Haftanın Önemli Gelişmeleri – 27. Hafta

Brandefense ile siber saldırılara karşı önlem alın!

Lazarus APT Grubu Uluslararası Kurumları Hedeflemeye Devam Ediyor
Lazarus APT Grubu Uluslararası Kurumları Hedeflemeye Devam Ediyor

Kuzey Kore hükümeti için siber saldırılar düzenleyen Lazarus APT grubunun bankalar, kripto para borsaları, ATM’lerden sonra yeni kurbanı ABD ve Avrupa’nın perakende işletmeleri oldu.

Grubun bu perakende şirketlerinin sakladığı müşteri kart bilgilerini çaldığı bildirilmiştir. Grup, sızdıkları meşru web sitelerine müşteriler tarafından girilen kart bilgilerini e-skimmer olarak adlandırılan bir yöntemle çalmıştır. E-skimmer saldırıları, ATM cihazlarına yerleştirilen ve müşterilerin kart bilgilerini kopyalayan araçlar gibi e-ticaret sitelerinde bulunan güvenlik açıklarını istismar eden saldırganların, bu sitelerin ödeme sayfalarına girilen kullanıcı bilgilerini çalmasıyla gerçekleşmektedir.

Lazarus Grubu, geçmişte bankalara ve kripto para borsalarına düzenlediği saldırılarda 2 milyar dolara yakın bir kazanç elde etmiştir. Lazarus’un 2014-2015 yıllarında, kurbanlarının sistemlerine özel hazırlanmış son derece karmaşık olan fidye zararlı yazılımları ile en aktif dönemlerine imza attıktan sonra, 2016 yılında dünya çapında WannaCry fidye yazılımı saldırısının ardından operasyonlarını azaltmıştır.

“E-skimming” saldırılarında kullanılan zararlı yazılımlar araştırılırken, Lazarus’un üzerinden oltalama saldırısı düzenlediği alan adlarından kod parçacıkları ele geçirdiği keşfetmiştir. Kurbanların arasında Amerikan perakende kuyumculuk devi Claire’s, CBD Armour, Focus Camera, Microbattery, Realchems, Lux Model Agency adlı İtalyan modellik ajansı gibi şirketler ve Tahran’da bir nostaljik müzik mağazası ve ABD’nin New Jersey eyaletinde bulunan bir kitabevini de içermektedir.

Saldırganlar tespitten kaçınmak için sızdıkları web sitelerine sadece 24 saat erişim sağlayıp ortadan kaybolduktan sonra, birkaç gün sonra kurbanlarının sistemlerine tekrar eriştiktleri de keşfedilmiştir. Bu sırada çalınan bilgiler, saldırganlar tarafından kontrol edilen ve kurbanlarına benzer alan adlarına yönlendirilmiştir.

Günümüzde gözle görülür bir biçimde artan siber tehditlerden korunabilmek için kurumsal ağlarda güncel işletim sistemlerinin kullanılması ve çalışanların bu tehditlerden bilgi sahibi olması gerekmektedir.

İranlı Hackerlar VPN Uygulamalarını Hedef Alıyor
İran’daki Nükleer Tesis Yeni Bir Siber Saldırıya Uğramış Olabilir

İran’ın başkenti Tahran’ın 250 km güneyinde bulunan Natanz uranyum zenginleştirme tesisinde patlama meydana geldi, olayın yeni bir Stuxnet saldırısı olabileceği üzerine tartışmalar başladı.

İran Ulusal Güvenlik Konseyi sözcüsü, İranlı müfettişlerin Natanz nükleer santralindeki yangının nedenini belirlediğini fakat “güvenlik nedenlerinden” dolayı bulguları paylaşmayacaklarını belirtmiştir. Reuters’in iddiasına göre ise patlama İsrail’in düzenlediği yeni bir siber saldırı nedeniyle gerçekleşmiştir.

İran, uranyumu işlemek veya zenginleştirmek için yüksek hızlı santrifüjler kullanmaktadır. Düşük seviyelerde zenginleştirilmiş uranyum nükleer reaktörlerde kullanılır, ancak yüksek düzeyde zenginleştirilmiş olanları ise atom bombalarında kullanılabilir. Natanz’da uranyumu çok daha hızlı bir şekilde zenginleştirmek için daha gelişmiş santrifüjler inşa etmek için çalışmalar devam etmektedir. Fakat bu patlamanın çalışmaları yavaşlatacağı düşünülmektedir.

Büyük bir kısmı yeraltında olan Natanz uranyum zenginleştirme tesisi, Uluslararası Atom Enerjisi Ajansı (IAEA), nükleer gözlemcisinin izleme altında bulundurduğu birkaç İran tesisinden biridir. 2010 yılında Natanz tesisine ait sistemlere sızan Stuxnet virüsü, binden fazla santrifüjün operasyon dışı kalmasına sebep olmuştur. Bu saldırı, iddialara göre İran’ın nükleer proje planlarını 2 yıl geriye atmıştır.

Son aylarda İran’ın endüstriyel ve askeri tesislerinde yangınlar da dahil olmak üzere onlarca kaza yaşanmıştır ve bunların birçoğu İsrail’e atfedilmiştir. Geçtiğimiz hafta ise İran’daki iki enerji santralinde patlamalar meydana geldi ve kimyasal bir tesiste klor gazı sızıntısı yaşandı.

Yetkililer tarafından yapılan bir basın açıklaması sırasında Natanz tesisinde yaşanan olayda İsrail’in bir rolü olup olmadığı sorusuna Başbakan Netanyahu, olayla ilgili herhangi bir açıklama paylaşmamıştır.

