ve SMS uyarılarını ele geçirerek saldırganlara anında iletiyor.

Yazılımın ana özellikleri;

– Gelen SMS mesajlarını göstermeden anlık olarak istenilen numaraya iletmek

– Gelen aramalardan istenilenleri göstermeden istenilen numaraya yönlendirmek

– Cihazdaki SMS mesajlarına tam erişim

– Cihazdaki arama geçmişine erişimandroid-blackberry-internet-bankaciligi-zararli-yazilim2

– Cihazdaki telefon rehberine erişim

– Cihaz mikrofonunu uzaktan aktive ederek konuşulanları kaydederek uzaktaki sunucuya göndermek

– Cihaz üzerinden izinsiz SMS göndermek

– Cihaz üzerinden izinsiz arama yapmak, yönetmek

– Internet bağlantısı olmadığı durumlarda SMS mesajlarıyla cihazı yönetmek

– Cihaz ile ilgili telefon numarası, ICCID, IMEI, IMSI, Model, İşletim sistemi gibi her türlü bilgiyi edinmek

İstenildiği takdirde yazılımın Rusça ve İngilizce dışında dillere de çevirisinin yapılması sağlanabiliyor. Yazılımın botnet tarafının ise hacklenen Google Play hesapları üzerinden, yazılım geliştiricilerin hazırladığı programların içerisine yerleştirilerek dağıtılması planlanıyor.

android-blackberry-internet-bankaciligi-zararli-yazilim3

40 milyon dolarla en büyük siber banka vurgunu

siber-banka-vurgunuGelmiş geçmiş en büyük banka soygunlarından birisi, bir grup siber suçlu tarafından gerçekleştirildi. 26 ülkede organize olan grup toplamda 45 milyon doları ellerindeki veritabanında bulunan kredi kartlarından ATM’leri kullanarak çekerek kayıplara karıştı.

Yapılan organize soygunun Kanada’dan Rusya’ya kadar 27 ülkede bulunan ve ağırlıklı olarak güncellenmemiş sistemlere sahip ATM makinelerinden yararlanılarak gerçekleştirildiği tespit edildi. Ekibin ardında ne tarz bir suç şebekesi olduğu bilinmiyor. Fakat global ölçekte düzenlenen bu soygunun sıradan bir grup tarafından gerçekleştirilmesi mümkün değil.

Bölgesel olarak bakıldığında sadece New York’ta, 7 kişi, 10 saat içerisinde tam 2.4 milyon doları ATM’lerden çekti. Aslında bu ekibin gerçekleştirdiği ilk soygun değildi. 22 Aralık 2012’de çete Birleşik Arap Emirliklerinde bir bankanın veritabanından ön ödemeli MasterCard debit kartları ele geçirmişti. Bu bilgileri manyetik kartlara yükleyen saldırganlar birkaç saat içerisinde 20 ülkede organize şekilde hesaplardan 5 milyon dolar çalmıştı.siber-banka-vurgunu-40-milyon-dolar

Bu olaydan birkaç ay sonra, yani 19 Şubat 2013’de siber suçlular diğer büyük oprasyonu gerçekleştirdi. Saatler içerisinde 36.000 işlem gerçekleştirerek 20 ülkedeki ATM’lerden 40 milyon doları ele geçirdi. Siber suçluların yaptığı şey bankanın veritabanını kart limitleri ve her türlü bilgi ile birlikte ele geçirmek, ele geçirdiği kart bilgilerini boş plastik kartlara, eski otel anahtarı kartlarına veya süresi geçmiş kredi kartlarına yükleyerek kullanmaktı. Çetenin bir kısım ATM’lerden para çekerken, diğer kısım pahalı ekipmanları fiziksel mağazalardan satın alarak belli merkezlerde depoluyordu.

Siber suçluların sadece laptoplar, internet erişimi ve birkaç plastik kart kullanarak yaptığı bu soygun artık silahlı saldırganların gerçekleştirdiği olayların internet ortamına taşındığının en güçlü işareti.

Yeni tehditler: E-posta, telefon ve sms

eposta_sms_telefon_saldirilari_siber_saldiri_bilgi_guvenligi_penetrasyon_testiİletişim kanalları arttıkça saldırıların boyutu da değişiyor. Eskiden sadece internet üzerinden gelecek saldırılarla boğuşacağımızı düşünürken bugün akıllı telefonlardan, akıllı ödeme sistemlerine kadar geniş bir yelpazede tehditle karşılaşmak mümkün.

Tüm bu ilerlemeye rağmen yine de eski saldırı yollarının önü kesilmiş değil. Dijital yeraltı dünyasında şu sıralar tekrar popüler olan yöntem e-posta ve yeni telefon, sms saldırıları.

