Bilgi Güvenliği

Haftalık Siber Güvenlik Tehdit Raporu

00mcs
Hackerlar Havaalanlarının Güvenlik Sistemi Erişimlerini Dark Web’de 10$’dan Satıyor!

Black Market’ler sadece uyuşturucu alınan bir yer değil, hacking araçları, zero-day’ler, malware’ler, silahlar gibi aklınıza gelebilecek yasadışı her şeyi satın alabileceğiniz bir markettir.

RDP Shop, Dark Web’de bulunan bir çok Black Market platformlarından birisi. Bu tip marketlerde ufak bir ücret karşılığında hacklenmiş binlerce bilgisayara RDP erişimi sağlanabiliyor.

McAfee çalışanları Dark Web’de bulunan RDP Shop’larını incelerken, bir hacker’ın dünyanın en büyük havaalanlarının bazılarının güvenlik sistemlerine uzaktan erişimi 10$ gibi düşük bir ücret karşılığında sattığını keşfetti.

Araştırmacılar bilgilerin doğruluğunun doğruluğundan emin olmak için 10$ verip RDP credentialları almaktansa satıcının koyduğu hacklenmiş makinelerin IP adreslerini bulmak için Shodan arama motorunu kullandı. Administrator hesapları satılık olan makinelerin IP adresleri üzerinden Windows RDP servisi ile bağlanmaya çalıştıklarında Administrator hesabı haricinde iki kullanıcının daha olduğunu gördüler. Bu kullanıcıların birisi havaalanının otomasyon sistemlerinin yönetildiği hesap diğeri ise kamera sisteminin yönetildiği hesaptı.

Araştırmacıların verdiği bilgilere göre bu hesaplara erişim sağlayan birisi havaalanında pasaport kontrolü, kamera kayıtları gibi yapılan her türlü güvenlik işlemine erişebiliyor.

Hackerlar RDP portu açık olan makinelere genelde Hydra ve Medusa gibi araçlar ile brute force yaparak parolaları elde ediyor ve bu credentialları Black Market’lerde satıyor ve bu bilgileri satın alan birisi malware kurma, backdoor atma, veri çalma gibi hedef sistemde istediği işlemi gerçekleştirebiliyor.

Hackerlar Amerikan Ordusu’na Ait Çalıntı Drone Belgelerini 200$’a Dark Web’de Sattı

Dark Web her geçen gün daha da tehlikeli olmaya devam ediyor.

Recorded Future adlı siber güvenlik firmasının raporuna göre bir hacker, Amerikan İstihbaratı’nın kullandığı MQ-9 Reaper adlı drone’un gizli belgelerini Dark Web forumlarında 150-200$’a satmaya çalıştı.

İlk olarak 2001 yılında tanıtılan MQ-9 Reaper şu anda Birleşik Devletler Hava Kuvvetleri, Deniz Kuvvetleri, Gümrük ve Sınır Koruması, NASA, CIA ve daha başka bir çok ülkenin askeri birlikleri tarafından kullanılıyor.

Insikt Group çalışanları kriminal olay takibi için sıradan Dark Web gezintileri sırasında drone belgelerini satan hacker ile karşılaştılar ve potansiyel bir alıcı olarak hemen hacker ile bağlantıya geçtiler.
Insikt Group analistleri, hacker’ın dosya paylaşımı için varsayılan FTP giriş ayarlarını kullanan Creech Air Force Base’de bulunan bir Netgear router’ına erişerek hassas belgeleri almayı başardığını öğrendi.

Hacker’ın hassas askeri verilere erişmek için kullandığı Netgear router’larındaki exploit ilk olarak iki yıl önce keşfedildi ve Recorded Future’a göre, 4000’den fazla router hala ürün yazılımını güncellemedi ve saldırıya karşı savunmasız.

En ironik olan şey ise yönettiği sisteme FTP parolası koymayı unutan sistem yöneticisi askerin bilgisayarından çıkan, son zamanlarda tamamlamış olduğu Siber Güvenlik Farkındalığı Sertifikası oldu.

Insikt Group çalışanları daha sonra edindiği bilgilerle, saldırının arkasında olduğundan şüphelendiği hacker veya hacker grubunu Amerikan yetkililere bildirdi ve soruşturma gizlilik içerisinde yürütülmeye başlandı.

Github Artık Çok Daha Yetenekli

GitHub, bilinen güvenlik açıklarını otomatik olarak algılayabilen programlama dilleri listesine Python’u da ekledi.

Mart ayında Github tarafından yapılan duyuruda Kasım ayında başlatılan Github güvenlik uyarılarının, kullanıcıların barındırdığı zafiyetli kodların önemli ölçüde azalmasını sağladığı söylendi.
Github uyarıları, projelerinde bazı zafiyetli yazılım kütüphanelerini dahil ettiklerinde geliştiricileri uyarır ve sorunun nasıl çözüleceğine ilişkin önerilerde bulunur.

Geçtiğimiz yıl GitHub, bir proje tarafından kullanılan tüm kütüphaneleri listeleyen bir özellik olan Bağımlılık Grafiğini ilk kez tanıttı. Bu özellik JavaScript ve Ruby’yi destekliyordu ve şirket bu yıl içinde de Python desteğini eklediğini açıkladı.

Python dilinin desteğiyle geliştiriciler, bu güçlü programlama dilinde yazılan kodları için de uyarı alma fırsatına sahip olacaklar.

Hamas Siber Askerlerinden İsrail Ordusuna Atak

Israil askeri istihbaharat teşkilatı tarafından ortaya atılan habere göre hamas’ın siber askerleri israil ile olan mücadelesine farklı yollardan da devam ediyor.İsrail ordusu tarafından yayınlanan rapora göre, Hamas’a bağlı hackerlar İsrail Savunma Güçleri (IDF) askerlerini, mobil cihazlarına zararlı uygulamalar yükletmek için çalıştırdığını belirtildi.