F5 BIG-IP Uygulama Dağıtım Denetleyicisinde Kritik Zafiyetler Tespit Edildi
F5 BIG-IP Uygulama Dağıtım Denetleyicisinde Kritik Zafiyetler Tespit Edildi

F5 Networks’ün BIG-IP uygulama dağıtım denetleyicisindeki (ADC) araştırmacılar tarafından keşfedilen kritik ve yüksek önem düzeyine sahip güvenlik açıkları, uzaktaki bir saldırganın hedeflenen sistemin tüm denetimini ele geçirmesine neden olabilmektedir. BIG-IP, kuruluşlara uygulama hızlandırma, yük dengeleme, SSL offloading ve web uygulaması güvenlik duvarı gibi hizmetler vermektedir. Ürünleri, dünyanın en büyük şirketlerinin birçoğu tarafından kullanılmaktadır.

CVSS puanı 10 olan CVE-2020-5902 olarak adlandırılan kritik güvenlik açığı, rastgele kod yürütülmesine izin verir ve uzaktan kullanılabilir. Araştırmacılar, ABD’de% 40, Çin’de% 16 ve Tayvan’da% 3’ü dâhil olmak üzere doğrudan zafiyete maruz kalan 8.000’den fazla savunmasız cihazı tespit ettiğini söylemiştir. Ancak, etkilenen ürünü kullanan şirketlerin, güvenlik açığının bulunduğu yapılandırma arabirimine internetten doğrudan erişime izin verilmediği sürece etkilenmeyeceklerini belirtti.

Güvenlik araştırmacısı Mikhail Klyuchnikov, açıklamasında bu güvenlik açığından yararlanarak, BIG-IP yapılandırma yardımcı programına erişimi olan bir uzak saldırganın sistemde uzaktan kod yürütme işlemini gerçekleştirebileceğini söylemiştir. Ayrıca saldırganın dosyalar oluşturup/silebileceği, hizmetleri devre dışı bırakabileceği, istediği sistem komutlarını ve Java kodunu çalıştırabileceği ve tüm bunlarla birlikte sistemin güvenliğini tehlikeye atabileceğini belirtmiştir.

Sömürü Yöntemlerine Ait PoC Kodu:

https://github.com/dunderhay/CVE-2020-5902

Şirket bu zafiyetlerden etkilenen sistemler için güvenlik güncellemeleri yayınlamıştır. Bu zafiyetlerden etkilenen sistemler için bu güncellemelerin bir an önce yapılması önerilmektedir.

mongodb
MongoDB Veritabanlarını Hedef Alan Kritik Siber Saldırılar Tespit Edildi

15 milyondan fazla indirmeye sahip, geliştiriciler arasında oldukça popüler olan veritabanı programı MongoDB kullanıcıları, bilinmeyen bir saldırgan tarafından saldırıya uğradı. İnternete parola koruması olmadan açık bırakılan 23 bin MongoDB veritabanını hedef alan saldırgan, bunlara sızarak içeriklerini sildikten sonra, arkasında 0.015 Bitcoin (140$) talebi barındıran fidye notu bırakmıştır. Saldırgan, veritabanı sahiplerini fidyeyi iki gün içerisinde ödemedikleri takdirde Avrupa Birliği Genel Veri Koruma Tüzüğü’nü (GDPR) uygulamaktan sorumlu yetkililere şikayet etmekle tehdit etmiştir.

Otomatize edilmiş komut dosyaları ile interneti tarayarak parola koruması olmayan MongoDB kurulumlarına sızan saldırgan, veritabanının içeriklerini sildikten sonra “READ_ME_TO_ RECOVER_YOUR_DATA” adında, sunucu sahiplerinin verilerini nasıl geri alabileceğini açıklayan bir fidye notu içeren veri tabanı oluşturmaktadır.

Saldırganların paylaştığı not içerisinde: “Bütün verileriniz yedeklendi. Geri alabilmek için 48 saat içerisinde tarafınıza paylaşılan Bitcoin cüzdanına 0.015 BTC ödemeniz gerekmektedir. 48 saatin ardından, ödeme yapılmadığı takdirde bütün verilerinizi ifşa edeceğiz. Ödemeyi reddetmeniz durumunda ise GDPR’den sorumlu yetkililerle iletişime geçip kullanıcı verilerini güvensiz ve açık bir şekilde sakladığınızı bildireceğiz. Bu yasa uyarınca, ağır bir para veya hapis cezası ile karşı karşıya kalacak, bütün verileriniz internete sızdırılacaktır. LocalBitcoins adresinden gereken bitcoini satın alabilirsiniz. Ödemeyi yaptıktan sonra bize veri tabanına ait IP adresi ile (e-posta adresi)’nden iletişim kurabilirsiniz.“ yazısı yer almaktadır.

Talep edilen tutar başta az gibi gözükse de saldırılan veritabanlarının sayısı ile çarpıldığında, saldırganların toplamda 3.2 milyon dolar kazanabileceği ortaya çıkmaktadır. Etkilenen her kurumun fidyeyi ödemeyeceği mantıklı bir varsayım olsa bile, GDPR tehditi sonucunda gelebilecek milyonlarca avroluk cezalar, birçoğunu ödemeye ikna edebilmektedir.

MongoDB kullanıcılarına karmaşık parolalar ile kimlik doğrulaması kullanmalarını, var olan kullanıcıları rollerine göre yetkilendirmelerini (MongoDB’de erişim kontrolü ayarı varsayılan konumda kapalıdır), mümkün olduğunca dışarıdan erişimi engellemelerini ve varsayılan portları kullanmamalarını önermekteyiz.

Geçtiğimiz Haftanın Siber Güvenlik Haberleri