Bu saldırı türlerinden e-posta saldırısı uzun zamandır kullanılan bir yöntemdi. Posta kutularını istenmeyen e-postalar ile doldurmak eskiden beridir kullanılıyordu. Fakat artık saldırganlar yöntem değiştirerek spam olarak işaretlenmeyecek web sitelerinin, web tabanlı uygulamalarını istismar etmeye başladı. Yani bir sabah kalktığınızda bir üyeliği, para transferini ya da farklı bir işlemi onaylayıp onaylamayacağınızı soran onbinlerce e-posta ile karşılaşabilirsiniz.

Bu yöntemin dışında bilindik üzere smtp sunucular üzerinden de spam hizmeti verilmeye devam ediliyor. Bu e-posta saldırılarında saldırganlar %60’ın üzerinde teslim edilme garantisi veriliyor. Siber saldırganlar bu iş için tarife bile belirlemiş. E-posta saldırıları için tarifeler aşağıdaki gibi işliyor;

Küçük paket – 25.000 e-posta – 25$
Orta paket – 50.000 e-posta – 40$
Büyük paket – 75.000 e-posta – 55$
Dev paket – 100.000 e-posta – 70$

Telefon çağrı saldırıları ise kurbanın telefon görüşmesi yapamamasını sağlıyor. Sürekli meşgul tutulan telefon sayesinde siz kimseyi arayamadığınız gibi, kimse de sizi arayamıyor. Kurban arama için gelen çağrıyı cevapladığında hat otomatik kapanıyor ve tekrar aramaya devam ediyor. Bu gelen çağrılar sayısız farklı numaradan geliyormuş gibi gözüküyor.

Telefon çağrı saldırılarının tarifesi ise saldırılacak telefon numarası başına ödeniyor. Ülke ya da operatör kısıtlaması bulunmuyor;

1 saat = 1.5$ (numara başı)
1 gün = 20$ (numara başı)

Sms saldırılarına gelince. Yine bu saldırılarda da kurbanın telefonuna sayısız numaradan sürekli sms mesajı geliyor. Bu saldırı biçimi için yasal veya yasadışı sms gateway sunucuları kullanılıyor. Sms saldırıları için siber suçluların fiyat tarifesi ise şöyle;

100 sms – 5$
1000 sms – 15$

Bunlar dışında ufak/orta boyutta bir işletmenin internet sitesini devre dışı bırakmak istenildiğinde günlük 50$ gibi bir ücret isteniyor.

Bu fiyatlar ve siber saldırganların konuyu ticari platforma taşıması bu tarz servislere olan talebi daha da arttırıyor. Eskiden sadece kulaktan kulağa yayılan bu tarz servisleri artık internetten edinmek kolayca mümkün.

Siber suçlular firmalardan fidye istiyor

siber_suclular_para_odemeyen_firmalarin_bilgilerini_yayinliyorHackerlar geçtiğimiz günlerde AmeriCash Advance adındaki online kredi sağlayıcı kuruluşa dair müşteri bilgilerini, para ödemediği için yayınladı.

12 haziranda bir faks alan AmeriCash Advance firmasına söylenen sistemlerinin hack edildiğiydi. Mektupta 15.000 $ ödenmesi isteniyordu. Bu fakstan sonra FBI ile iletişim kuran firma, sistemlerine erişilmiş olabileceği gerekçesiyle yardım istedi. Yapılan araştırmada AmeriCash firmasından ele geçirilen bilgilerin müşteri isimleri, e-posta adresleri, sosyal güvenlik numaraları gibi kritik kişisel bilgiler olduğu ortaya çıktı. Bunlar kritik bilgiler olduğu gibi aynı zamanda hedefe yönelik bir phishing saldırısında rahatlıkla kullanılabilecek bilgiler.

Firma basına yaptığı açıklamada hiçbir zaman şantaja göz yummayacaklarını, suçluları bulmak için yasal kuruluşlar ile birlikte çalıştıklarını duyurdu.

Kendilerine RexMundi adını veren hacker grubu ise bu açıklamadan kısa süre sonra AmeriCash firmasına ait müşteri bilgilerini Twitter’dan yayınladı. RexMundi daha önce Belçika firması AGO-Interim ve Dexia Bank gibi kuruluşlara ait bilgileri de yayınlamıştı. Firmalar şantaj yapılan ücreti ödemedikçe grup yayınladığı verilerin boyutunu arttırırken, diğer yandan istediği fiyatı da arttırıyor. RexMundi hacker grubu aynı zamanda The Twilight film serisinin yıldızı Taylor Lautner’ın e-posta hesabını da hack etmişti.

Siber aktivist grup Anonymous, tüm dünya devletlerinin sırlarını ortaya dökmeye niyetli Wikileaks, sadece eğlence için hack eden LulzSec derken listeye şantaj ile para kopartmak için hack yapan gruplar da eklenecek gibi gözüküyor. Türkiye’de de kısa süre öncesine kadar sirketbilgileri.com adında bir internet sitesinde şantaj sonucu para ödemeyen firmaların bilgileri yayınlanıyordu.