Haftanın Önemli Gelişmeleri – 30. Hafta

Güvenlik problemlerini Prisma danışmanları ile çözümleyebilirsiniz.

Hackerlar Rusya İstihbarat Dairesi’nden 7.5 TB Gizli Veri Çaldı
Hackerlar Rusya İstihbarat Dairesi’nden 7.5 TB Gizli Veri Çaldı

Rusya İstihbarat Dairesi, KGB aktivitelerine benzer bir yapıda faaliyet yürütmektedir ve farklı ülkelerde devlete hizmet eden FBI, MI5 gibi gizli istihbarat kurumları gibi çalışmaktadır. FSB (Federal Security Service)’nin çalışmalarının büyük bir kısmı yurt içinde olmak üzere elektronik izleme sistemleri üzerinedir. FSB, Tor tarayıcısında anonim taramaların engellenmesi, sosyal medyadan veri toplamak ve Rusya’nın internetini izole hale getirmek için çalışmalar yapmaktadır.

FSB’ye yapılan saldırı 13 Temmuz tarihinde 0vr1u$ grubu tarafından gerçekleşti. 0v1ru$ hacker grubu, FSB’nin birçok internet projesinde yer alan SyTech adındaki sistemini hedef aldı. SyTech sistemini ele geçiren saldırganlar ana sayfada gülümseyen bir Yoba Face görüntüsü paylaştı.

0vr1u$ grubu çaldığı verileri Digital Revolution adında sosyal medyada daha popüler olan bir hacker grubuna aktardı ve Twitter uygulaması aracılığıyla bazı gizli veriler sosyal medyada paylaşıldı.

BBC Rusya, FSB’den çalınan verileri sosyal medyadan ulaştığı bilgiler sayesinde anlaşılır bir şekilde açıkladı. Açıklanan verilerin içerisinde FSB’ye ait gizli projeler yer aldı. Nautilus adı verilen bir projede 2009 – 2010 yılları arasında Facebook, LinkedIn, MySpace gibi sosyal medyalardan FSB’nin verileri topladığı paylaşıldı. FSB tarafından yürütülen Tax-3 adlı başka bir projede ise devlet koruması altındaki kişilerin vergi borçlarının yok edildiği paylaşıldı.

SyTech web sayfası saldırıdan sonra erişime kapatıldı ve saldırıyla ilgili henüz bir açıklama yapılmadı. Saldırıdan ve çalınan verilerin paylaşılmasından sonra 0v1ru$ hacker grubunun Twitter hesabı kapandı.

russian hacker
Hackerlar, Bulgaristan Vergi Ajansı Sunucularında % 70’ten Fazla Bulgar Vatandaşının Kişisel Verilerini Çaldı

Geçtiğimiz hafta Bulgaristanı hedef alan siber saldırganlar, 5 milyonu yetişkin olmak üzere toplam da 7 milyon Bulgaristan vatandaşının kişisel ve finansal bilgilerini ele geçirdi. Bu veri ihlali ile birlikte Bulgaristan, tarihinin en büyük veri ihlalini yaşadı.

Bulgaristan Ulusal Gelir Ajansının yaptığı açıklamaya göre, çalınan verilerin, ülkenin vergi raporlama servisindeki hatadan kaynaklı olduğunu belirtildi. Ayrıca İçişleri Bakanlığı, Devlet Ulusal Güvenlik Ajansı’nın (SANS), Bulgaristan Ulusal Gelir Ajansının sistemlerinde, saldırganların veritabanlarını ihlal etmek için kullanabileceği olası güvenlik açığı hakkında bir çalışma yapmaya başladığını belirtti.

Rus kökenli olduğunu iddia eden saldırganın, yaklaşık 21GB veriye eriştiği tahmin edilmektedir. En son yapılan açıklamada, yaklaşık 20 gün önce, saldırganın Bulgaristan Ulusal Gelir Ajansının veri tabanlarında yer alan bilgilerin yüzde 3’üne yetkisizce eriştiğini söylendi.

Bulgaristan Ulusal Gelir Ajansı , “Şu anda yurt dışında ve yurt içinde ödenen KDV iadesi hizmeti haricinde, gelir ofisi tarafından yapılan e-hizmetler normal bir şekilde çalışmaktadır. Aynı zamanda hassas bilgilere erişim de bir süreliğine sınırlandırıldı.” dedi. Komisyon, Bulgaristan, Ulusal Gelir Ajansını, olayın sonucu olarak 20 milyon avro para cezasıyla birlikte yıllık cirosunun% 4’lük bir kısmını para cezası vermek koşuluyla cezalandırdı

Şüpheli hacker Bulgar polisi tarafından, başkent Sofya’daki evinde basılarak tutukladı. Sofya Şehir Savcılığı, saldırganı devletin kritik altyapısının parçası olan bilgisayar sistemine yetkisiz erişim nedeniyle suçladı.Saldırganın 8 yıla kadar hapis cezasına çarptırılabileceğini söylenmektedir.

GNU/Linux Masaüstü Kullanıcılarını Etkileyen EvilGnome Adında Yeni Bir Backdoor Tespit Edildi
GNU/Linux Masaüstü Kullanıcılarını Etkileyen EvilGnome Adında Yeni Bir Backdoor Tespit Edildi

Güvenlik araştırmacıları, bir çok antivirüs ürününde algılanamayan ve Linux zararlı yazılımlarında nadir görülen bir Linux casus yazılım parçası keşfettiler.Linux ekosistemini hedefleyen çok sayıda zararlı yazılım öncelikle finansal kazanç için cryptocurrency madencilik saldırılarına odaklanmakta ve savunmasız sunucuları ele geçirerek DDoS botnet’leri oluşturmaktadır.

