Haftanın Önemli Gelişmeleri – 1. Hafta

Güvenlik problemlerini Prisma danışmanları ile çözümleyebilirsiniz.

rootkit
Siber Saldırıda İlk Kez UEFI Rootkit Kullanıldı

ESET araştırmacıları, siber casusluk yapan Sednit isimli Rus örgütünün Avrupa’daki devlet kurumlarına yönelik yaptıkları saldırılarda sistemlerde kalıcılık sağlamak için kendini UEFI’ye yerleştiren bir rootkit kullandıklarını keşfetti.

2007 yılında kurulduğu tahmin edilen ve Fancy Bear, APT28, Pawn Storm, Sofacy, STRONTIUM gibi adlarla da bilinen Sednit grubu 2016 ABD seçimlerinde yaptıkları siber saldırılar ile bilinmekte.

Rootkit sisteme phishing methodları sayesinde kullanıcının rpcnetp.exe programını çalıştırması ile sızmakta. LoJax olarak isimlendirilen rootkit Absolute Software firmasının çalınan laptopların hırsızlar fark etmeden takibinin yapılabilmesi için geliştirdiği LoJack yazılımının modifiye edilmiş bir versiyonunu kullanıyor. Bu sayede rootkit UEFI’ye yerleşerek sisteme format atılması veya sistemin hard diskinin değiştirilmesi gibi durumlarda da kalıcılığını sağlamakta.

Uzmanlar kullanıcıların rootkitten korunmak için sistemin Secure Boot özelliğini açmalarını ve UEFI firmware’lerini güncellemelerini öneriyor. Rootkit sisteme sızdıktan sonra kullanıcıların SPI hafızasını flaşlamak veya anakartı atmak dışında yapabileceği birşey bulunmamakta.

biometric
Biyometrik Kimlik Doğrulama Atlatıldı

Biyometrik verileri kullanarak doğrulama yapmak ve kullanıcıları korumak günümüzde oldukça yaygın olarak kullanılmaktadır. Biyometrik doğrulamanın bir çeşidi olan vein(Damar Kimlik Doğrulaması) ise, kullanıcıların el derisinin altındaki damarların büyüklüğü, şekli ve konumunun bilgisayar tarafından taranarak doğrulama sağlanmasıdır. Vein kimlik doğrulamasını mantığı, o anda taranmakta olan derinin altındaki damarları zaten kayıtta bulunanlarla karşılaştırmaya dayanmaktadır.

Almanya’da yıllık olarak düzenlenen Chaos İletişim Kongresi’ndeki güvenlik araştırmacıları bu doğrulamanın nasıl atlattılabileceğini uygulamalı olarak izleyicilere gösterdi. Vein algılayıcı güvenlik sistemini kandırmak için sahte bir el mumu üretildi. Şaşırtıcı bir şekilde, yüksek güvenlikli sistem olarak bilinen vein tekniği, kamerayı değiştirerek veya yapışkan maddeler kullanarak kolayca atlatılabildi. Ancak bir kullanıcının el derisinin altındaki damarların konumunu oldukça zor bulunmaktadır. Açıklamayı yapan güvenlik araştırmacıları, damar yapılarını ve damar düzenlerini görmek için SLR kamera kullandıklarını belirtti. Bu tür kameralar, özellikle basın toplantıları gibi etkinliklerde, 5 metrelik bir mesafeden kolaylıkla kullanılabilmektedir. Güvenlik araştırmacıları sunumları sırasında, damar yapılarını belirlemek için 2500’den fazla resim kullandı. Daha sonra, bu resimlerin yardımı ile aynı damar tasarımını içeren bir balmumu eli üretildi.Böylece yapılan bu balmumu sayesinde doğrulama atlatıldı.

Hitachi ve Fujitsu gibi ünlü şirketler bu araştırma hakkında bilgilendirildi ancak bu konuda şirketlerden bir cevap gelmedi.

netflix
 FTC, Netflix’i Kimlik Avı Dolandırıcılığı için Uyarıyor

Federal Ticaret Komisyonu (FTC), Netflix müşterilerinde ödeme bilgilerini çalan yeni bir kimlik hırsızlığı dolandırıcılığı için uyarı yayımladı.

Çarşamba günü FTC tarafından yayımlanan bir yayına göre, Netflix’den geldiği sanılan bir sahte e-posta tespit edildi. E-postada, hedef kişinin hesabının faturalandırma sorunları nedeniyle beklemeye alındığı ve ödeme yöntemlerini güncellemesini gerektiği belirtilerek bilgiler çalınmaya çalışılıyor.