İsrail ordusu Hamas’ı benzer saldırılardan şimdiden sorumlu tuttu, ancak hackerlar Google Play Store aracılığıyla uygulamalarını yayınladıkları için herhangi bir sorumluluk kabul etmediler.

İsrail firması ClearSky’deki uzmanlar birkaç uygulama tespit edip ordularına bildirimlerini yaptılar.İsrailli askeri yetkililer, Hamas yetkililerinin Ocak ayında da aynı taktiği kullandıklarını açıkladı.Ocak ayında, hackerlar “Elianna Amer” adlı bir kadının profilini kullanmıştı, son saldırılarda ise “Lina Kramer” adlı bir kadının profilini kullandılar.

Israilli askerin açıklamasına göre “Facebook’ta ilk kez masum görünen bir mesajım var, Lina Kramer adında birinden, Facebook’ta konuşmaya başladık, sonra Whatsapp’a geçtik ve ardından GlanceLove adlı bir uygulamayı indirmemi istedi.Bu aşamada, şüphelerim kesindi ve kötü niyetli niyetleri olan hayali bir profil olduğunu anlamama yardımcı olan bir arkadaşa danışmaya karar verdim. Oradan da birimimdeki bilgi güvenliği görevlisi ile görüştüm. ”, diye belirtti.İsrail ordu istihbarat memurlarına göre, saldırılar askeri güvenliğe zarar vermeyi başaramadı.
İsrail gazetesi Haaretz, olayların farklı bir versiyonlarının olduğunun ve en az yüzlerce askerin cihazına enfekte olduğunu bildirdi.

Uzmanlara göre ise bu saldırıların arkasındaki tehdit aktörü Arid Viper..

“Haveibeenpwned” Web sitesindeki Büyük Veritabanı

Her zaman e-posta kimliğimizin veya şifrelerinizin saldırıya uğramış veya ihlal edilmiş olup olmadığını merak ederiz. HaveibeenPwned’ adlı bir web sitesi, kullanıcıların e-posta kimliklerinin veya parolalarının herhangi bri şekilde ifşa olup olmadığını kontral eder. Web sitesi aynı zamanda şifrenizin veya e-posta kimliğinizin ele geçirilme sayısını da gösterir.

Yıllar geçtikçe, web sitesi saldırıya uğramış hesapların ve şifrelerin sayısındaki artıştan dolayı veritabanının farklı sürümlerini yayınladı. Ağustos 2017 sürümünde, 320 milyon şifreli barındıran veritabanı yayınladılar. Ve altı aylık dönemde, sayı 500 milyona yükseldi. Son olarak , 13 Temmuz’da üçüncü sürümü piyasaya sürdüler ve veritabanı geçmişte ifşa olmuş 15,6 milyon parola içeriyor.

Web sitesi tarafından yayımlanan şifre veri tabanı, geçmişte bir zamanlar veri ifşalarında bulunduğu için ve tekrar tekrar kullanılabildiğinden dolayı eğer şifreniz listede gözüküyorsa, en kısa zamanda değiştirin.

E-posta kimliğinizin ifşa olup olmadığını kontrol etmek için

https://haveibeenpwned.com/

adresini ziyaret edebilirsiniz.Ayrıca eğer e-posta kimliğiniz ifşa olmuş ise ifşa edilen sitelere ve kaç kere ifşa edildiğini gösteriyor. Ayrıca, içinde bulunduğunuz ifşaların tarihlerini de listeler.
Şifrenizin için de kontrolü

https://haveibeenpwned.com/Passwords

adresinden yapabilirsiniz. Arama çubuğunun altında, şifrenizin veri ifşasında kaç kez kullanıldığını öğreneceksiniz.

Arch Linux Kullanıcılarına Kötü Haber

Resmi Arch Linux reposu olan AUR’deki (Arch User Repository) en az üç Arch Linux paketinde zararlı yazılım keşfedildi. AUR ekibinin müdahalesi üzerine zararlı yazılım hemen kaldırıldı.

Repoda kullanıcı tarafından gönderilen paketlerin bulunduğu kısımda zararlı yazılımın bulundu ve bu yazılımı “Xeactor” adında bir kullanıcı tarafından eklendiği belirlendi.Bir PDF okuyucu gibi görünen bu zararlı yazılıma “acroread” adı verildi. Çeşitli komutları tek betik altında toplayan bu kod her 360 saniyede bir çalışır.
İkinci dosyanın amacı ise tarih, saat, makinenin kimliği, paket yöneticisi bilgileri, CPU bilgileri ve “uname-a” ve “systemctl list-units” komutları da dahill olmak üzere sistem hakkında veri toplamaktı.

AUR takımı başka paketlerde de benzer kodlar bulunduğunu belirtti:

  • acroread 9.5.5-8
  • balz 1.20-3
  • minergate 8.1-2

Zararlı yazılımdaki değişiklikler düzeltildi ve xeactor’ın hesabı askıya alındı. Bulunan zararlı yazılımlarda sistemlere zarar vermek yerine sadece sistem hakkında bilgi toplamanın amaçlandığı görüldü. Yani acroread paketi, kullanıcıların sistemlerine zarar vermemekte, sadece başka bir şey için hazırlanmakta olan verileri toplamaktadır.

Kaynak:

https://www.prismacsi.com/haftanin-onemli-gelismeleri/
Tags : arc linuxexploithaftalık tehdit raporuhaftanın siber tehditlerilinux kaliprismacsisiber güvenlik raporusiber tehdit
Burak Bozkurtlar

The author Burak Bozkurtlar

Siber Güvenilir Türkiye

Leave a Response