İntezer Labs araştırmacıları son zamanlarda geliştirme ve test aşaması üzerinde çalışmaktadır. Araştırmacılar çalışmaları sırasında Linux kullanıcılarını gözetlemek için birkaç zararlı modül içeren yeni bir Linux backdoor keşfettiler.

Evilgnome olarak adlandırılan zararlı yazılım, masaüstü ekran görüntülerini almak, dosyaları çalmak, kullanıcının mikrofonundan ses kaydı yakalamak ve ikinci aşamadaki zararlı modülleri indirmek/çalıştırmak için tasarlanmıştır.

Zararlı yazılım, Linux sistemlerde crontab kullanarak hedeflenen bir sistemde kalıcılık kazanmakta ve çalınan kullanıcı verilerini uzak bir saldırgan kontrollü sunucuya göndermektedir.

EvilGnome, “shooters” olarak adlandırılan beş zararlı modül içermektedir. Bu modüllere örnek olarak, “Shooter Sound” modülü kullanıcının mikrofonundan ses yakalamak için PulseAudio ile birlikte kullanılmakta ve operatörün komut ve kontrol sunucusuna veri yüklemektedir.

Linux sisteminizin EvilGnome zararlı yazılımlarına karşı etkilenip etkilenmediğini kontrol etmek için: gnome-shell-ext komutunu

~/.cache/gnome-software/GNOME-shell-extensions

dizininde çalıştırarak öğrenebilirsiniz.

Kazakistan Hükümeti Ülkedeki Tüm HTTPS Trafiğine Müdahale Ediyor
Kazakistan Hükümeti Ülkedeki Tüm HTTPS Trafiğine Müdahale Ediyor

17 Temmuz 2019 tarihinden itibaren Kazakistan hükümeti ülke içerisindeki tüm HTTPS internet trafiğini “kullanıcıları siber tehditlerden koruma” gerekçesiyle denetlemeye (intercept) başladı. Hükümet tarafından internet servis sağlayıcılarına devletin verdiği sertifikaları yüklemeleri için talimat verildi. Bu talimata göre ülkedeki tüm cihazlarda ve tarayıcılarda devletin verdiği sertifikanın kullanılacağı paylaşıldı.

Verilen sertifika ile devletin şifreli HTTP trafiğini çözmesi (decrypt), içeriklere erişmesi ve bu sertifikayla trafiği tekrar şifreleyerek (encrypt) alıcıya gönderilmesi sağlanmaktadır. Kısaca Kazakistan hükümeti, interneti kullanan tüm vatandaşlarına Ortadaki Adam (MITM) Saldırısı uygulamaktadır.

Kazakistan’ın başkenti Nursultan (Astana)’da internet kullanıcılarının sertifikayı yükleyene kadar internete erişimleri engellendi. İnternete erişmek isteyen vatandaşlar, devletin sağladığı kök sertifikayı tarayıcılarına nasıl kuracaklarına dair talimatları içeren web sayfalarına yönlendirildi.

Bu süreç içerisinde Kazakistan vatandaşları sosyal mühendislik saldırıları karşısında riskli bir konumda bulunmaktadır. Mevcut durum, saldırganların kullanıcıları resmi olmayan web sitelerinden veya kaynaklardan zararlı, kötü niyetli kök sertifika yüklemelerini sağlayarak kandırması için bir fırsat bırakmaktadır. Kazak vatandaşlarının yaşadığı gizlilik ihlaline karşı büyük teknoloji firmalarının nasıl bir tutum sergileyeceği henüz açıklığa kavuşmadı.

ProFTPD FTP Sunucularını Etkileyen Yeni Bir Güvenlik Açığı Keşfedildi
ProFTPD FTP Sunucularını Etkileyen Yeni Bir Güvenlik Açığı Keşfedildi

Bir Alman güvenlik araştırmacısı, şu anda dünya çapında bir milyondan fazla sunucu tarafından kullanılmakta olan en popüler FTP sunucusu uygulamalarından birinde ciddi bir zafiyet keşfettiğini açıkladı.

Söz konusu zafiyeti barındıran yazılım, SourceForge, Samba ve Slackware gibi çok sayıda popüler işletme ve web sitesi tarafından kullanılan açık kaynaklı bir FTP sunucusu olan ProFTPD ve Debian gibi birçok Linux ve Unix dağıtımına önceden kurulmuş olarak gelmektedir.

Tobias Mädel tarafından keşfedilen zafiyet, ProFTPD uygulamasının mod_copy modülünde bulunmaktadır.

Mädel’e göre bu zafiyet, mod_copy modülündeki bir erişim kontrolü sorunu sayesinde, kimliği doğrulanmış bir kullanıcı tarafından, yazma izninin olmadığı klasörlere dosya kopyalamak kaydıyla exploit edilebilir. Hatta bazı durumlarda, hedef sistemlerde uzaktan kod çalıştırma zafiyetine bile yol açabilir.

Mädel, geçtiğimiz yıl Eylül ayında ProFTPd proje sağlayıcılarına zafiyeti bildirdi, ancak 9 ay boyunca zafiyeti giderici herhangi bir güncelleme yayınlanmadı. Bu nedenle araştırmacı, geçen ay Debian Güvenlik Ekibi ile temasa geçti ve yeni bir sürüm yayınlanmasa da, şu anda en son güncel sürüm olan ProFTPD 1.3.6’yı destekleyen bir yama ProFTPD ekibi tarafından yayınlanmış oldu.

Sunucu yöneticileri ProFTPd yapılandırma dosyasındaki mod_copy modülünü devre dışı bırakarak geçici de olsa bir çözüm oluşturabilir.

Geçtiğimiz Haftanın Siber Güvenlik Haberleri