Netflix, web sitesinde yer alan bir yayında, müşterilere, şirketi taklit eden ve kişisel bilgi isteyen e-postalar dahil olmak üzere olası kimlik avı girişimlerinin farkında olmalarını tavsiye etti.
Netflix ödeme bilgileri, sosyal güvenlik numarası veya hesap şifresi dahil olmak üzere hiçbir zaman e-posta yoluyla gönderilmesini istemeyeceğini belirtti.

Netflix’in güvenlik sayfası “Netflix, bu bilgileri web sitemize bağlanan bir bağlantıyla güncellemek için size e-posta gönderebilir, ancak kimlik avı yapan web sitelerine bağlantı verebilecek sahte e-postalara dikkat edin” dedi

electrum
Electrum Cüzdanına Yapılan Saldırılarda 750.000$ Değerinde Bitcoin Çalındı

Dolandırıcılık faaliyetleri kripto para pazarında her geçen gün artıyor. Son zamanlarda Electrum bitcoin cüzdanına yönelik bir kimlik avı saldırısında hackerlar yaklaşık 750.000$ değerinde olan 200 bitcoini ele geçirdi.

Saldırılar durmuş gibi gözükse de, Electrum Devs, sorunun kalıcı bir şekilde çözülmemesinden dolayı hackerların yeni saldırlar başlatabileceğini söylüyor.

Electrum, kullanıcının tam blok zinciri indirmesini gerektirmeyen bir Bitcoin cüzdanıdır. Bunun yerine, sunucular uzaktan kullanıcılara blockchain sağlarlar ve cüzdanlarına erişirler. Bitcoin Cash’in hem versiyonları hem de Litecoin, Dogecoin ve Dash için yıllar içinde yaratılmış en popüler Bitcoin cüzdan uygulamalarından ve çatallarından biridir.

Bilgisayar korsanları etkilenen sunucuları Electrum cüzdan ağına ekledi. Daha sonra, herhangi bir kullanıcı bir Bitcoin işlemi gerçekleştirmeye çalıştığında, bu yasadışı sunuculardan birine ulaşacak ve ardından cüzdan uygulaması içindeki kullanıcıya bir güncelleme indirmelerini ve yüklemelerini isteyen bir mesaj gönderecektir. Talimatları izleyen masum kullanıcılar, bilgisayar korsanının GitHub sayfasına yönlendirildi.

Saldırının haberi ilk olarak Electrum’un SomberNight adlı kod geliştiricisinden biri ile GitHub’da göründü.
Sonuçta ortaya çıkan indirme aslında Electrum cüzdanının yeni bir sürümü olarak gizlenmiş kötü amaçlı yazılımdı. Yüklenen kötü amaçlı yazılım daha sonra kullanıcılardan iki faktörlü kimlik doğrulama kodlarını girmelerini istedi. Bu, saldırganların kimlik doğrulama kodlarını kullanmalarına ve fonları kendi bitcoin adreslerine transfer ederek bitcoin çalmalarına izin verdi.

shipping malware
Saldırganlar, Fidye Yazılımı Dağıtmak için Linux sunucularındaki IPMI Arayüzüne Saldırdı

BleepingComputer şirketi, Linux sunucularında donanıma erişime izin veren ve uzaktan sunucuyu çalıştırmak için son derece kullanışlı, standart bir arayüz olan IPMI (Intelligent Platform Management Interface) aracılığıyla, JungleSec adlı bir Ransomware varyantına maruz kaldığını bildirdi.

Açıklamalara göre saldırı şu şekilde gerçekleşti. Saldırganlar önce bu IPMI sistemlerini bulup,daha sonra varsayılan şifrelere sahip, güvensiz IPMI arayüzlerini seçti. Bu aşamadan sonra saldırganlar varsayılan şifrelerle bu güvensiz IPMI arayüzlerine girmeyi başardı ve sistemi kontrol eder hale geldi.Sistemi kontrol ettikten sonra saldırganlar, çok kullanıcılı bir bilgisayar işletim sisteminin tek bir süper kullanıcı olarak önyükleme yaptığı bir mod olan tek-kullanıcı modunda (single-user mode) yeniden başlatıldı. Son olarak, sistem üzerindeki dosyalar şifrelenir ve saldırganların taleplerini belirten ENCRYPTED.md adlı bir dosyaya yönlendirilir.

ENCRYPTED.md dosyasında saldırganlar, verilerin şifresini çözmek için etkilenen sistem sahiplerinden 0.3 Bitcoin talep etmektedir. Brute Force veya tekrar erişim kazanmak için başka yöntemler kullanılması durumunda verilerin tamamen silineceğin belirten bir mesaj yazmaktadır.

Şirket, JungleSec ransomware’in yalnızca IPMI varsayılan şifresini kullananlar için tehlike arzettiğini ve JungleSec Ransomware saldırısına karşı en iyi önlem olarak, IPMI şifrelerini sıfırlamak olduğunu söyledi.